@angler Dużo wiedzy, to zostawiam na dzisiejszy wieczór w takim razie. Dziękuję, mam nadzieję, że jako nowicjusz podołam.
P.S. Czy do Cloudflare wykorzystam domenę DDNS (mojanazwa.duckdns.org) czy muszę gdzieś poszukać innej darmowej domeny? - ok, śledząc na szybko tutorial widzę, że potrzebuję innej, konfigurowalnej domeny.
Dziękuję Ci @angler - zrobiłem według tutorialu Peyanskiego do którego link tu zamieściłeś i działa!
Zapytam tylko na szybko - czy masz to jakoś zabezpieczone? Mam dużo powiadomień na HA o nieudanych logowaniach z różnych IP.
Jakaś czarna lista po nieudanych zalogowaniach (tak mam na dostępie do NAS Synology prze ichniejsze synology.me), czy coś podobnego?
Tutaj mój sprzęt to HP T630, na nim Proxmox, a na nim HA.
Szukałem, ale nie ma tu chyba nigdzie tematu stricte o Cloudflare.
Nie bardzo wiem co masz na myśli. Jaka lista i gdzie?
Gdzie masz te powiadomienia dot. HA?
Witam
Podepnę się do tematu.
Niby wszystko skonfigurowane prawidłowo, zgodnie z tutorialem. W Cloudflare jest tunel, prawidłowo się podnosi po restarcie połączenia i zmianie IP, ale przy próbie wejścia przez przeglądarkę na adres https://mojadres.pl dostaję tylko komunikat “400: Bad request”
Proszę o sugestie gdzie popełniam błąd? Czy to wina konfiguracji tunelu/domeny/cloudflare, czy problemu raczej szukać w HA?
W poście wyżej masz podpowiedź.
Musisz ustawić dobrą konfigurację sekcji http:
U mnie to wygląda tak, ale wtyczkę cloudflare mam na innej maszynie niż HA.
http:
use_x_forwarded_for: true
trusted_proxies:
- 192.168.1.157 # Add the IP address of the proxy server
Mam pytanie za 100 pkt…
Zmieniłem ISP niestety na nowego, “lepszego” ale ten nie da mi ani IP zew ani IPv6.
Zestawiłem tunel do domu , maszyna mi się z zewnątrz pinguje.
Ale nie potrafię , nie wiem gdzie wytłumaczyć aby na dany port trafiały dane.
Mam to wpisane na stronie cloudflare ale dane uparcie po porcie nie docierają do serwera.
Sprawdzałem zarówno telefonem jak i u urządzeniem docelowym.
Skaner portów wykazuje że port jest zamknięty.
Nie wiemy jak zestawiłeś tunel, z jakiej metody i na jakiej platformie to zrobiłeś?
Co masz wpisane i gdzie, bo posługujesz się ogólnikami a diabeł tkwi w szczegółach.
Czyli prawidłowo, jeśli ruch przez zapytanie na Twoją domenę nie zostanie na serwerach CF przekierowany na tunel, to nie połączysz się.
Jak chcesz to pisz na PW - coś razem wymyślimy. 
Gdyby ktoś nadal miał problem z konfiguracją duckdns + nginx to polecam tą instrukcję Home Assistant Secure Remote Access For Free
To co w moim przypadku okazało się wybawieniem a inne instrukcje o tym nie wspominały to:
-zmiana domyślnego portu 443 w dodatku nginx na 8126 (w routerze przekierowanie portu z 8126 na IP serwera na port 8126)
-zmiana konfiguracji nginx w sekcji Customize na active: true
Skuteczność tej metody wynika prawdopodobnie ze specyfiki mojego modemu/routera jakim jest Funbox 2.0 który tak na prawdę nie przekierowuje portów 80 i 443, po mimo tego że można takie ustawienie wprowadzić to jest ono nieskuteczne i dlatego nie działało.
Z zewnątrz łączymy się przez https://twojadomena.duckdns.org:8126
W sieci lokalnej łączymy się standardowo przez http, brak błędów z certyfikatem ssl.
W tym tutorialu autor wielokrotnie podkreśla, iż decydując się na tę metodę, tracimy dostęp lokalny i nie rozumiem dlaczego. Bowiem korzystając z dodatku Cloudflare w HAOS wciąż mamy dostęp lokalny do HA poprzez lokalne IP. Co zatem tracę podczas korzystania z tego rozwiązania?
Ogólnie planowałem podpiąć tunel bezpośrednio do HA zamiast do każdej usługi osobno tzn. HA, NR, Z2M, gdyż logując się o Home Assistanta mam dostęp do wszystkiego. Czy jeżeli w Node-RED mam ustawione szyfrowanie SSL to podczas zewnętrznej awarii sieci moje automatyzacje NR przestaną działać lokalnie?
Planuję wdrożyć CF przede wszystkim do:
Jeżeli włączę dodatkowe uwierzytelnianie np. poprzez jednorazowy kod e-mail, wówczas połączenie z Google Home nie będzie możliwe?
@Download-er musisz zrozumieć zasadę tunelu Cloudflare, to podstawa.
Domyślne dodatek robi bezpieczne połącznie od HA do chmury CF, robi połączenie między http: IP_HA:8123 a domeną publiczną w CF np. https://ha.example.com (port 443). Jeżeli chces wystawić inne usług na hoście z HA to dodajesz kolejne usługi do połaczenia:
external_hostname: ha.example.com
additional_hosts:
# Zigbee2MQTT
- hostname: z2m.example.com
service: http://192.168.1.3:8485
Osobiście nie wystawiam innych usług (moja analiza bezpieczeństwa), wystarczy tylko HA a później z poziomu HA (telefonu) mam dostęp do wszystkiego co jest w HA (np. Z2M, itd), oczywiście dostęp z internetu jest zabroniony dla użytkowników z poziomem administracyjnym, działam tak bardzo dłuuugo i niczego mi nie brakuje.
No ja rozumiem, jak działa tunel Cloudflare (przynajmniej tak mi się wydaje 
). Tylko właśnie Jarosław Karcewicz w wyżej cytowanym filmiku podkreśla, iż korzystając z CF tracimy dostęp lokalny, a ja nie widzę żadnej przeszkody, aby móc lokalnie się łączyć. Postrzegam wdrożenie Cloudflare jako dodatkowej funkcjonalności, ale nie jako “coś za coś”.
@macek Właściwie jedyną wątpliwością, jaką miałem, było to, czy automatyzacje lokalne Node-NED będą działać w przypadku utraty połączenia z siecią zewnętrzną, ponieważ integracja NR korzysta z SSL. Jednak od tygodnia taka konfiguracja działa bez aktywnego certyfikatu SSL, ponieważ ze względów bezpieczeństwa nie otwierałem portów na routerze. W związku z tym Duck DNS i Let’s Encrypt w zasadzie nie spełniają swojej funkcji. Zatem po konfiguracji CF także powinno działać.
Dokładnie taki mam plan, zresztą wspominałem o tym wcześniej.
Nie oglądałem bo po prostu nie mam czasu, używam dostepu CF i żadnego dostępu do niczego nie utraciłem.
To nie ma nic wspólnego z dostępem przez CF do HA. Jeżeli Twoja sieć utraci dostęp do internetu to wszystko co integrowało się “z internetem” przestanie działać, wszystko co działało lokalnie będzie działać dalej.
Nie ma znaczenia jak zaglądasz do NR on działa w swoim środowisku, w przypadku braku internetu automatyzacje nadal będą działać, chyba że pobierasz jakieś zewnętrzne dane w swoich przepływach wtedy będziesz miał błąd w danym przepływie. Dla mnie dostęp lokalny to taki że wchodzisz na każde swoje urządzenie z przeglądarki.
Nie pamiętam już tego poradnika w szczegółach ale nie przypominam sobie takiej informacji. Może coś źle zrozumiałeś? Podaj znaczniki czasu na filmie gdzie o tym mówi autor.
Nie wiem tego, bo nie używam ale zapewne dokumentacja CF przewiduje takie sposoby używania i udostępniania usług pomiędzy serwisami chmurowymi.
Oczywiście rozumiem, ponieważ autor rzeczywiście mocno przedłuża swoje materiały, ale być może dzięki właśnie takiej rozległej dyskusji pozwala lepiej zrozumieć widzom poruszane zawiłości omawianego tematu.
@macek @angler Pooglądaj sobie z ciekawości np. fragment 57:30 - 1:00:40 (3 minuty). 
To wiadome, ale mi chodziło o całkowicie lokalne instrukcje bez wykorzystywania danych z zewnątrz.
Wprawdzie nie zdążyłem jeszcze założyć Cloudflare, ale w międzyczasie wyczytałem, że można dodawać wyjątki, więc raczej nie powinno być problemu.
Obejrzałem i w kontekście działania tunelu, tłumaczenia autora oraz tego co jest przedstawione na diagramie w tle nie wiem skąd wyciągasz wniosek, że wszystko co działa wewnątrz Twojej lokalnej sieci przestanie działać nadal lokalnie. Nawet nie bardzo wiem, które sformułowania mogą na to wskazywać. Może chodzi Ci o te “jak z domu to na okrętkę” - ale tu chodzi o przypadek gdy wysyłasz zapytanie wpisane np w przeglądarce domowego komputera z twojej lokalnej sieci, po nazwie domenowej np. https://ha.example.com/. Bo wówczas idzie te zapytanie w świat, trafia do DNS w chmurze CF gdzie jest zapisane, że ma nastąpić próba połączenia z tym a to tym tunelem i po zestawieniu połączenia przez agenta (działającego w Twojej sieci lokalnej) idzie na wskazany adres lokalny. W tym sensie jest to na okrętkę. Ale nadal możesz wpisać w przeglądarce ręcznie adres IP i port, pod którym działa lokalnie Twój HA i się do niego dostać. Nie ma to nic wspólnego z tym co dzieje się z Twoją siecią lokalnie i niezależnie od tego co robi agent CF czyli AddOn w HA. To jest tylko zwykły przełącznik, dostanie sygnał, że ma połączyć jakiś adres i port z chmurą to łączy. W konfiguracji HA zapiszesz, że na takie połączenie pozwalasz i tyle.Taki tunel jest tylko kolejnym połączeniem zestawianym z chmurą CF, która obsługuje zapytania DNS i uwierzytelnia tunel do końcowego adresu. Ono tylko potrzebuje mieć oprogramowanie agenta w tej sieci aby uwierzytelnić i zastawić połączenie. Nie przejmuje roli routera w sieci lokalnej. Takim oprogramowaniem może być właśnie AddON w HA, osobny kontener gdzieś (np NAS), aplikacja Windows czy linuksowy pakiet dla CasaOS jak w przykładzie z filmu.
No właśnie o to. 
No jeżeli chodzi o łączenie się przez domenę to oczywiste, że musi odpytać serwer DNS itd., ale ja to zrozumiałem globalnie, że każde połączenie SSL w tym m.in. po wewnętrznym IP również jest przekierowywane.
