SSL - dostęp do HA z apki na telefonie Android nie działa

Home Assistant Konfiguracja HA
, , ,
1

Idąc dokładnie za treścią artykułu “Zabezpieczamy nasz system” autorstwa @artpc wykonałem wszystkie kroki wymagane opisaną procedurą, instalując poprawnie (mam nadzieję) SSL.

Od tej chwili mam problem z uzyskaniem dostępu do HA z poziomu apki w telefonie Android.

Próba połączenia lokalnego generuje następujący błąd:

image
image368×517 46.1 KB

Myślałem, że porty są źle przekierowane, ale w routerze mam wszystko chyba ustawione poprawnie:

image

Ciekawe, że do HA nie mam dostępu wyłącznie z poziomu apki w telefonie. Bez problemu dostaję się do HA z poziomu zewnętrznej przeglądarki Firefox w telefonie, jak również z poziomu każdej przeglądarki (Firefox, MS Edge) na dowolnie wybranym komputerze zainstalowany w moim LANie…

Czy to jakiś bug w telefonicznej apce? Czy coś nieświadomie przeoczyłem? Czy macie/mieliście podobny problem u siebie? Czy i jak go rozwiązaliście?

I pytanie dodatkowe: gdy łączę się z HA z przeglądarki MS Edge na kompie, dostaję na twarz taki oto ekran:

image
image775×375 15.4 KB

Klikajć w przycisk “Advanced” mogę jednak uzyskać upragniony ekran z dashboardem HA. Ale czy znaczek przekreślonego protokołu https na powyższym ekranie ma oznaczać, że jednak instalacja SSL nie powiodła się??
Dlaczego “atakujący może próbować wykraść informacje z home-assistant” skoro https jest protokołem bezpiecznym (jak sama nazwa wskazuje)?

Bardzo proszę o ratunek i łopatologiczne wyjaśnienie problemu.
Już teraz z góry serdecznie dziękuję! :slight_smile:

Logi nie wykazały żadnych błędów podczas instalacji. W powyższej konfiguracji usunąłem jednak cudzysłów z treści tokena oraz nazwy domeny (aktualna dokumentacja podaje, że - w przeciwieństwie do instrukcji podanej przez @artpc - cudzysłów nie jest już wymagany):

Korzystam z internetu mobilnego, nie mam stałegi IPka.
Przejrzałem też inne podobne dyskusje, w tym SSL - problem z dostępem po https ale nie rozwiązują one problemu dostępu do HA z apki na Androidzie…

2

A masz wykupioną usługę dającą publiczny IP oraz możliwość wyłączenia operatorskiego firewalla?

Masz windows to zobacz np.
nslookup krzysztonek.duckdns.org
czy to jest twój IP na interfejsie WAN routera - sądzę że nie (pozwoliłem sobie zeskanować parę typowych portów i nie ma tam żadnych usług, więc sądzę, że po prostu jesteś za operatorskim NATem i firewallem).

Cudzysłowy nie są potrzebne, ale w nieobsługiwanej konfiguracji sieci twoja subdomena nie będzie działać, bo prowadzi do IP, który nie jest WANem twojego routera tylko IP “wyjścia na świat” NATu w którym jesteś (1 lub kilka hop’ów od twojego routera).

Problem dostępu z zewnątrz załatwi np. Zerotier (klienty instalujesz na smartfonie i na HA), ponieważ są jakieś marudzenia, że VPN żre baterię - no cóż u mnie nie żre w zauważalnym stopniu, ale jeśli się nie korzysta z wszystkich możliwości takiego połączenia to nie musi być odpalone na stałe w tle.

3

Witaj @szopen
Jak zawsze, jesteś bardzo pomocny, za co WIELKIE DZIĘKI :slight_smile:
Jak tylko ogarnę temat, zaraz zaraportuję status.

Tymczasem zastanawiam się dlaczego przez przeglądarkę webową w telefonie mam wjazd na HA po SSL, a w apce - w tym samym telefonie - już nie mam. Czy to bug w apce, czy to jej ograniczenie?

Pozdrawiam serdecznie :wink:

4

Certyfikat zapewne nie pasuje do adresu (przeglądarka to jest w stanie ignorować i łączysz się w niezabezpieczony sposób - dlatego masz skreślone https).
Właściwie to możesz odpuścić ssl jeśli jesteś w sieci bez żadnego otwartego dostępu z zewnątrz.

5

Czy ktoś jest mi w stanie odpowiedzieć dlaczego na dwóch tel. z androidem bez problemu łączę się z HA w sieci lokalnej, a na trzecim za nic? Tak jak by był problem z siecią albo telefonem, odinstalowywałem już aplikację, instalowałem starszą, resetowałem HA i nic. Został tylko reset do fabrycznych, ale wolał bym tego nie robić póki co. Zmieniałem też ustawienia wifi w tel, z DHCP na statyczny, ale też nic.

6

Szklanych kul nie mamy…

Diagnostykę zacząłbym od podstawowych narzędzi w rodzaju ping, jest on dostępny w różnych toolbocxach na androida, bo przecież nie wymagam ogarnięcia tego w terminalu… (jak na obrazku poniżej)

Screenshot_20220907-222946_Terminal Emulator
Screenshot_20220907-222946_Terminal Emulator1080×2400 207 KB

Wstawka o szklanych kulach nie jest bezpodstawna, po prostu post w którym zawierasz zero konkretów nie umożliwia żadnej diagnozy problemu.

To tak jakbym na forum motoryzacyjnym napisał:
“Mam 3 samochody, jeden nie odpala, tak jakby był problem z paliwem, spuściłem z baku, potem zatankowałem E98 nic nie dało, znowu spuściłem z baku, zalałem E95, nadal nic. Akumulatora wołałbym nie ruszać. Zdemontowałem immobilzer, ale nie pomogło…”

7

Jasne rozumiem, tylko nie wiem co napisać aby trochę zawęzić poszukiwania, sprawdzę ping jak będę w domu, ale internet oczywiście działa na tym telefonie bo wszystko normalnie się łąduje tylko nie HA.

8

Obrazek to był przykład, chodzi oczywiście o ping do HA.
I to w takiej postaci jakiego adresu używasz w pozostałych telefonach.

9

Zrzut z pingu, na telefonie na którym nie ma problemu test prawie idetycznie.

IMG-20220908-WA0003
IMG-20220908-WA0003800×1600 117 KB

10

Łączysz się po IP czy adresie url?
Czyli masz dostęp bez ssl?
czy może samopodpisany certyfikat? (zainstalowałeś go na tym trzecim telefonie?)
pokaż jak się łączysz z telefonu który działa

11

Lokalnie przez URL i mam SSL i nie ma problemów w sieci LAN nigdzie tylko na tym jedynym tel. Certyfikatów nie instalowałem na telefonie żadnych na żadnym tel.

IMG_20220908_180900
IMG_20220908_1809001080×2160 262 KB

Błąd się pojawia już na samym początku przy wyborze instalacji z którą chce się łączyć.

12

Więc puść pinga na cośtam.duckdns.org (za cośtam podstaw swoją nazwę)
nie wiem jak aplikacja, którą używasz, ale ta z linka poniżej pokaże czy nazwa się rozwiązuje na jakiś IP

Jeśli nie instalowałeś certyfikatów, to musisz się łączyć z cośtam.duckdns.org a nie z lokalnym adresem IP

PS testowo możesz użyć mójlogin na duckdns chociaż nie odpowie na ping, to IP się powinien rozwiązać.

13

Ok zrobiłęm ping na obu telefonach i na tym co się łączy pingowało z ip lokalnym 192…, a na tym co nie, łączy się z ip zewnątrznym czyli 37.108… i tu moze być problem. Tylko jak to zmienić?
Ciekawa sprawa, po restarcie routera zrobiło się to samo na tablecie, też łączy przez wifi z ip zewnętrznym i nie można się połączyć z HA.

Edit:

Nadal walczę i nic nowego, czasami uda się połączyć przez wifi w domu, ale jak aplikacja się zatrzyma to się rozłącza i dalej problem, a najlepsze jest to że przez przeglądarkę wchodzi bez problemu. Przez aplikację mam błąd:

z
z1080×2160 140 KB

albo na tablecie podczas próby zalogowania do instalacji:
1663408210062
16634082100621920×3413 168 KB

15

Dlaczego w ustawieniach aplikacji w lokalny adres wpisujesz adres z duckdns a nie lokalny adres Swojego HA?

21

16

W telefonie na którym zawsze działa, tak mam i jest ok. Niemniej próbowałem ustawiać https://192…, http://192… z portem i bez portu i zawsze to samo.
Przestawiłem na HA na:
haa
i to samo, dodatkowo krzyczy o błąd certyfikatu.

17

Jeszcze jedno, do aplikacji logujesz się z tego samego użytkownika założonego w HA czy do każdego telefonu masz osobnego użytkownika?

18

Próbowałem i tak i tak a problem dalej jest, chociaż chyba jak loguje się na jedno i to samo konto to częściej zaskakuje, ale i tak do rozłączenia z siecią.

19

A próbowałeś wpisać tylko jedną sieć (2.4 lub 5) w opcje aplikacji?

Edit:
Jeśli jeszcze nie testowałeś to zaznacz w ustawieniach sieci lokalnej HA na automatycznie.
ip

20

O to Ci chodzi?

IMG_20220917_125142
IMG_20220917_1251421920×3413 283 KB

Tez próbowałem. Ustawień automatycznych też i nic.

21

Huawei B535? Masz publiczny IP na łączu GSM? Pochwal się co to za abonament.