Ustawienie sieci pod HA- zdalny dostęp

Cześć!
Nie chciałem wałkować tego tematu w innym wątku którego bezpośrednio nie dotyczył więc założyłem nowy temat.
Coraz więcej osób bez większej wiedzy jak ja próbuje zainstalować i skonfigurować HA i o ile dużo jest w Internecie poradników jak przejść proces instalacji/ konfiguracji HA tak nie znalazłem tematu poświęconego samej konfiguracji sieci aby HA mogło działać na telefonie (app) czy przez przeglądarkę z innego miejsca niż własny dom.
Oczywiście są informację że trzeba skonfigurować np. duckdns, ale to chyba w większości przypadków nie wystarczy i nie znalazłem informacji jak i co w sieci poustawiać aby HA łączyło się bez problemu.

Opiszę co mam u siebie.
Router:
TP-LINK Archer AX50, dynamiczne IP od operatora i ustawione NO-IP (domena hadarek.ddns.net).
Każde jedno urządzenie w sieci domowej ma stałe IP.
Przekierowanie portu 8123 na adresie maliny 192.168.0.116.
Nie ustawiony routing statyczny i serwer VPN.

HA:
Wszędzie jest dużo informacji że aby połączyć się zdalnie z HA należy skonfigurować DuckDNS i tak uczyniłem:

lets_encrypt:
  accept_terms: true
  certfile: fullchain.pem
  keyfile: privkey.pem
token: 07056bdd-23e1-4501-9df7-XXXXXXXXXXXX
domains:
  - hadarek.duckdns.org
aliases: []
seconds: 300

Zmieniłem również plik configuration.yaml następująco:

# Configure a default setup of Home Assistant (frontend, api, etc)
default_config:
http:
  ssl_certificate: /ssl/fullchain.pem
  ssl_key: /ssl/privkey.pem
  
  
spotify: 
    client_id: XXX
    client_secret: XXX
# Text to speech

tts:
  - platform: google_translate

group: !include groups.yaml
automation: !include automations.yaml
script: !include scripts.yaml
scene: !include scenes.yaml

W HA Konfiguracja → ogólne →
Publiczny adres url: https://hadarek.duckdns.org
Lokalny adres url: https://192.168.0.116:8123

Skonfigurowałem również Dnsmasq:

defaults:
  - 8.8.8.8
  - 8.8.4.4
forwards: []
hosts:
  - host: hadarek.duckdns.org
    ip: 192.168.0.116
services: []

Czy ktoś z Szanownego grona może podpowiedzieć jak powinna wyglądać konfiguracja zarówno w HA jak i routerze abym mógł się połączyć aplikacją/adresem https://hadarek.duckdns.org z zewnątrz? Po powyższych zabiegach mogę się połączyć wyłącznie przez adres https://192.168.0.116:8123 będąc w sieci domowej.

Nie do końca rozumiem to zdanie. Aby dostać się po https://hadarek.duckdns.org powinieneś mieć na routerze przekierowany port 443 (zewnętrzny) na port 8123 i adres lokalny Twojego HA czyli 192.168.0.116. A czy na tę chwilę bez po http Ci działa - http://hadarek.duckdns.org ? Obstawiam nieprawidłowe przekierowanie portów.

1 Like

Przepraszam za mało precyzyjną wypowiedź. Mam to skonfigurowane tak:
Port zewnętrzny: 443
Adres IP: 192.168.0.116
Adres wewnętrzny: 8123

Z http://hadarek.duckdns.org nie mogę się połączyć.

@Darek_86 zrobiłem skan Twojej domeny z internetu (Domain Dossier - Investigate domains and IP addresses, get owner and registrar information, see whois and DNS records), w tej chwili nic nie odpowiada na porcie 80 i 443 więc coś masz nie tak z przekierowaniem na routerze, najpierw to musisz poprawić:

image

Przekierowanie portów na pewno jest:

Firewall wyłączony.
Jakieś inne ochrony również wyłączyłem żeby nie przeszkadzały.
Mój operator również nie blokuje żadnych portów.
Nie mam pojęcia gdzie jeszcze mogę coś nie tak ustawić. Masz jakiś pomysł?

Napewno nie jest, testy pokazują, że nie jest, sprawdziłem innym narzędziem:

image

Może masz ograniczenia per IP z krajów innych niż Polska, może to robi dostawca internetu.

Dzwoniłem, nie ograniczają IP z innych krajów.
Zastanawiam się co mogę w tej sytuacji zrobić?

Twoim dostawcą internetu jest jmdi.pl ale widzę, że nawet pingi nie dochodzą do Twojego routera 80.238.108.250, czy blokujesz pingi do swojego routera?
Jak otworzysz stronę http://ifconfig.co/, jaki masz tam podany IP Address?

Nie blokuje pingów.

Mój adres:
2

Poprosiłem dostawcę o adres publiczny. Mam nadzieje że to pomoże rozwiązać kwestie dostępu do portów, a może i na chleb jutro zostanie :slight_smile:

Nigdzie nie podałeś jaki masz adres na WAN routera, ale jak rozumiem już zdiagnozowałeś, że jesteś za NATem operatora, w takim wypadku po prostu można zastosować Zerotier - klienty instalujesz na każdym sprzęcie, z którego będziesz korzystać (w sensie zdalnego połączenia) oraz add-on’a w HA. Do 50 klientów jest za free (więc do zastosowań domowych w zupełności wystarcza - sam używam koło 20 i to w sumie ze względu na 4 różne lokalizacje spięte w jedną sieć) dodatkowy plus to zwiększone bezpieczeństwo - to jest po prostu dość specyficzny VPN.

Odradzam publiczny IP i otwieranie portów jeśli nie wiesz co robisz (a takie odniosłem wrażenie, skoro używasz równolegle 2 usługi DDNS i nie zdajesz sobie sprawy z tego, że obie robią to samo).

Inny bezpieczny pomysł to np. dedykowana HA chmura Nabu Casa
(płatna 5$/m-c, ale nie jest to kasa wyrzucona w błoto, bo z tego jest finansowany rozwój HA)

@Darek_86 podejrzyj jak zmodyfikowałem twojego pierwszego posta - odpowiednie formatowanie jest konieczne, bo YAML nie znosi niepoprawnych wcięć (hint: linijki z ```).

2 Likes

Tak, jestem za NATem operatora. Zerotier mnie trochę odstrasza bo cały ruch przez niego przechodzi. Chyba że to działa jakoś inaczej i włącza się tylko w sytuacji gdy korzystam z HA. Jak to z tym jest?
Drugi DDNS był mi potrzebny do innych celów, a z tego co widziałem nie mogę go zastosować w HA, dlatego jeszcze pojawił duckdns.
Pomysł na razie mam taki że zobaczę jak to będzie wyglądać mając publiczny IP o ile się uda w ogóle ruszyć zdalny dostęp do HA. O Nabu Casa nawet nie słyszałem, co prawda pojawiła się jakaś opcja chmury w HA, ale przez to że jestem świeży w temacie to nawet nie doczytałem co to jest, a może właśnie od tego powinienem zacząć…
Na koniec dnia może się okazać że wybiorę Nabu Casa bo lepiej zapłacić twórcom niż ISP, albo ten Zerotier…

Bardzo dziękuje za pomoc Szopen i Macek.
Po zmianie IP na publiczny wszystko zaczęło hulać aż miło. Miesiąc się pobawię, a do docelowej instalacji HA poszukam innego rozwiązania. Może właśnie Nabu Case lub Zerotier.
Niemniej nie liczyłem że to zacznie działać, a zadziałało więc jeszcze raz stokrotne dzięki!

Ruch nie przechodzi przez Zerotier jeśli nie musi, czyli zasadniczo nie przechodzi (połączenie jest zestawiane chmurowo, ale ruch jest p2p), chociaż utrzymanie stałego połączenia oczywiście generuje dodatkowy ruch do chmury.
Klienty mają możliwość włączania/wyłączania połączenia (choć wygodniejszy jest “stały VPN”), oczywiście na HA addon musi być na stałe odpalony by to miało jakikolwiek sens.
Hmmm kwestia zaufania… no ja im ufam w wystarczającym stopniu (i chyba wielu innych też, skoro jest w grupie dodatków dostępnych w Home Assistant Community Add-ons).

Nie bardzo sobie wyobrażam jakie zastosowanie miał drugi DDNS skoro dotąd nie miałeś publicznego IP, a odradzam publiczny IP, bo wymaga samodzielnego zadbania o bezpieczeństwo, ale jeśli zdajesz sobie sprawę z zagrożeń, to jest to rozwiązanie OK (przez wiele lat korzystałem z rozwiązania DDNS, ale VPN jest wygodniejszy do takich zastosowań jak dostęp do HA czy interfejsu routera).

A co do Nabu Casa, to oprócz bezproblemowego zdalnego dostępu ma kilka innych zalet, pierwszy miesiąc jest free, więc można sobie potestować co daje oprócz zdalnego dostępu (ale wstrzymałbym się z tym do czasu głębszego poznania HA).

Przeczytałem z uwagą powyższy wątek, bo miałem podobny problem …

Mam ustawione przekierowanie portów na routerze Orange Funbox 3 oraz domenę nadaną przez DuckDNS i skonfigurowane wszystko tak jak powyżej. Sprawdziłem więc swoją domenę na DomainDossier i również mam:

1

czyli połączenie przez https nie powinno działać, a działa … ?

Dlaczego - bo mam przekierowanie portu 8123 na 8123, więc wchodzę przez nazwę domeny z :8123

Wg rysunku połączenie https jest, działa, można się dostać ale ostatecznie zostało odrzucone (connection refused). Odrzucenie może być realizowane przez różne mechanizmy, na podstawieróżnych warunków, np. ustawienia docelowej aplikacji, firewall, router, usługi chmurowe (np. Cloudflare, Akamai), nawet przez operatora.

A może spróbuj przez NO-IP.com. Bez tokenów. W routerze ustawiasz DDNS na NO-IP(nazwa hosta, user,hasło), w NAT ustawiasz porty zew. 443 na 443 wew. / zew. 8123 na 8123 wew. - podajesz nazwę urządzenia lub ip. i to co robi duck robi za ciebie router. darmowe przez 30 dni - domena sama przypomina o odnowieniu subskrybcji na kolejne 30 dni lub abonament na rok. mam tak od pół roku po tym jak z nie mogłem sie dogadać z duckiem. nie mam publicznego ip, jade na zmiennym po neostradzie i hula bez problemu

1 Like

poza tym masz chyba błąd : port zew. 443 na 8123?
tak masz na skrinie
ja mam port zew 443 na wew 443 i port zew 8123 na wew.8123

Za darmo od kiedy pamiętam
https://no-ip.pl/
bezproblemowo użyjesz np. pod openwrt.

Serwisy DDNS (wszystkie, jakie znam) wymagają klienta wewnątrz sieci mającej publiczny IP (więc jest obojętne czy klient będzie zainstalowany na HA czy routerze czy na czymkolwiek innym, co pracuje 24/7 - przykładowo uruchamiałem to na AP u kogoś, kto miał zbyt prymitywny router).

PS Kiedyś miałem bezterminowa domenę na noip.com (na starych warunkach, ale przepadła z braku korzystania… a teraz wymagają comiesięczej aktywacji).

Dzięki Panowie za podpowiedź.
Spróbuję z noip.com tym bardziej że mogę to ustawić bezpośrednio na routerze.
Comiesięczne klikanie może być męczące dla mnie, bo lubię czasami o czymś zapomnieć, więc bardzo poważnie zastanawiam się nad również nad Zerotier albo nad wykupieniem Nabu Casa.
Na razie bawię się konfiguracją i nie mam uruchomionego HA w produkcji, ale w przyszłości chciałbym aby to było jak najmniej czasochłonne.