Nie wiem co zrobić, długo już z tym walczę nie szukam kozła ofiarnego tylko kogoś kto to wie jak to działa i powie co trzeba zmienić
Głowy sobie nie dam uciąć ale fabryczny soft Asusa chyba tworzy aitomatycznie reguły gdy przekierowujesz porty, natomiast nie widzę tej zakładki, o której mówiłem wcześniej (a nie mam żadnego podobnego asusa na fabrycznym sofcie pod ręką).
PS nie widzę przekierowania dla portu 443 (pod którym masz jak się spodziewam masz interfejs https HA).
Tak, usunąłem 443 na 443, bo m3toda prób i błędów wyszło mi że jak było to nic mi to nie dawało, wystarczało samo 8123 żeby HA łączyło się po https przed domenę duckdns. Tutaj macek zwrócił mi uwagę na to że certyfikat na 443 jest od Asusa a nie od Let’s encrypt więc przywrócę to przekierowanie i będę szukał dalej.
Ale ty Ty musisz wiedzieć na jakim porcie co masz, możesz mieć np. przekierowanie zewnętrznego portu 443 na wewnętrzny 8123
nie ważne jak, ważne żeby pasowało to do twojej konfiguracji, a co do certyfikatu asusa (samopodpisanego), swoją drogą z wyraźnie określoną domeną której dotyczy (stąd wiemy, że pochodzi on z softu routera), to twój router zapewne odpowiada na porcie 443 choć nie powinien (najprościej wyłączyć wystawianie jego GUI na świat by uniknąć takich problemów)
Będę się posiłkował ściąga bo mam Asusa ale nie ich soft i widocznych opcji może nie być więc :
Wyłącz “Remote Acces Confg” jeśli masz włączony ( to zaznaczone z 3 na zrzucie),
Opcja zaznaczona jako 1 ma być na “No” a tam piętro wyżej "Authenticiation Metod " zmień na HTTP
Prawdopodobnie masz jakiś lepsiejszy model ( u mnie tego nie było )
On tutaj ma ustawiony certyfikat i nim się przedstawia.
W zakładce VirtualServer/Port Trigering przekierowujesz port.
W zakładce DDNS konfigurujesz usługę Let’s Encrypt - Router sam będzie odnawiał certyfikat ale pod nazwą jak tu widzisz na przykładzie czyli : jakaśTwojanazwa.asuscomm.com.
Tym sposobem zamkniesz router na świat tj w sensie aby nie można było się na niego zalogować od strony Internetu a tylko od Ciebie z domu i wyłączysz mu HTTPS od Ciebie z domu a będzie normalny po HTTP a jednocześnie będziesz miał dostęp po HTTPS do HA.
Możesz stąd wyeksportować ten Certyfikat i przenieść go do HA.
Tu jest to opisane ale sukcesu nie gwarantuje.
A tak prywatnie : postawić VPN p/t Wireguard ( 15 minut roboty ) i masz problem z głowy bez zaprzątania sobie głowy certyfikatami - pod warunkiem iż nie jesteś za podwójnym NAT-em.
Z podwójnym NATem radzi sobie Zerotier (wiem, bo jestem w takiej sytuacji).
Ok - kwestia tylko techniczna - co u kogo z jego ISP będzie gadać i jak sobie to uprościć do minimum a nie żeby robić z tego “doktorat” XD
Zerotier jest moim zdaniem banalny w konfiguracji, co jednak nie znaczy że sam się skonfiguruje.
Chciałem namówić kolegę z roboty (który sobie to ograrnął w kilkadziesiąt minut, jak zobaczył jak to działa w moich instalacjach) by przygotował jakieś materiały, ale się nie udało (bo część rzeczy robiła na miejscu instalacji HA druga osoba na podstawie kierowania przez telefon :P) choć oczywiście wszystko działa.
TeamViewer i by pewnie poszło bo czasem przez telefon ciężko wytłumaczyć - o czym Ja się osobiście nie raz przekonałem że nie zawsze u tego kogoś na ekranie jest to czego się spodziewaliśmy.
Cześć wszystkim
No to teraz ja dorzucę swoje pytanie z prośbą o pomoc. Sytuacja wygląda tak: mam stałe i zewnętrzne publiczne IP, router Asusa RT-AX58U, HA siedzi na VM na QNAPie (w temacie HA wszystko działa super), kupiłem ostatnio licencję na VPN (NordVPN), mam możliwość podpięcia pod tą licencję max 6 urządzeń. Łączenie się z dowolnego komputera czy też telefonu do HA (poprzez stałe zewn IP czy też w sieci lokalnej) nie stanowi problemu. Po zainstalowaniu profilu openVPN na routerze (jako klient) niestety z zewnątrz nie mam żadnego dostępu do sieci wewnętrznej bo adres IP ulega zmianie na ten z NordVPN (który jest zmienny). I teraz pytanie jak to obejść lub skonfigurować żeby zawsze z zewnątrz (telefon/PC w dowolnym miejscu) mieć dostęp do HA/QNAP? czy jedynym rozwiązaniem są aplikacje klienckie na telefonie czy PC (i wyłączenie openVPN na routerze?), chciałbym zabezpieczyć sieć domową z dużą ilością urządzeń aby cały czas były połączone z zewnętrzną siecią przez VPN. Będę wdzięczny za pomoc.
Miałem ten sam problem. Też kamery reolink i dokładnie brak sensorów ruchu. Problem rozwiązał dodatek nginx. Zdalnie hula przez duckdns oczywiscie https ,lokalnie po http i wszystkie sensory kamer dostępne a warto bo integracja reolink super działa a tymbardziej sensory ruchu.W odtwarzaczu mediów dostępne też wszystkie filmiki które kamery wychwyciły w trakcie ruchu.
To się musisz zdecydować czy chcesz rybkę czy chcesz akwarium - albo VPN z losowym adresem albo stały IP ( nie pytam do czego Ci potrzebny ten VPN ( Nord) bo w tej opcji co masz to służy do ruchu od Ciebie z domu a nie do Ciebie do domu ).
Opcja nr.2 - Jak Ci potrzebny Nord to instalujesz KLIENTA tylko na PC natomiast na routerze stawiasz SERWER VPN ( nie Nord ale Twój abyś się mógł łączyć do domu ). Tak się da.
Dzięki, Dziś zgodnie z instrukcja spróbuję to tak skonfigurować.
Z zerotierw początkowo korzystalem, jednak widziałem że drainuje baterie w telefonie i jakoś nie dokonca mi się podoba że cały cały puszczam tamtędy.
Próbowałem przez nginx ale chyba coś źle konfigurowałem bo nie szło mi, może jak nie pójdzie z ustawieniem routera to może przybliżysz mi jak się z tym uporałeś
Chyba jestem za podwójnym NATem, DDNS mam wyłączone.
Mam wyłączone, tak jak na pierwszym rzucie, wiec chyba to nie jest przyczyną.
To miałem ustawione chyba na HTTPS, zmienię na HTTP
Moje ustawienia nginx
domain: twojadomena.duckdns.org
certfile: fullchain.pem
keyfile: privkey.pem
hsts: max-age=31536000; includeSubDomains
cloudflare: false
customize:
active: false
default: nginx_proxy_default*.conf
servers: nginx_proxy/*.conf
Port 443 bez zmian. W ruterze (tp-link td-w8970) - przekierowanie tylko port 8123 na wewnetrzny 192.168.1.18 443.
W ustawieniach HA Publiczny adres url https://twojadomena.duckdns.org a jako lokalny http://192.168.1.18:8123. Kamerki śmigają i brak błędów o jakichkolwiek uwierzytelnieniach. Też się długo męczyłem bo jeszcze do tego mam na proxmoxie swoją stronę www z certyfikatem na 443 ale hula
Ok, działam, zaraz zobaczymy jaki będzie rezultat. Używasz nginx czy nginx manager?
Cała nazwa NGINX Home Assistant SSL proxy. Ale dodam że mam zewnętrzne ip.
Sorki ale mi coś umknęło . Jeszcze w pliku configuration cza dodać http:
http:
use_x_forwarded_for: true
trusted_proxies:
- 172.30.33.6 <<< to jest ip wewnątrz docera
- 127.0.0.1
ip_ban_enabled: true
login_attempts_threshold: 5
Bez tego nie będzie działać
A gdzie to mogę sprawdzić?
Czekaj niech se przypomne…Ja to wziąłem z proxmoxa. W podsumowaniu - IPs i więcej i tam miałem adres dockera ale jak masz cos innego to na pewno koledzy Ci pomogą bo ja jeśli chodzi o linuxa jestem zielony jak trawa. A tu masz link do tematu w którym ja nie mogłem se z tym poradzic https://forum.arturhome.pl/t/dostep-zdalny-a-dostep-po-http/3067/17
Stary, jesteś wielki! W końcu to uruchomiłem, działa tak jak powinno Na jaki adres mam piwo wysłać