Zdalny dostęp do HA

Łączę się z moim HA poprzez VPN. Zasadniczo mam dostęp do wszystkiego poza kartami File edytor, Node Red i Terminal. Czy może ktoś podpowiedzieć jaka jest tego przyczyna. Moja konfiguracja to HA na VM QNAP, certyfikat z Let’s Encrypt, DuckDNS włączony. Z góry dziękuję za wszelką pomoc.

Karty o których mówisz są pewnie serwowane na adresach IP kontenterów, w których te addony są uruchomione (jezeli kontenery bridge’ują interfejsy z HA), albo na tym samym IP, tylko innych portach niz sam interfejs HA. W obu przypadkach, prawdopodobnie jakies rule w firewallu blokują traffic VPN do tych adresów IP lub portów. Spróbuj dac rulę, która pozwala na cały traffic miedzy IP przypisanym do zaVPNowanego użytkownika a adresem IP Home Asssistanta.

Możliwe też, ze hypervisor VM ma własnego firewalla i pozwala na dostęp tylko do portu HA, no ale wtedy miałbyś ten sam problem będąc wewnatrz swojej sieci, bez VPNa.

Firewall i VPN mam na Mikrotiku. Więc jak wrócę do domu to będę próbował tylko na jakie IP. Jak jestem podłączony z domem przez VPN-a to z zewnątrz jestem widoczny moim stałym IP domowym, z VPN-a mam adres typu 172.16.0.2 a jak się rozłączę VPN-a to mam stały adres firmowy, gdzie jestem w LAN.

Co ciekawe ze smartfona poprzez subdomenę duckdns łączę się ze wszystkimi kartami HA. Ale to nieciekawe konfigurować HA ze smartfona :frowning:

Jak się łączysz z VPNem, to mikrotik Ci nada jakis adres IP. Ja mam VPNa via L2TP i tą pulę adresów widzę w swoim mikrotiku w PPP -> Profiles -> “Remote Address” (ja mam tam przypisane “vpn_pool”, ktorą dodałem poprzez IP -> Pool -> Add new. Wiec rula o której mowie powyzej, powinna byc na FORWARD from vpn_pool to HA IP - ALLOW oraz FORWARD from HA IP to vpn_pool - ALLOW. Dodaj taką na początku reguł firewalla i zobaczy czy pomogło. Jeśli tak, to teraz pasuje znaleźć dokładne porty, na które chcemy pozwolic i tylko te porty dac na ALLOW

Jaki jest cel stosowania dwóch różnych sposób zdalnego dostępu do HA? Stosujesz VPNa ale i tak masz dostęp od strony publicznego internetu przez DuckDNS?

3 Likes

Dobre pytanie. VPN-a postawiłem wcześniej, a ostatnio wreszcie uruchomiłem TTS i do tego jak filmik z HA po https:// i po http:// brak tts zrozumiałem potrzebne byłe te ustawienia certyfikatu i DuckDNS. Nie jestem informatykiem tylko starej daty inżynierem i pasjonatem, a na pasje zawsze brakuje czasu. Podpowiedz jeśli możesz czy da się to ustawić inaczej.

Ustawiłem w Firewall Filter Rules poz.0 forward Src. Address 172.16.0.2-172.16.0.10 (pool_vpn) Dst Address 192.168.88.109 (adres HA) Action accept oraz poz. 1 forward Src. Address 192.168.88.109 Dst Address 172.16.0.2-172.16.0.10 Action accept. Sprawdź proszę czy tak miało być, bo ja będę to mógł sprawdzić dopiero jutro w pracy. Serdecznie dzięki za pomoc.

Nie baw się w ten sposób. Jeśli modyfikujesz coś na firewallu, zwłaszcza jeśli polega to na dodaniu ruli ALLOW, to od razu sprawdzaj co się dzieje, zobacz jaki ma to wpływ na sieć. Raz, że takie rozciąganie pracy w czasie sprawia, że będzie Ci rósł bałagan, dwa - zawsze jest to kwestia bezpieczeństwa - bez sensu zostawiać niepotrzebne rule w firewallu.

Rula, którą dodałeś powinna być OK.

Niestety nie pomogło dalej mam 401: Unauthorized dla zakładek File editor, ESPHome, Node-RED, Terminal i motion Eye. Coś musiałem namieszać.

Aaaa, jak masz 401, to znaczy, ze to nie jest wina firewalla. Wywal tą rulę :slight_smile:

Ogólnie z tego co rozumiem, problem masz z każdym add-onem, który używa ingressa (czyli tego systemu to pokazywania strony add-onu w ramach strony HA). Niestety nie pomogę, sam dopiero zaczynam swoją przygodę z HA :frowning:

Z tego co widzę, to tutaj opisują podobny problem - może warto poczytać logi, a nuż z nich coś wyniknie. Warto też popróbować różnych przeglądarek, sprawdzić w incognito, etc.

A ogólnie, to tak jak zauważył @macek - warto posprzątać z tymi dostępami, skoro łączysz się via DuckDNS, czyli HA masz “wystawione na świat”, to nie ma potrzeby łączenia się do niego VPNem.

…albo w drugą stronę jak masz VPN to nie ma potrzeby korzystania z DuckDNS.

1 Like

Masz rację. Szczerze mówiąc do obsługi HA wystarczał mi VPN i poza nim nie chciałby HA wystawiać na świat. Ale nie znalazłem innego sposobu na uruchomienie TTS “Text-To-Speech”. Robiłem to według filmiku z wyżej podanego adresu.

Bingo, wyczyszczenie danych z przeglądarki załatwiło sprawę. Wszystko działa. Wielkie dzięki za pomoc. Będę szukał innego rozwiązania z TTS-em, druga sprawa to śledzenie za pomocą Ariela.

1 Like

Jak zajdziesz inny sposób na TTS to daj znać.

1 Like

Witam wszystkich
Mam podobny problem z dostępem do HA. Próbowałem zrobić zdalny dostęp poprzez duckdns ale po zainstalowaniu ad-on duckdns i skonfigurowaniu wszystkiego, po restarcie straciłem całkowicie dostęp do HA. Serwer mqtt i inne urządzenia raczej działają poprawnie. Doradźcie jak się do niego dostać, lub przynajmniej dobrać się do plików konfiguracji *.yaml
Hass.os zainstalowany na RPi 3B v1.2

Jak zainstalowałeś sambę to przez nią się dostaniesz do folderu “config” i tam jest plik configuration.yaml

Niestety nie mam samby zainstalowanej.

A snapshot zrobiony? Jeśli tak to szybciej Ci będzie zainstalowanie od nowa (i pierwsze co to zainstaluj Sambe)

wszystko ok, nie ma problemu z nową instalacją. Tylko nie mam backupu, a sporo konfiguracji w plikach yaml. Może jest jakaś procedura awaryjnego dostępu?