WAN acces nr HA?

Voor discussies en hulp met je smarthome en automatisering kan je hier terecht. DE plaats voor alles over home assistant, Philips hue, Zigbee, Sonoff, ...
Ernie
Elite Poster
Elite Poster
Berichten: 1031
Lid geworden op: 08 jun 2011, 04:35
Uitgedeelde bedankjes: 287 keer
Bedankt: 54 keer
Recent bedankt: 1 keer

Bericht

Ik heb HA heel langzaam uitgebouwd om zo voldoende inzicht te krijgen en niet te zeer afhankelijk te worden terwijl het evt mis zou kunnen gaan.
Wie maakt hier gebruik van externe toegang en hoe doen jullie dat?
Heppie NY!
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6693
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 795 keer
Bedankt: 526 keer
Recent bedankt: 13 keer

Bericht

Enkel via vpn.

Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
tizzen33
Member
Member
Berichten: 85
Lid geworden op: 30 maa 2017, 08:14
Uitgedeelde bedankjes: 3 keer
Bedankt: 20 keer

Bericht

De mijne is bereikbaar via een reverse proxy met SSL en 2FA actief in HA
didi79
Elite Poster
Elite Poster
Berichten: 1106
Lid geworden op: 25 jun 2007, 15:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 105 keer
Bedankt: 114 keer
Recent bedankt: 1 keer

Bericht

tizzen33 schreef: 23 jun 2024, 19:42 De mijne is bereikbaar via een reverse proxy met SSL en 2FA actief in HA
Wat gebruik je daarvoor?
ygeffens
Elite Poster
Elite Poster
Berichten: 1670
Lid geworden op: 08 sep 2011, 17:19
Locatie: Arendonk
Uitgedeelde bedankjes: 124 keer
Bedankt: 85 keer

Bericht

Tailscale add-on en client op gsm, laptop, …

Cloudflare add-on, met 2FA

Home Assistant Cloud (betalend, als steun aan het project)
I'm a bilingual. I'm a bilingual illiterate. I can't read in two languages.
tizzen33
Member
Member
Berichten: 85
Lid geworden op: 30 maa 2017, 08:14
Uitgedeelde bedankjes: 3 keer
Bedankt: 20 keer

Bericht

Ik draai een aantal services in Docker containers die door de env variabels opgepikt worden in de
https://github.com/nginx-proxy/nginx-proxy en
https://github.com/nginx-proxy/acme-companion containers.

Die zorgen voor de proxy configuratie en voor het aanmaken en up to date houden van certificaten.

HA OS draait in een aparte VM dus hiervoor heb ik nog een extra proxy draaien gebaseerd op deze https://github.com/mikesplain/nginx-proxy-pass-docker
Borromini
Pro Member
Pro Member
Berichten: 240
Lid geworden op: 13 feb 2018, 07:36
Uitgedeelde bedankjes: 278 keer
Bedankt: 26 keer

Bericht

devilkin schreef: 23 jun 2024, 19:37 Enkel via vpn.
Inderdaad, zo gepiept met WireGuard bv. als je router dat ondersteunt, in combinatie met DDNS.
EDPnet Fiber XS 150/50 .:. Hardware: (OpenWrt 24.10 HEAD): MikroTik RB5009UG+S+IN ◌ ZyXEL GS1900-10HP PoE+ ◌ TP-Link EAP615-Wall (802.11ax) ◌ Netgear WAX202 (802.11ax) ◌ Netgear GS108T v3
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6693
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 795 keer
Bedankt: 526 keer
Recent bedankt: 13 keer

Bericht

https://www.home-assistant.io/docs/conf ... on/remote/

Eender welke richting die je uitgaat, zet niet zomaar je HA op het internet met pure port forwarding.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Gebruikersavatar
AnD
Elite Poster
Elite Poster
Berichten: 4039
Lid geworden op: 18 okt 2003, 10:29
Locatie: Hasselt
Uitgedeelde bedankjes: 334 keer
Bedankt: 81 keer

Bericht

Ik gebruik ook Wireguard, op de smartphone zet ik dat aan en dan is het net alsof m'n smartphone in mijn home netwerk zit.
devastator
Elite Poster
Elite Poster
Berichten: 1320
Lid geworden op: 01 nov 2005, 09:53
Locatie: Pelt
Uitgedeelde bedankjes: 22 keer
Bedankt: 57 keer

Bericht

cloudflare zero trust. Toegang op basis van geolocatie (IP). Buiten die IP range moet je eerst inloggen met 1 van de sign-on providers (Google, GitHub, ...).
Aantal keer verkeerd inloggen in HA geeft een ban in Cloudflare tot gevolg.
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6693
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 795 keer
Bedankt: 526 keer
Recent bedankt: 13 keer

Bericht

Kan je wat meer details geven over je implementatie in cloudflare?
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
ahrand
Pro Member
Pro Member
Berichten: 328
Lid geworden op: 10 sep 2011, 06:31
Locatie: Kempen
Uitgedeelde bedankjes: 49 keer
Bedankt: 25 keer

Bericht

Borromini schreef: 23 jun 2024, 20:44
devilkin schreef: 23 jun 2024, 19:37 Enkel via vpn.
Inderdaad, zo gepiept met WireGuard bv. als je router dat ondersteunt, in combinatie met DDNS.
Maar wat dan met zoiets als de Android Auto extensie app van HA ?
devastator
Elite Poster
Elite Poster
Berichten: 1320
Lid geworden op: 01 nov 2005, 09:53
Locatie: Pelt
Uitgedeelde bedankjes: 22 keer
Bedankt: 57 keer

Bericht

devilkin schreef: 24 jun 2024, 10:53 Kan je wat meer details geven over je implementatie in cloudflare?
Voor het bannen ? Dat kan via Fail2Ban, die kan overweg met cloudflare.
Ik kan helaas momenteel niet in Cloudflare, heb mn 2FA key niet bij ...
ygeffens
Elite Poster
Elite Poster
Berichten: 1670
Lid geworden op: 08 sep 2011, 17:19
Locatie: Arendonk
Uitgedeelde bedankjes: 124 keer
Bedankt: 85 keer

Bericht

Even in mijn youtube geschiedenis gekropen, volgens mij is het deze video die ik gebruikt heb om het te installeren:



Ik gebruik ook cloudflare als dns van het domein dat ik hiervoor gebruik.
I'm a bilingual. I'm a bilingual illiterate. I can't read in two languages.
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6693
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 795 keer
Bedankt: 526 keer
Recent bedankt: 13 keer

Bericht

Ondertussen eens naar gekeken, en een cloudflare tunnel opgezet, met dan mtls gekoppeld aan de hostname zodat enkel devices waar mijn tls certificaten op staan toegelaten worden.

Voordeel op android: de companion app kan met die client certs overweg, en je krijgt gewoon de vraag welk cert je wilt gebruiken.

Nadien nog inloggen in HA (met 2FA) en het is in orde.

Werkt wel leuker op deze manier ;)

Veilig, want home assistant zit niet rechtstreeks op het internet.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
StarWing
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 28 jan 2006, 17:21
Uitgedeelde bedankjes: 41 keer
Bedankt: 75 keer
Recent bedankt: 1 keer

Bericht

Reverse proxy met pfSense & HAProxy en geoblock.
2FA nog te integreren, verlof projectje.
Ernie
Elite Poster
Elite Poster
Berichten: 1031
Lid geworden op: 08 jun 2011, 04:35
Uitgedeelde bedankjes: 287 keer
Bedankt: 54 keer
Recent bedankt: 1 keer

Bericht

Thanks guys!

Uit nieuwsgierigheid: weet iemand hoe Nabu Casa werkt?
Heppie NY!
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6693
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 795 keer
Bedankt: 526 keer
Recent bedankt: 13 keer

Bericht

Goeie vraag, ik ben ook wel wat nieuwsgierig.

https://kcore.org/2024/06/28/using-clou ... -internet/

Dit is m'n blog post met de opzet die ik gedaan heb uiteindelijk.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
JUD
Plus Member
Plus Member
Berichten: 111
Lid geworden op: 10 sep 2013, 14:06
Uitgedeelde bedankjes: 10 keer
Bedankt: 7 keer

Bericht

Binnenkort ook eens naar cloudflare kijken. Dit lost mijn probleem op zodat ik geen poorten open moet zetten buiten de vpn. En dan kan ik ook de Google Assistant en dergelijke aan de praat krijgen!

Wat is de pricing bij cloudflare? Dat is me niet direct helemaal duidelijk. Wat verstaan zij onder een gebruiker? Past alles bij jullie onder de free plan?
gnomezor
Starter Plus
Starter Plus
Berichten: 47
Lid geworden op: 14 jun 2013, 19:30
Uitgedeelde bedankjes: 17 keer
Bedankt: 1 keer

Bericht

Hier eigen domeinnaam opgezet met cloudflare tunnel addon via HAOS op een rpi5

Voordelen:
Gebruik valt in gratis tier
Eenvoudig in te stellen
Geen port forwarding nodig
Geen reverse proxies nodig
HA bereikbaar via home.mijndomein.com
Geen HA cloud nodig
Gratis SSL certificaat

Nadelen:
Eigen domeinnaam bezitten
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6693
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 795 keer
Bedankt: 526 keer
Recent bedankt: 13 keer

Bericht

Alles onder free plan. Ik ben wel betalende klant gezien ik een aantal domeinen daar heb zitten.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
didi79
Elite Poster
Elite Poster
Berichten: 1106
Lid geworden op: 25 jun 2007, 15:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 105 keer
Bedankt: 114 keer
Recent bedankt: 1 keer

Bericht

Ik heb intussen een openVPN access server op docker draaien. 2de factor is simpele OTP (ik gebruik hiervoor de google authenticator).
yaris
Premium Member
Premium Member
Berichten: 606
Lid geworden op: 13 mei 2004, 22:16
Uitgedeelde bedankjes: 18 keer
Bedankt: 31 keer

Bericht

Openvpn op mijn asus router en de openvpn client op mijn smartphone. Enige klote is dat ik mijn config terug moet inladen als mijn extern ip is aangepast. Moet is kijken om dit te regelen met een dns.
Ik zet hier, buiten paar torrent poorten, niks open.
didi79
Elite Poster
Elite Poster
Berichten: 1106
Lid geworden op: 25 jun 2007, 15:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 105 keer
Bedankt: 114 keer
Recent bedankt: 1 keer

Bericht

yaris schreef: 28 jul 2024, 12:10 Openvpn op mijn asus router en de openvpn client op mijn smartphone. Enige klote is dat ik mijn config terug moet inladen als mijn extern ip is aangepast. Moet is kijken om dit te regelen met een dns.
Ik zet hier, buiten paar torrent poorten, niks open.
Hier duckdns met een update scriptje op mijn router (routerboard)
BMaster
Elite Poster
Elite Poster
Berichten: 951
Lid geworden op: 01 apr 2005, 14:46
Uitgedeelde bedankjes: 31 keer
Bedankt: 42 keer

Bericht

devastator schreef: 24 jun 2024, 08:18 cloudflare zero trust. Toegang op basis van geolocatie (IP). Buiten die IP range moet je eerst inloggen met 1 van de sign-on providers (Google, GitHub, ...).
Aantal keer verkeerd inloggen in HA geeft een ban in Cloudflare tot gevolg.
Ik ben dit eens aan het uitproberen... naar HA gaan met de browser toont inderdaad eerst de Cloudflare zero trust pagina waar je dan de gewenste sign-in methode kiest. Maar werkt dat bij u met de HA app op de gsm? Ik krijg telkens gewoon de error "unable to connect to Home Assistant" ...
EDIT: dat was een dns issue :-) Nu wordt er naar de browser verwezen om daar in te loggen via cloudflare maar dat geeft eigenlijk direct de error 'invalid login session'. To be continued dus...
EDIT2: blijkbaar kan die app niet goed om met redirect naar browser om in te loggen. Zucht. Ik had eerst tailscale geprobeerd. Werkt fijn, maar toen kwam ik op het werk, gsm ging daar op de guest wifi waardoor surfshark actief werd. Maar tailscale en surfshark gaan ook niet samen... Dan probeert een mens al eens om alles wat beter te beveiligen :bang:
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6693
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 795 keer
Bedankt: 526 keer
Recent bedankt: 13 keer

Bericht

Ik gebruik daarvoor een mtls certificaat. Met de zero trust login pagina krijg je de app niet werkende.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
BMaster
Elite Poster
Elite Poster
Berichten: 951
Lid geworden op: 01 apr 2005, 14:46
Uitgedeelde bedankjes: 31 keer
Bedankt: 42 keer

Bericht

devilkin schreef: 5 maanden geleden Ik gebruik daarvoor een mtls certificaat. Met de zero trust login pagina krijg je de app niet werkende.
Ik zag het wat hoger in het topic ja. Maar dat ken ik niet, dus heb ik voorlopig genegeerd :-) Zal het eens bekijken..
Gebruikersavatar
silentkiller
Premium Member
Premium Member
Berichten: 507
Lid geworden op: 24 jun 2008, 13:36
Locatie: Limburg
Uitgedeelde bedankjes: 39 keer
Bedankt: 73 keer
Recent bedankt: 1 keer

Bericht

Good to know: mTLS werkt NIET in de iOS app.

In de forums/pull requests is door Frenck gereageerd dat ze dit niet gaan implementeren wegens te complex

Waarom dat het voor android dan wel werkt? “Keuzes uit het verleden stroken niet altijd met keuzes van vandaag”

(Ofte: aan home assistant cloud verdienen we wel geld ;-))
BMaster
Elite Poster
Elite Poster
Berichten: 951
Lid geworden op: 01 apr 2005, 14:46
Uitgedeelde bedankjes: 31 keer
Bedankt: 42 keer

Bericht

Gisterenavond nog wat geprutst en met mTLS werkt het nu vanop de Android gsm! En voor de 'gewone' web toegang wordt dan via Google ingelogd, maar enkel toegang gegeven met bepaalde email adressen. En lokaal thuis kan ik via adguard dns connecteren via Traefik (die heb ik toch al voor andere zaken), zodat ik er ook zonder internetconnectie zou aan moeten kunnen.Top! Merci voor de hints hier :-)
Gebruikersavatar
Joe de Mannen
Elite Poster
Elite Poster
Berichten: 6726
Lid geworden op: 22 feb 2005, 11:46
Uitgedeelde bedankjes: 344 keer
Bedankt: 468 keer
Recent bedankt: 4 keer

Bericht

Ik heb geprobeerd met de Teleport VPN van Unifi, met mijn android telefoon werkt dat, ik kan mijn home assistant bereiken, maar met de laptop lukt het dus niet. VPN openen wel, HA bereiken niet. Maar mijn NAS ook niet , dus moet het haast iets met de config op de unifi te maken hebben.
HA zit op een IOT vlan, NAS zit op de algemene vlan, VPN maakt automatisch een nieuwe vlan met de volgende ip range.

Het enige verschil dat ik kan zien is dat mijn laptop fysiek op een netwerk zit met dezelfde range als mijn thuisnetwerk.

pingen lukt wel. delays liggen rond de 50ms.

Iemand tips ?
J.
Ik ben alleen verantwoordelijk voor mij eigen uitspraken, niet voor wat anderen ervan maken of aan toevoegen...
Roeland540
Starter
Starter
Berichten: 2
Lid geworden op: 24 jul 2024, 10:21
Uitgedeelde bedankjes: 1 keer

Bericht

Zelf raad ik Tailscale aan. Dit werkt achterliggend met het wireguard protocol maar daar merk je als gebruiker niets van.
De setup is super simpel via een home assistant add-on en het werkt naar mijn ervaring enorm betrouwbaar.
De client op mijn laptop en android telefoon staat altijd aan. Dus het werkt gewoon altijd.
Via de subnet router functie kan je zelf aan je volledig netwerk.