Home Assistant mit Lets Enrypt Plugin oder Nginx

Don-DCH

Captain
Registriert
Aug. 2009
Beiträge
3.241
Guten Mittag,

ich wollte seit langem mal mein Home Assistant komplett neu aufsetzen.
Bisher nutze ich DuckDNS und bin recht zufrieden.
In Zukunft möchte ich aber meine eigene Domain verwenden.

Die passende habe ich schon gekauft und einen A Record eingerichtet auf meine statische IP.

Anschließend habe ich das entsprechende Add On Lets Encrypt aus dem Add On Store von Home-Assistant installiert.

Dieses habe ich entsprechend der Anleitung für eine DNS Challange konfiguriert.
Als ich dann das Zertifikat in Home Assistant einbinden wollte habe ich dies genau nach Anleitung in die Config geschrieben

"
# TLS with letsencrypt add-on
http:
server_port: 443
ssl_certificate: /ssl/fullchain.pem
ssl_key: /ssl/privkey.pem

"

Funktioniert wunderbar.
Als ich dann nach der http Integration geschaut habe, welche Optionen diese bietet habe ich mich gewudnert, das Home Assistant den nginx proxy manager empfiehlt.
Es geht mir ja nur um Home Assistant.
https://www.home-assistant.io/integrations/http/


Es wär ja jedes mal ein Umweg, so wie ich es verstehe handelt es sich dbaei um einen eigenen Docker, welcher von Home Assistant verwaltet wird?
Das heißt theroretisch mehr Sicherheit weil alle Anfragen erstmal da landen?
Oder was ist der Grund warum ich nicht auf das Lets Encrypt Add On setzen sollte?

Trotz Portfreigabe habe ich die letzten Jahre keinerlei Angriffe verzeichnet gottseidank.
Ich habe ja auch einen recht guten Router mit Firewall und Blocking Regeln.

Benutzer sowie Adminkonto haben alle ein sehr sehr langes und starkes Passwort sowie alle 2 Faktor Authentifizierung.
Dazu noch den Standard Port umgebogen.

Denkt Ihr ich sollte das ändern oder kann ich das gefahrenlos so betreiben?

Viele Grüße und einen guten Stat in die neue Woche :)
 
Ich bin nicht "voll im Fach", aber wäre ein VPN hier nicht die "einfacherer" Lösung, anstatt mit Portfreigaben, eigener Domain etc weitere Angriffspunkte zu schaffen?
 
  • Gefällt mir
Reaktionen: eigsi124, Engaged, LuxSkywalker und 2 andere
Don-DCH schrieb:
Denkt Ihr ich sollte das ändern oder kann ich das gefahrenlos so betreiben?

klappt alles so lang es keine sicherheits lücken gibt und du keine unsicheren dienste an bietest

man weiss es eben nie

selbst bei Linux/SSH das eigentlich, #1 für Sicherheit stehen sollte, gibt es Unfälle. Wie den Supergau kürzlich mit der Backdoor die nur zufällig gerade noch rechtzeitig, entdeckt wurde

je obskurer das Projekt desto weniger Leute schauen darauf

man kann eine eigene domain, mit letsencrypt zertifikat haben, und diese dann trotzdem nur im intranet/vpn nutzen. dafür ist die dns challenge da es ist kein öffentlich webserver nötig. wenn es also nur für dich ist. mach dir die mühe und stopfe alles hinter wireguard oder sonst
 
  • Gefällt mir
Reaktionen: LuxSkywalker
Würde vom Gefühl her auch davon abraten das Ganze nach außen zu exposen und eher mit einem VPN fahren.
Zu deiner eigentlichen Frage: In welcher Form läuft HA denn bei dir? Falls es schon als Docker Conatiner läuft bietet sich der Nginx Proxy Manager durchaus an. Der ist wirklich relativ simpel einzurichten, nutze den selbst auch für meinen Vaultwarden Server. So bist du halt sehr flexibel, wenn eine weitere Applikation auf dem Server hinzukommt. Subdomain angeben und sagen auf welchem Port die Anwendung läuft, fertig. Let's Encrypt Certs kannst du dort auch direkt anfordern. Ich betreibe das Ganze Konstrukt nur intern und habe daher meine Domain auf eine lokale IP gelenkt und anschließend im Nginx Proxy Manager einen API Key von Ionos (dort hab ich meine Domain) hinterlegt, damit er das entsprechende Cert anfordern kann. Bzgl. der Certs fahre ich persönlich dann mit einem Wildcard Cert (*.domain.com). Macht das Ganze etwas einfacher, wenn neue Dienste hinzukommen sollen
 
Zuletzt bearbeitet:
MadMax_87 schrieb:
Ich bin nicht "voll im Fach", aber wäre ein VPN hier nicht die "einfacherer" Lösung,
Das stimmt, das geht sehr einfach. Der Nachteil ist, das Push Benachrichtigungen eider so nicht nutzbar sind.
Man müsste ständig mit dem VPN verbunden sein.

kieleich schrieb:
wenn es also nur für dich ist. mach dir die mühe und stopfe alles hinter wireguard oder sonst
Ist für mich tatsächlich keine Mühe ein VPN einzurichten aber leider ist dann die Funktionalität eingeschränkt, das möchte ich eigentlich nicht.

kieleich schrieb:
je obskurer das Projekt desto weniger Leute schauen darauf
Hmm Home Assistant hat, so finde ich, schon eine sehr große Community und es gibt ständig Updates.

Aber ja du ahst recht, das vieles erst manchmal spät/zuspät rauskommt :(

prayhe schrieb:
In welcher Form läuft HA denn bei dir?
Ich habe es nach Anleitung direkt auf meinem PC installiert.
https://www.home-assistant.io/installation/generic-x86-64

Laut der Tabelle ganz unten müsste es HA OS sein:
https://www.home-assistant.io/installation/

prayhe schrieb:
So bist du halt sehr flexibel, wenn eine weitere Applikation auf dem Server hinzukommt.
Home Assistant möchte ich getrennt von anderen Applikationen belassen. Für Alles andere würde ich gerne meinen nicht im Internet erreichbaren Unraid server nehmen. Vielelicht kommt noch der Adguard auf den Home Assistant aber das wars dann :)

prayhe schrieb:
Bzgl. der Certs fahre ich persönlich dann mit einem Wildcard Cert (*.domain.com). Macht das Ganze etwas einfacher, wenn neue Dienste hinzukommen sollen
So hatte ich das für meinen Unraid Server angedacht mit Ngingx Proxy Manager daher frage ich mich ob es noch für Home Assistant sein muss?

Da würde ich eigentlich gerne nur das Lets Enrypt Add On haben.
Um direkt SSL haben.
 
Don-DCH schrieb:
Das stimmt, das geht sehr einfach. Der Nachteil ist, das Push Benachrichtigungen eider so nicht nutzbar sind.
Man müsste ständig mit dem VPN verbunden sein.
Bei mir kommen Push Nachrichten auch ohne VPN (edit: und ohne eine sonstige Freigabe Richtung Internet). Nur die Companion App auf dem Handy und in der Automation entsprechend das Gerät auswählen.

Edit: Hatte mich anfangs auch überrascht, aber es geht, zumindest bei der HA App auf iOS.
Das Setup mit VPN und Pushinfos auch ohne VPN ist mir sehr viel lieber, als HA aus dem Internet verfügbar zu machen.
Was spricht für dich sonst gegen die VPN Option?
 
Zuletzt bearbeitet:
Huch? Wie soll das denn technisch funktionieren, wenn absolut nichts von außen erreichbar ist?
 
Bei AVM lief das über einen Zwischenservice, ich glaube Google Firebase. Die Push Nachricht geht nicht direkt zum Handy, sondern von der FB zu Googles Firebase, welches wiederrum dann die Push zum Handy macht.

Würde von der Art her zum Verhalten passen wie ich es bei HA habe passen.
 
  • Gefällt mir
Reaktionen: prayhe
Was spricht denn gegen den Home Assistant cloud dienst, außer dass er (ich glaub) 7,99€ im Monat kostet (Jährlich abgerechnet sogar weniger)?

Ich hab auch Home Assistant selbst gehostet, auch mit Google Home und mittlerweile Alexa.
Bei mir lief auch alles über Nginx Proxy Manager mit eigener domain (ha.<meineDomain>.de) und Lets encrypt über NPM. Knapp 2 Jahre mit Portfreigabe und NPM

Aber mittlerweile ist mir das alles zu "doof" geworden. Dazu immer der Gedanke im Hinterkopf, dass man "angreifbarer" ist, sollte irgendwo eine unbekannte schwachstelle sein. Mit der Nabu Casa lösung von Home Assistant must du dich um nichts mehr kümmern, hast keine Portfreigaben, und kannst easy von überall drauf zugreifen. Auch die Verbindung zu Google Home und Alexa ist mit 1-2 Klicks eingerichtet. Du kannst bei Home Assistant Cloud auch deine eigene domain mit angeben, und musst dir dann nicht die komplizierte url merken. So kann ich auch per <subdomain>.ui.nabu.casa auf mein Home Assistant von überall drauf zugreifen sondern auch per ha.<meineDomain>.de

Mir ist es mittlerweile das Geld wert, und ich unterstütze damit auch echt gerne die Entwicklung von Home Assistant. Ist vielleicht auch eine Überlegung, jenachdem wieviel Zeit du an Wartung und alles in deine sonst freigegebene Home Assistant Instanz stecken willst.
 
  • Gefällt mir
Reaktionen: prayhe
CubeID schrieb:
Bei mir kommen Push Nachrichten auch ohne VPN (edit: und ohne eine sonstige Freigabe Richtung Internet). Nur die Companion App auf dem Handy und in der Automation entsprechend das Gerät auswählen.
Wow das wäre ja wirklich Klasse.
CubeID schrieb:
Was spricht für dich sonst gegen die VPN Option?
Das wäre tatsächlich der Einzige Punkt.....

CubeID schrieb:
Bei AVM lief das über einen Zwischenservice
Hmm ist die Frage ob es mit meiner UniFi Dream Machine auch geht.

Weißt du wie sich dieser Service nennt? So das ich mal schauen könnte ob mein Router das auch kann?

Danke dir in jedem Fall für diese sehr Interessante und vielleicht entscheidende Information.

skiefis schrieb:
Was spricht denn gegen den Home Assistant cloud dienst
Ein zusätzliches kostenpflichtiges Abo möchte ich nicht unbedingt.
Der größte Kritikpunkte, der mich bereuen lassen hat, das ich meine Dream Machine auch über die Cloud eingebunden hatte ist, dass wenn so ein anbieter gehackt wird haben plötzlich Fremde Zugriff.

So große Anbieter haben zwar andere Firewalls etc. sind aber auch viel größere Ziele...

skiefis schrieb:
Dazu immer der Gedanke im Hinterkopf, dass man "angreifbarer" ist,
Ist man das nciht auch über die Cloud?

skiefis schrieb:
ha.<meineDomain>.de
so habe ich es auch vor, habe ja bereits eine eigene domain.

skiefis schrieb:
Mir ist es mittlerweile das Geld wert,
Die Frage ist auch ob und wie oft dann in Zukunft erhöht wird und einmal eingerichtet ist man ja schon irgendwie gebunden bzw. will es nicht mehr missen....

skiefis schrieb:
Ist vielleicht auch eine Überlegung, jenachdem wieviel Zeit du an Wartung und alles in deine sonst freigegebene Home Assistant Instanz stecken willst.
Updates mache ich sowieso Regelmäßig.

In den letzten Jahren hatte ich mit DuckDNS absolut keine Probleme (ZUmindest hab ich kein Hackerangriff bemerkt)
Fehkgeschlagene Logins Zeigt Home Assistant ja an, da hatte ich 0
Keinen einzigen "Angriff"

Die Frage ist nur was besser ist über ngnix oder einfach das Lets Encrypt Add on.
Ich werde das ganze mal wie gesagt wurde mit VPN testen. Wäre natürlich klasse wenn das funktioniert mit meinem Router
 
Grad nochmal in den Mails geschaut: Google Firebase Cloud Messaging Dienst.
 
  • Gefällt mir
Reaktionen: Don-DCH
Don-DCH schrieb:
Ein zusätzliches kostenpflichtiges Abo möchte ich nicht unbedingt.
Ich seh das nur indirekt als "Abo" für mich. Ja ich hab das wissen, alles selbst zu hosten. Hab ich auch lange genug gemacht. Ich habe in Home Assistant mittlerweile meine gesamte Wohnung voll-Automatisiert. Und was da jeden Monat an Updates von Home Assistant bereit gestellt wird, ist extrem viel und gut. Ja, prinzipiell ist Home Assistant Open source, trotzdem unterstütze ich die (weiter)Entwicklung mit meinen Monatlichen "Abo" gerne.
Don-DCH schrieb:
Ist man das nciht auch über die Cloud?
Klar. Über die Cloud ist man auch angreifbar. Aber du hast zumindest ein Einfallstor "weniger" oder erstmal von dir weg umgeleitet. Mit Nabu Casa betreibt Home Assistant eine Art reverse Proxy. Deine Home Assistant Instanz verbindet sich mit deren Servern, und dorthin werden die Daten ausgetauscht. Du brauchst also erstmal keine Portfreigaben im Router, und vermeidest somit ggf. ein Einfallstor.

Zusätzlich wird deine Home Assistant Version per Cloud "Überwacht". Solltest du eine Version von Home Assistant betreiben, die bekannte Sicherheitsrisiken enthält, bekommst du eine E-Mail die dich zum Update auffordert, und der remote zugriff wird gesperrt, bis das Update abgeschlossen wurde. In meinen knapp 5 Jahren mit Home Assistant ist das aber erst einmal passiert.
1716838172786.png

Don-DCH schrieb:
so habe ich es auch vor, habe ja bereits eine eigene domain.
so betreibe ich Home Assistant auch bei mir zuhause. Ich nutze aber die die Nabu Casa Adresse als "fallback", weil meine Domain z.B. bei zscaler als "unknown Domain" geführt ist, und dann kann ich über die Netzwerke nicht auf meine Home Assistant Instanz zugreifen.

Don-DCH schrieb:
Die Frage ist auch ob und wie oft dann in Zukunft erhöht wird und einmal eingerichtet ist man ja schon irgendwie gebunden bzw. will es nicht mehr missen....
Ich war zuerst bei denen im Abo, hab dann das self hosting für mich entdeckt, und erstmal alles selbst gemanaged. Nach knapp 2 Jahren hab ich dann immer weniger Zeit und Nerven dafür gehabt um mich um alles und Updates zu kümmern, und bin wieder auf deren Cloud dienst zurück gewechselt. Solange ich mir das leisten kann und die ihre Preise nicht merklich erhöhen, werde ich auch bei der Cloud Lösung bleiben. Sollte ich wieder weg wollen, muss ich nur 2 Zeilen in meiner config.yaml einkommentieren, und ich bin wieder komplett selbst ghostet.
 
  • Gefällt mir
Reaktionen: Don-DCH
CubeID schrieb:
Grad nochmal in den Mails geschaut: Google Firebase Cloud Messaging Dienst.
Danke dir!
In welchen Mails wenn ich Fragen darf?
Wenn ich es richtig verstanden habe, musstest du bei der Fritzbox und bei Home Assistant garnichts konfigurieren gell?

Ich werde mich mal auf die Suche machen ob Google etwas an Ergebnissen liefert mit den Schlagworten und ggf. es einfach mal alles mit WireGuard einrichten und testen ist ja nicht so das Problem. Das Problem ist eher das man unter iOS ja nur eine Appinstallation haben kann. Muss ich mal schauen, wie ich das mache aber da wird sich was finden.
Ich bin schon sehr gespannt ob es bei mir klappt :)


skiefis schrieb:
Und was da jeden Monat an Updates von Home Assistant bereit gestellt wird, ist extrem viel und gut.
Da stimme ich dir zu!
Wirklich wahnsinn wie sich Home Assistant in den Jahren gewandelt hat.
skiefis schrieb:
Ja, prinzipiell ist Home Assistant Open source, trotzdem unterstütze ich die (weiter)Entwicklung mit meinen Monatlichen "Abo" gerne.
Da stimme ich dir auch zu. Ich bin dann jemand, der lieber eine Einmalige Spende da lässt. Die kann es auch mehrmals im Jahr geben aber mann ist einfach nicht gezwungen.
Mich stört dann dieser Zwang und diese Abhängigkeit. Aber das ist ja alles sehr individuell...

skiefis schrieb:
Klar. Über die Cloud ist man auch angreifbar. Aber du hast zumindest ein Einfallstor "weniger" oder erstmal von dir weg umgeleitet. Mit Nabu Casa betreibt Home Assistant eine Art reverse Proxy. Deine Home Assistant Instanz verbindet sich mit deren Servern, und dorthin werden die Daten ausgetauscht. Du brauchst also erstmal keine Portfreigaben im Router, und vermeidest somit ggf. ein Einfallstor.
Hmm achso, dann habe ich das verwechselt bzw. könnte sich jemand wenn er das Hackt nicht auch dazwischen schalten und die Eingabedaten abgreifen?


skiefis schrieb:
Zusätzlich wird deine Home Assistant Version per Cloud "Überwacht". Solltest du eine Version von Home Assistant betreiben, die bekannte Sicherheitsrisiken enthält, bekommst du eine E-Mail die dich zum Update auffordert, und der remote zugriff wird gesperrt, bis das Update abgeschlossen wurde. In meinen knapp 5 Jahren mit Home Assistant ist das aber erst einmal passiert.
Das ist ein netter Service :)

skiefis schrieb:
meine Domain z.B. bei zscaler als "unknown Domain" geführt ist, und dann kann ich über die Netzwerke nicht auf meine Home Assistant Instanz zugreifen
das sagt mir alles garnichts, müsste ich mal recherschieren was das heißt.

skiefis schrieb:
ch war zuerst bei denen im Abo, hab dann das self hosting für mich entdeckt, und erstmal alles selbst gemanaged. Nach knapp 2 Jahren hab ich dann immer weniger Zeit und Nerven dafür gehabt um mich um alles und Updates zu kümmern, und bin wieder auf deren Cloud dienst zurück gewechselt.
Och ich finde die Updates eigentlich nicht schlimm, da ich auch aimmer Neugierig bin was sich verändert lese ich tatsächlich gerne die Release Notes :D
An Updates habe ich mich gewöhnt, Windows, Smartphone, Spielekonsole, TV etc.. alle wollen sie oft Updates, eigentlich eine gute Sache wenn neue Funktionen dazukommen und Sicherheitsprobleme aus dem Weg geräumt werden :)
Auch das ist alles ja sehr individuell :)
 
Don-DCH schrieb:
Danke dir!
In welchen Mails wenn ich Fragen darf?
Wenn ich es richtig verstanden habe, musstest du bei der Fritzbox und bei Home Assistant garnichts konfigurieren gell?
Ich hatte dem AVM Support gemailt, mit der Frage wie es sein kann, dass ich Push Nachrichten (verpasste Anrufe) von einer FB bekomme in deren Netz ich nicht bin.
Antwort: Wenn man die AVM App MyFritz installiert und mit der entfernten FB verbunden hat, bekommt man über den Google Firebase Cloud Messaging Dienst Push Nachrichten.

Bei mir habe ich nix bewusst im HA oder FB konfiguriert. Klar, in der Automation muss man das entsprechend hinterlegen - Call a service 'Notifications: Send a notification via mobile_app_xyz' on - aber sonst hab ich da nix aktiv bei mir gemacht.
Dachte auch das geht nur lokal, bis ich mal eine Push Nachricht auf dem Handy hatte, wo ich mir erst nicht sicher war ob ich die noch daheim oder schon unterwegs bekommen habe.
Kann man beim auch relativ einfach testen - WLAN aus und schauen ob die Push Info kommt.
 
Zurück
Oben