Zugriff auf HA aus der Ferne via Wireguard

Basic im Umgang mit Home Assistant. Tipps und Ratschläge die den Umgang mit Home Assistant erleichtern.


Antworten
fummelkopp
Beiträge: 9
Registriert: Mi 28. Dez 2022, 13:49
1
Been thanked: 1 time

Zugriff auf HA aus der Ferne via Wireguard

Beitrag von fummelkopp »

Moin!
Ich quäle mich seit Wochen durch Foren und finde einfach nicht den passenden Weg, eventuell habe ich auch schon zuviel gelesen. Nun zu meinem Problem bzw. der Ausgangssituation:

Ich habe aus verschiedenen Gründen einen VPS-Server mit Wireguard und kann problemlos mit dem Smartphone über diesen Server ins Internet gehen. Auch Home Assistant verbindet sich als Client (das kann ich in dem Protokoll nachvollziehen) mit dem VPS-Wireguard-Server.

Nun zu meiner Frage:
Wie komme ich ich mit meinem Smartphone auf meine Home Assistant-Installation aus der Ferne. Was muss ich am Server ggf. einstellen, was am Client (also Smartphone und HA)?

So sieht es bei mir in Bildern aus:

Bildschirmfoto vom 2022-12-28 14-17-32.png
Bildschirmfoto vom 2022-12-28 14-17-32.png (56.69 KiB) 3265 mal betrachtet
Dateianhänge
Screenshot_20221228-143117.png
Screenshot_20221228-143117.png (101.27 KiB) 3265 mal betrachtet
Bildschirmfoto vom 2022-12-28 14-29-52.png
Bildschirmfoto vom 2022-12-28 14-29-52.png (45.59 KiB) 3265 mal betrachtet
Benutzeravatar
Osorkon
Administrator
Beiträge: 1905
Registriert: Sa 17. Jul 2021, 16:53
2
Wohnort: Langenargen
Has thanked: 60 times
Been thanked: 516 times
Kontaktdaten:

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von Osorkon »

Habe Wireguard nicht im Einsatz. Ist einer Art VPN, wenn ich richtig quergelesen habe.

Wenn Du dich per VPN von außerhalb in dein Netzwerk einwählen tust. Kannst Du dann per Browser und locale IP-Adresse auf Home Assistant zugreifen?
Wenn ich mich per VPN ins mein Netz einwähle, muss ich als externe URL die interne IP-Adresse mit port in der HA APP eingeben, was ja auch sinn macht, da ich mich bereits im eigenen Netzt befinde.

Für den Fernzugriff verwende ich ich den Nginx Proxy Manager in Verbindung mit eigner Domain und einer festen IP Adresse.

Vielleicht gibt es hier ja noch jemand der sich mit Wireguard auskennt.

Gruß
Osorkon

Einer muss ja für Ordnung sorgen. :D
fummelkopp
Beiträge: 9
Registriert: Mi 28. Dez 2022, 13:49
1
Been thanked: 1 time

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von fummelkopp »

Osorkon hat geschrieben: Mi 28. Dez 2022, 23:05

Habe Wireguard nicht im Einsatz. Ist einer Art VPN, wenn ich richtig quergelesen habe.

Stimmt. Ist momentan als VPN-Lösung stark im kommen.

Wenn Du dich per VPN von außerhalb in dein Netzwerk einwählen tust. Kannst Du dann per Browser und locale IP-Adresse auf Home Assistant zugreifen?

Bislang tue ich das noch nicht, das beabsichtige ich ja. Daher auch meine Frage.

Wenn ich mich per VPN ins mein Netz einwähle, muss ich als externe URL die interne IP-Adresse mit port in der HA APP eingeben, was ja auch sinn macht, da ich mich bereits im eigenen Netzt befinde.

Für den Fernzugriff verwende ich ich den Nginx Proxy Manager in Verbindung mit eigner Domain und einer festen IP Adresse.

Vermutlich meinst du die hier beschriebene Lösung: viewtopic.php?f=41&t=440 (Externer Zugriff auf HA Server). Was ich definitiv nicht möchte ist eine Portweiterleitung am Router.
Daher ja auch der Gedanke, den vorhandenen VPN-Server zu verwenden und Home Assistant eine Verbindung zu diesem aufbauen zu lassen. Das scheint laut Verbindungsanzeige bzw. Protokoll des VPN-Servers auch bereits zu funktionieren.
Die Besonderheit bei mir liegt darin dass ich keinen VPN-Server im heimischen Netzwerk betreibe (dafür gibt es im Netz reichlich Anleitungen) sondern eben als vServer bei einem Provider. Meine Frage ist daher auch eher Wireguard-spezifisch.

Vielleicht gibt es hier ja noch jemand der sich mit Wireguard auskennt.

Ich hoffe.....

wuschel
Beiträge: 34
Registriert: So 25. Jul 2021, 13:26
2

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von wuschel »

Habe einen Pi laufen, wo PiHole und Wireguard drauf läuft.
Druch einen ISP wechsel (Deutsche Glasfaser) habe ich keine eigene ipv4 mehr bekommen, nur eine öffentiche ipv4 bzw ipv6.
Somit war mein alter weg ins Heimnetz zu kommen dicht.

Entscheidung viel dann irgendwann auf Wireguard, jetzt seit über 1 Jahr im Einsatz. Ohne irgendwelche hänger oder sonst was komme ich aus dem 4G egal wo ich mich befinde ins Heimnetz um ggf. das Garagentor für den Nachbarn zu öffnen wenn der mal was braucht.

https://desec.io/ ist der eingesetzte dyn

Gruß

Jim_OS

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von Jim_OS »

fummelkopp hat geschrieben: Do 29. Dez 2022, 05:56

Was ich definitiv nicht möchte ist eine Portweiterleitung am Router.

Vorab: Ich habe keine Ahnung von Wireguard oder Deiner VPS-Server Konfiguration bei Deinem Provider. :lol: Ich nutze die VPN-Verbindung per Fritzbox und MyFritz. Ich habe eben nur mal die von Dir verlinkten Install.-Anleitungen überflogen.

Bzgl. Portweiterleitung/-freigabe am Router: Lt. Anleitungen müsste der UDP Port 51820 freigegeben/weitergeleitet werden.

Was Deinen VPS-Server betrifft: Gibt es von dem Hoster nicht eine Anleitung wie dafür der VPN-Zugriff einzurichten ist? Denn was Dir "fehlt" ist ja der/ein DynDNS-Dienst der dann den Zugriff auf HA ermöglicht. Oder was hast Du als HA URL für den externen Zugriff bei HA eingetragen?

Mir fehlt da irgendwie die Host-Angabe. Also entweder eine fest IP, falls das so bei Deinem VPS-Server funktionieren sollte, bzw. vorgesehen ist, oder halt irgendeine DynDNS-URL, sofern diese von dem VPS-Server generiert wird.

Der grundsätzliche Weg ist ja der: Deine HA-Install. braucht eine öffentliche https URL (z.B. per DynDNS-Dienst) und diese kannst Du dann von überall aus aufrufen. Mit oder ohne VPN-Verbindung/Tunnel. D.h. zuerst wäre mal zu klären wie der Weg VPS-Server <---> HA umgesetzt ist. Erst danach kommt die Wireguard-Einrichtung.

Kennst Du vielleicht beides schon, aber:
Hier ist z.B. die Variante Wireguard Addon + Duck DynDNS beschrieben: https://www.rogerfrost.com/connect-remo ... assistant/
Hier ein Video für VPN Wireguard unter HA: https://www.youtube.com/watch?v=a043sJ3dCcI Allerdings auch da per Router DynDNS und nicht per VPS-Server.

VG Jim

mondface
Beiträge: 167
Registriert: Di 10. Mai 2022, 23:06
1
Has thanked: 110 times
Been thanked: 12 times

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von mondface »

Hi,
du schreibst:

Ohne irgendwelche hänger oder sonst was komme ich aus dem 4G egal wo ich mich befinde ins Heimnetz um ggf. das Garagentor für den Nachbarn zu öffnen wenn der mal was braucht.

Dann musst du ja auf die IP Adresse deines HA per Webbrowser kommen?

Wenn das funktioniert gibst du diese IP dann in die App ein:
settings/companion App/ und dort unter "interne URL"

fummelkopp
Beiträge: 9
Registriert: Mi 28. Dez 2022, 13:49
1
Been thanked: 1 time

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von fummelkopp »

@wuschel
@Jim_OS
vielen Dank zunächst für eure Antworten. Ich will es nochmal etwas konkretisieren bzw. wiederholen. Mein HA hat bereits Verbindung zum Wireguard-vServer. Ich habe nicht das normale Wireguard-Addon verwendet, welches als Server agiert und wo ich letztlich auch eine Portweiterleitung brauche (welche ich nicht will) sondern ein Fork des Addons ( https://github.com/bigmoby/addon-wireguard-client ). Dieses arbeitet als Wireguard-Client und verbindet sich mit dem Server.

Ich habe ein Verständnisproblem wie ich mit meinem Smartphone, welches sich ja auch mit dem Wireguard-Server verbindet, auf HA zugreifen kann.

mondface
Beiträge: 167
Registriert: Di 10. Mai 2022, 23:06
1
Has thanked: 110 times
Been thanked: 12 times

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von mondface »

klappt bei dir auf dem smartphone im Webbrowser:

http://"IP Adresse deines HA":8123

also z.B.:
http://192.168.1.40:8123

fummelkopp
Beiträge: 9
Registriert: Mi 28. Dez 2022, 13:49
1
Been thanked: 1 time

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von fummelkopp »

mondface hat geschrieben: Do 29. Dez 2022, 13:49

klappt bei dir auf dem smartphone im Webbrowser:

http://"IP Adresse deines HA":8123

also z.B.:
http://192.168.1.40:8123

Zuhause im WLAN? Na Klar! - Oder was meintest Du?

mondface
Beiträge: 167
Registriert: Di 10. Mai 2022, 23:06
1
Has thanked: 110 times
Been thanked: 12 times

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von mondface »

mit Mobilfunk?

fummelkopp
Beiträge: 9
Registriert: Mi 28. Dez 2022, 13:49
1
Been thanked: 1 time

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von fummelkopp »

mondface hat geschrieben: Do 29. Dez 2022, 13:59

mit Mobilfunk?

Nein, natürlich nicht. Sonst hätte ich ja dieses Thread/dieses Thema nicht eröffnet. ;)

mondface
Beiträge: 167
Registriert: Di 10. Mai 2022, 23:06
1
Has thanked: 110 times
Been thanked: 12 times

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von mondface »

was bedeutet das denn hier:

Ohne irgendwelche hänger oder sonst was komme ich aus dem 4G egal wo ich mich befinde ins Heimnetz um ggf. das Garagentor für den Nachbarn zu öffnen wenn der mal was braucht.

ich lese dass so, dass du auf dein heimnetz zu greifen kannst.
und dort ist doch dein HA.

fummelkopp
Beiträge: 9
Registriert: Mi 28. Dez 2022, 13:49
1
Been thanked: 1 time

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von fummelkopp »

mondface hat geschrieben: Do 29. Dez 2022, 14:10

was bedeutet das denn hier:

Ohne irgendwelche hänger oder sonst was komme ich aus dem 4G egal wo ich mich befinde ins Heimnetz um ggf. das Garagentor für den Nachbarn zu öffnen wenn der mal was braucht.

ich lese dass so, dass du auf dein heimnetz zu greifen kannst.
und dort ist doch dein HA.

Die Nachricht war von wuschel, nicht von mir.

Jim_OS

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von Jim_OS »

fummelkopp hat geschrieben: Do 29. Dez 2022, 13:41

Ich habe ein Verständnisproblem wie ich mit meinem Smartphone, welches sich ja auch mit dem Wireguard-Server verbindet, auf HA zugreifen kann.

Ich kann Dir nur sagen wie ich das bei mir mache, bzw. vor Nabu Casa gemacht habe: Ganz einfach in dem ich auf die https-URL zugreife die bei HA als URL eingetragen ist und die von DynDNS stammt, bzw. geliefert wird.

Wenn ich eine VPN-Verbindung von außerhalb in mein LAN aufbaue habe ich halt eine Verbindung zu meinem Router und bin somit bei mir im LAN. Somit kann ich natürlich auch auf alle Geräte im LAN zugreifen.

Das bei dem/Deinen Aufbau keine Portfreigabe benötigt wird da bin ich mir nicht wirklich sicher, aber bei Deiner Konstellation kann ich Dir leider auch nicht weiter helfen. Insbesondere weil ich nicht weiß wie der VPS-Server ins Spiel kommt und was genau der dann macht.

VG Jim

homassistantlover
Beiträge: 1
Registriert: Mi 5. Jul 2023, 10:12
Has thanked: 1 time

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von homassistantlover »

Hi, ich habe aktuell exakt das gleiche Problem und wollte dich fragen, ob du eine Lösung gefunden hast und wie deine fertige Config aussieht? Ich habe per Wireguard-Client Addon einen dauerhaften handshake aber kann über meine url (laufe auch über einen vserer) nicht erreichen, ich erhalte immer einen 502 Gateway error.
Ich hoffe du konntest das damals lösen? :D

fummelkopp
Beiträge: 9
Registriert: Mi 28. Dez 2022, 13:49
1
Been thanked: 1 time

Re: Zugriff auf HA aus der Ferne via Wireguard

Beitrag von fummelkopp »

Sorry für die späte Antwort, warscheinlich hast du es schon selbst gelöst. Nachfolgend meine .yaml vom Wireguard-Client-Addon:

Code: Alles auswählen

interface:
  private_key: ?????????????????????
  address: 10.252.1.4/32
  dns:
    - 176.9.93.198
    - 176.9.1.117
  post_up: >-
    iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE; iptables -A FORWARD -p
    tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
  post_down: >-
    iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE; iptables -D FORWARD -p
    tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
  mtu: 1450
peers:
  - public_key: ?????????????????????????
    pre_shared_key: ???????????????????????????
    endpoint: Deine-VPN-Server-IP:51820
    allowed_ips:
      - 10.252.1.0/24
    persistent_keep_alive: "15"

Meine Home-Assistant-Installation hat also im VPN die IP 10.252.1.4, Mein VPN-Server hat die interne VPN-IP 10.252.1.1, unter "endpoint:" kommt aber die normale IP des Servers (wie er aus dem Netz erreichbar ist) mit Port 51820.
Vermutlich musst du auch die in meinem Beispiel genannten dns-Adressen ändern, über diese arbeitet mein VPN-Server.

In der Homeassistant-App auf dem Smartphone gebe ich nun http://10.252.1.4:8123 ein.

Antworten