I don't really understand why do you need VPN at all. In my case, I have HA sitting on a reverse proxy behind a router (OpenWRT). Router runs DuckDNS script to keep external IP up to date and also gets certificates through ACME. So, in my HA app, I simply specify my DuckDNS address and the OpenWRT router handles routing, reverse proxy, and SSL termination. I can post configs, if anyone is interested, but it's really nothing special...P PsychoCheF skrev:
That's true, but the same applies to your VPN entry point. The only difference is that you can set up MFA for your HA login, which is a lot harder to do for your VPN server.useless skrev:
Additionally, exposed VPN attracts a lot wider audience of the potential hackers.
Du måste börja med vad du har för router så kan man fundera på en VPN-lösning.P PsychoCheF skrev:
I min router har jag både en OpenVPN-server samt en Wireguard. (Unifi Gateway Lite) och sedan är det bara att ha klientapparna till dito på mobilen.
Om du är riktigt paranoid kan du sätta den exponerade HA bakom http basic auth med någon generisk namn som ett extra lager. Då vet ingen ens vad det är du kör för någonting på webbservern.
Men att köra sin egen webbserver är väl ungefär lika sårbart som att köra Nabu Casa. Jag känner mig säkrare med den lösningen då en tredje part med stor måltavla på sig inte har tillgång till min maskin. Senaste året har 2 okända IPn anslutit till den domän jag använder för HA. Och de gjorde bara en request vardera (något script som frågade vilken wordpressversion som användes - ingenting som brydde sig om HA)
Routern är en asus rt-ac2900, med merlin wrt firmware.P paralun skrev:
Openvpn finns, wireguard finns inte.
Såg ett inlägg att man manuellt kan installera wireguard som ett addon på några av asus äldre routers.
Fick igång en openvpn server för något år sedan, men det hela föll på buggig app (android OpenVPN Connect) i telefonen och manuell anslutning.
Kanske värt att testa igen och se om appen fungerar bättre idag. 🧐
Får jag sedan till automagisk anslutning utanför hemma wifi kanske det är vägen fram?
Kan man få Tailscale att ansluta automatiskt utanför hemwifi?
En extra app och installation är görbart, men inte en manuell anslutning.
Tittade lite på Tailscale, det lovordas lite här och där.
Hur fungerar det med användare vs enheter?
Behöver fru och barn egna tailscale konton, eller kan jag logga in dom med mitt TS konto så deras telefoner bara är ytterligare enheter i mitt tailnet?
Jo då är det enkelt eftersom just ASUS har OpenVPN inbyggt inkl att Merlin stödjer dito.P PsychoCheF skrev:
https://www.asus.com/se/support/faq/1008713/
Sen för mobilen kör jag den här klienten.
https://play.google.com/store/apps/details?id=de.blinkt.openvpn
Och man behöver då en clientfil från servern innehållande certifikat för att det ska funka.
Det finns flera klienter om du googlar inkl för iPhone.
Boilerplate4U
Medlem
· CEO Tomteverkstan Nordpolen
· 2 363 inlägg
Boilerplate4U
Medlem
- CEO Tomteverkstan Nordpolen
- 2 363 inlägg
Tailscale eller ZeroTier är absolut enklast och väldigt säkra lösningar. Gratis för privat bruk.P PsychoCheF skrev:
Redigerat:
Diversearbetare
· Göteborg
· 10 717 inlägg
Fjärråtkomst av Home Assistant
1. Tailscale funkar fint, men kräver lite arbete med att sätta upp kontot och sedan bjuda in familjemedlemmarna. Välj användarkonto med omsorg (Github och Apple-konton går inte att flytta) Säkert från början.
2. Testa någon VPN-funktion i routern. Du behöver också sätta upp någpn form av dynamisk DNS, så att användare på Internet ”hittar hem”
3. HTTPS via TLS och någon proxy, t.ex. den inbyggda nginx-proxy, eller kör hela HA skarpt med HTTPS. Öppna port 443 i brandväggen till din HA och skapa ett dynamiskt domänuppslag hos någon leverantör. Cloudflare är gratis, LoopiaDNS är billigt. Detta är säker trafik om inte någon luskar ut användare och lösenord.
- Lösenordsattacker (kan) stoppas av HA med
- Det går också att kombinera med TLS klientcertifikat som man får skapa själv. Då släpps bara den in som har rätt nyckel + användare + lösenord. Kräver ytterligare kunskap om omvänd PKI.
- Cloudflare-tunnel kan förhindra att ingen annan än du och din familj får besöka din HA. Lite som Tailscale.
1. Tailscale funkar fint, men kräver lite arbete med att sätta upp kontot och sedan bjuda in familjemedlemmarna. Välj användarkonto med omsorg (Github och Apple-konton går inte att flytta) Säkert från början.
2. Testa någon VPN-funktion i routern. Du behöver också sätta upp någpn form av dynamisk DNS, så att användare på Internet ”hittar hem”
3. HTTPS via TLS och någon proxy, t.ex. den inbyggda nginx-proxy, eller kör hela HA skarpt med HTTPS. Öppna port 443 i brandväggen till din HA och skapa ett dynamiskt domänuppslag hos någon leverantör. Cloudflare är gratis, LoopiaDNS är billigt. Detta är säker trafik om inte någon luskar ut användare och lösenord.
- Lösenordsattacker (kan) stoppas av HA med
login_attempts_threshold . Kräver kunslap och lite pill.- Det går också att kombinera med TLS klientcertifikat som man får skapa själv. Då släpps bara den in som har rätt nyckel + användare + lösenord. Kräver ytterligare kunskap om omvänd PKI.
- Cloudflare-tunnel kan förhindra att ingen annan än du och din familj får besöka din HA. Lite som Tailscale.
noip.com är också gratis DNS vid upp till tre hostar. Kräver dock några ”bekräftelseklick” en gång per månad. Sen behöver man inte använda port 443, som kanske är upptagen, utan kan välja godtycklig port.
Vill man automatisera let's encrypt så behöver man ha port 80 eller 443 öppen (eller använda DNS-autentisering, men det är riktigt krångligt att få fungerande och lite osäkert eftersom servern behöver ha tillgång till att ändra DNS). Och du vill inte ha okrypterad trafik - det är ett enkelt sätt att bli hackad på.Alfredo skrev: