Witajcie smart Tomki.
Zacząłem swoją przygodę z HA i jak na tę chwilę mam już postawiony T620 z proxmoxem i HA. Czekam teraz na bramkę i zabawki.
Społeczność hejto się rozrosła więc liczę, że więcej osób będzie w temacie i odpowie mi na kilka pytań, bo tematu sieci jeszcze nie miałem okazji liznąć.
Chcę użyć Cloudflare żeby mieć zdalny dostęp. Do kompletu mogę kupić domenę. Macie jakieś rady, lub poradnik jak zrobić to bezpiecznie dla mojej sieci? Większość poradników olewa ten temat pisząc tylko jak to uruchomić, ale wydaje mi się, że takie beztroskie wystawianie się publicznie nie jest najbezpieczniejsze. Więc chętnie wysłucham porad.
Druga sprawa to integracja, również zdalna, z HomeKit. Widziałem masę poradników jak to spiąć, również przez Cloudflare, ale z Google Home. Wiem, że jedną z opcji jest kupno i łączenie się przez HomePoda, lub przystawkę AppleTV, ale czy to jedyne rozwiązanie? Samo kupno ich sprzętu rozwiąże chyba tylko problem łączenia się z aplikacja Dom, a nie samym HA? Również prosiłbym o radę, lub jakiś poradnik.
#homeassistant #smarthome #homekit #cloudflare #sieci #informatyka #cyberbezpieczenstwo
mike-litoris

@Krogulec

Chcę użyć Cloudflare żeby mieć zdalny dostęp


CF z tego co wiem działa tylko dla HTTP, więc jeśli jako "zdalny dostęp" masz na myśli zarządzanie webowe tym proxmoxem to spoko, ogarnie, no ale pewnie interesuje Cię zdalne SSH do siebie.

Do kompletu mogę kupić domenę.


do CF MUSISZ mieć domenę, podpinasz ją pod Cloudflare i dopiero to oni decydują czy ruch z krogulec.pl ma trafiać do Ciebie na chatę czy nie.


Mam wrażenie że bardziej ogarniasz tematy Home Assistanta niż usług w publicznym internecie. Jeśli mogę coś poradzić - skup się na HA a tematy internetowe zostaw sobie na duuuuużo później, bo to nic przyjemnego obudzić się bez neta a dzwoniąc na infolinię dowiedziec się że Twój operator Cię zablokował bo przez noc wysłałeś 200k ulotek o nowej wiagrze ;d

Krogulec

@mike-litoris

Mam wrażenie że bardziej ogarniasz tematy Home Assistanta niż usług w publicznym internecie.


To prawda, ale szybko się uczę co zreszta sam zauważyłeś Jeszcze kilka dni temu nie przypuszczałem, że będę mieć to w domu


Odnośnie zabezpieczeń. Znalazłem stronkę na której jest sporo informacji jak się zabezpieczyć z CF, ale nie wiem, czy to wszystko jest do zrobienia i o tym o czym piszesz. Jeśli masz ochotę to sprawdź i daj znać, sam też to zweryfikuje w innych miejscach.

https://hodgkins.io/securing-home-assitant-with-cloudflare


skup się na HA a tematy internetowe zostaw sobie na duuuuużo później


Tak też zrobię. Zwyczajnie chciałem liznąć tematu czekając na resztę gratów przed konfiguracja ich do HA.

mike-litoris

@Krogulec

Jeśli masz ochotę to sprawdź i daj znać


daję znać. Zacny tutek. Jak zastosujesz się do niego to wszystko będzie gituweczka, niemniej i tak dobrze byłoby żebyś po wszystkim odezwał się na grupie https://www.facebook.com/groups/mikrusy z prośbą o mały audyt. Siedzą tam mędrsi ode mnie i pewnie za jakiś ekwiwalent czteropaka chętnie sprobują włamać się do Ciebie w kontrolowany sposób

chciałem liznąć tematu czekając na resztę gratów


skoro już masz sprzęt, wirtualizację i instancję HA to rzeczywiście możesz zaczynać podejście do CF. Co nie wiesz to pytaj, jak nie ja to mamy na hejto conajmniej kilkunastu koksów z wieloletnim doświadczeniem _:)

Krogulec

@mike-litoris

daję znać. Zacny tutek.

Dziękować


odezwał się na grupie

Nie uznaje FB wiec może być problem


Co nie wiesz to pytaj, jak nie ja to mamy na hejto conajmniej kilkunastu koksów z wieloletnim doświadczeniem _:)

Oj pytać to ja będę na bank


Niemniej uważam, że temat jest na tyle rozbudowany, że jeśli ma ktoś do dodania swoje pięć groszy, gorąco zachęcam

SzklanyDrut

@Krogulec "Chcę użyć Cloudflare żeby mieć zdalny dostęp. Do kompletu mogę kupić domenę. Macie jakieś rady, lub poradnik jak zrobić to bezpiecznie dla mojej sieci? Większość poradników olewa ten temat pisząc tylko jak to uruchomić, ale wydaje mi się, że takie beztroskie wystawianie się publicznie nie jest najbezpieczniejsze. Więc chętnie wysłucham porad."


Najbezpieczniej i najłatwiej to przez VPN pod warunkiem, że masz stały adres IP.

tylko_grzanki

@Krogulec jeśli CF ma tylko i wyłącznie służyć pod HA to kompletnie nie ma sensu. Kup domenę, powieś na publicznym NS (ja używam OVH, kwestia gustu, nie namawiam) a na swoim HA postaw letsencrypt.

Pozostaje tylko kwestia stałego IP - ale zakładam że masz*. Na swoim routerze puszczasz NAT z lokalnego IP na portach 80 (dla aotoodnawiania letsencrypt i 443(dla usługi HA) i masz zrobione.

*) Jak masz dynamiczny IP to dodatkowo musisz ogarnąć DDNS, wtedy możesz w sumie zrezygnować z publicznej domeny ale wygodniej taką mieć do sprzęgów np. z GCP czy AWS.

Krogulec

@SzklanyDrut

Najbezpieczniej i najłatwiej to przez VPN pod warunkiem, że masz stały adres IP.


Nie mam stałego IP, ale mogę mieć (o ile nie mylę stałego z prywatnym i publicznym, ale tak to opisują u dostawcy). Z VPN to nie będzie tak, że będę musiał mieć też klienta na telefonie by się połączyć?


jeśli CF ma tylko i wyłącznie służyć pod HA to kompletnie nie ma sensu.


To dlaczego chyba wszyscy tak robią, a przynajmniej większość?


Kup domenę, powieś na publicznym NS (ja używam OVH, kwestia gustu, nie namawiam) a na swoim HA postaw letsencrypt.


Chodziło Ci o DNS? Możesz rozwinąć? OVH znam od lat więc luz. letsencrypt też ogarniam, ale nie podpinałem pod HA, ale pewnie nic trudnego.


Pozostaje tylko kwestia stałego IP - ale zakładam że masz*. Na swoim routerze puszczasz NAT z lokalnego IP na portach 80 (dla aotoodnawiania letsencrypt i 443(dla usługi HA) i masz zrobione.


Jak wyżej, aktualnie nie NAT to nie problem raczej, ale lokalne IP tzn? IP HA, proxmoxa, czy jeszcze inne?


Jak masz dynamiczny IP to dodatkowo musisz ogarnąć DDNS, wtedy możesz w sumie zrezygnować z publicznej domeny ale wygodniej taką mieć do sprzęgów np. z GCP czy AWS.


Raczej nic z AWS nie planuje, z GCP chyba też.


Wybaczcie że tak dopytuje, ale raczkuje i spokojnie o tym też doczytam.

Krogulec

@tylko_grzanki zapomniałem cię podpiąć wyżej

SzklanyDrut

@Krogulec "Z VPN to nie będzie tak, że będę musiał mieć też klienta na telefonie by się połączyć?"


Zgadza się, aby dostać się do twojej sieci z zewnątrz będziesz musiał mieć klienta na telefonie, ewentualnie używać klientów wbudowanych w twój telefon. Przeważnie jest to PPTP lub IPSec.

Krogulec

@SzklanyDrut No to ta opcja odpada

Krogulec

Pamiętajcie że najbardziej zależy mi w przyszłości na zdalnym HomeKit

tylko_grzanki

@Krogulec nie ma problemu, każdy kiedyś zaczyna i ma 100 wątpliwości po kolei zatem.

Stałe publiczne IP jest najwygodniejsze bo na NS (Name Server) określasz na nim rekord A domeny. Dzięki temu każde zapytanie o domenę kierowane jest na Twój router a co się z nim dalej stanie to kwestia ustawień na nim. DNS działa w drugą stronę - to Ty DNSa pytasz o adres IP serwera którego szukasz od siebie z laptopa itp.

Jak masz ustawiony NAT to będzie kierował wszystko co przyjdzie z portu 443 domeny na lokalne IP HA na port 8123 i już, gotowe. Każde zapytanie na domenę tomek.pl po https automatycznie będzie zaszyfrowane certem dostarczonym przez letsencrypt i trafi bezpośrednio do Twojego HA. Proxmox to tylko wirtualizacja, nie bierze udziału w procesie połączenia.

Jak nie masz stałego publicznego IP oznacza to w praktyce, że po tym jak dostawca internetu ci go zmieni musiałbyś zmienić konfigurację NS. Żeby tego nie robić masz DDNS który daje swoją domenę (niestety nazwa jej jest najczęściej z dupy wzięta) i co jakiś czas lokalnie od Ciebie sprawdza jako jest publiczny IP i dba by zawsze pod tą nazwą był poprawny.

Integracja z GCP dopadnie Cię w chwili gdy będziesz chciał używać Google Assistance do sterowania głosowego domem - nie ma opcji, musisz zapiąć się do API GCP po domenie.

Jak coś pominąłem to wołaj, nie ma głupich pytań a z telefonu kiepsko się odpowiada na dłuży tekst

tylko_grzanki

@Krogulec jeszcze jedno, VPN w to nie mieszaj, HTTPS załatwia problem szyfrowania wystarczająco dobrze. Chyba że chcesz wystawiać pliki po SMB albo coś w tym stylu, co zdecydowanie odradzam. Najlepiej tylko port komunikacyjny HA i nic więcej,

Krogulec

@tylko_grzanki dzięki za odpowiedz, wiele wyjaśniłeś i jest to jaśniejsze dla mnie, nie znam jeszcze na tyle „języka” sieciowego, ale się staram


Właśnie DNS i rekordy A AAAA znam stąd moje zwątpienie w NA, teraz wiem o co chodzi


Stałe IP nie wiąże się z większym ryzykiem samo z siebie? Firewall na routerze ogarnie? Naczytałem się o botach skandujących i nie wiem sam, albo się zwyczajnie mylę


Na nazwie domeny mi nie zależy. Może być jakieś wygenerowane cokolwiek, jeśli nie będę musiał kopać się z dostawcą o zmianę na stałe IP. Wiec od biedy wybiorę DDNS.


Dobrze, NAT ustawia się u mnie banalnie, tylko pytanie czy dotyczy to mojego routera, czy dostawcy? Jeśli mojego, to luz.


Asystentów nie używam i nie mam zamiaru, wiec kolejna rzecz odpada i jest nieco łatwiej


VPN odpada, nawet nie ma co o nim gadać.


Na chwile obecna nie będę niczego chciał wystawiać poza HA, bo chmury używam od Apple (w sumie nic tam nie mam), a i tak w zasadzie wszystkie pliki mam offline, wiec NASa nie będę robić.


Tak czytam, analizuje i mam w głowie ten artykuł z CF co wyżej wkleiłem i chyba faktycznie pomijamy całe CF, tracąc jego plusy, ale w jednym z punktów było właśnie to opisane o czym piszesz, a przynajmniej tak mi się wydaje.


W zasadzie nadal nie wiem czy tego wszystkiego potrzebuje jeśli zależy mi tylko na zdalnym homekicie, bo HA chce ogarnąć lokalnie (automatyzacje itp) i zapomnieć nawet nie chciałbym mieć apki od HA na telefonie

tylko_grzanki

@Krogulec Homekita nie używam więc tu nie pomogę, czy on na 100% musi mieć wjazd przez publiczną sieć? Może nic nie musisz wystawiać i LAN w zupełności wystarczy?

NAT ustawisz na swoim routerze, dostawcy nic do tego, co najwyżej niektórzy ISP blokują nietypowe porty, więc warto używać takich których nie mogą zablokować. Podstawy sieciówki warto poznać, to naprawdę pomaga w zabawie w IT i dzięki zrozumieniu jak to działa zagadki błędów stają się banalne. Przy okazji diagnostyka staje się całkiem fajną RPG

Botów skanujących nie unikniemy - będą stukać zawsze ale jak zobaczą że ruch jest szyfrowany o nie ma typowych sygnatur podatności na porcie to odpuszczą, no chyba że ktoś Cię bardzo nie lubi... Sorry za chaos w odpowiedzi ale chyba nic nie pominąłem?

tylko_grzanki

@Krogulec a jednak pominąłem Funkcją CF jest przede wszystkim proxy czyli pośredniczenie w ruchu i branie na klatę nagłego jego zwiększenia, które bez niego odprowadza zawsze do wyłożenia się serwera usług. Niestety serwer jako taki nie zdycha grzecznie na amen ale często ostatnim tchnieniem daje dostęp na prawach roota do shella albo coś w tym stylu - i na to liczą atakujący a CF przed tym zabezpiecza. Sam z siebie poza tym nic nie wnosi do sekwencji ruchu sieciowego.

Tak w dużym uproszczeniu

Krogulec

@tylko_grzanki spoko, też na mobilce przewijam po 10 razy żeby nic nie pominąć

Kolejna garść przydatnej wiedzy, dzięki bardzo


No właśnie ten HomeKit mi spędza sen z powiek. Chyba poszperam najpierw czy są do tego w ogóle jakieś wtyczki czy rozwiązania bez dodatkowych urządzeń od Apple, bo jeśli nie to zostanie mi zmiana kursu i dalsze drążenie tematu z samym zdalnym HA. Myślałem że jedno łączy się z drugim ale to bez sensu bo to dwa osobne byty

Krogulec

@tylko_grzanki na chwilę obecną dowiedziałem się, że samo sparowanie HA z HomeKitem to banał. Dodaje się integrację HomeKit, w apce Dom skanuje kod i to tyle, faktycznie działa Wygrzebałem też na chwile obecna, że samo łączenie zdalne jest po appleTV/HomePod, tu też bez żadnej konfiguracji, wystarczy wpiąć do routera, ale szukam dalej czy jest inne rozwiazanie

tylko_grzanki

@Krogulec no niestety jak wspomniałem tu Ci nie pomogę; od jabłek dostaję wysypki

Zaloguj się aby komentować