Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Paramètrage DuckDns pour Home Assistant
#1
J'ai passé un peu de temps à trouver accéder à Home Assistant depuis l'extérieur de manière sécurisée et avec mon propre nom de domaine. Aussi, je vous propose d'expliquer ici comment faire.

Il vous faut : 
  • une installation fonctionnelle de HA, peu importe qu'il n'y ait rien dedans, on verra cela plus tard.
  • un routeur qui peut faire du NAT 
  • un nom de domaine qui vous appartient


Accédez à l'add-on store dans votre interface HA (Supervisor > Add-on Store). Là c'est comme l'App Store d'Apple par exemple, vous choisissez l'add-on que vous voulez puis vous cliquez sur installer. Installez Duck DNS et File Editor.
Vous devez donc avoir avoir ceci :
   

Ensuite allez sur https://www.duckdns.org/ vous créer un compte. Moi j'ai utilisé mon compte google pour m'authentifier mais il existe d'autres possibilités.
Une fois connecté vous choisissez un sous-domaine pour votre installation. Par exemple bidule.duckdns.org (je l'ai ajouté pour vous montrer donc il faudra trouver un autre nom).
   
Là l'important c'est de noter le token en haut.

Maintenant vous allez paramétrer 2 CNAME dans le DNS de votre domaine personnel. Par exemple avec mon domaine coroebus.fr, je veux accéder à mon interface Home Assistant à l'adresse ha.coroebus.fr. Je dois faire 2 CNAME ci dessous :
   


Vous retournez dans votre interface HA : Supervisor > Cliquez sur DuckDNS > Onglet configuration (en haut)
Vous adaptez bien entendu à votre cas :
   

Vous enregistrez et là on vous propose de redémarrer l'add-on, ne le faites pas.

Revenez sur la page des add-on et entrez dans File editor là cliquez sur le lien "OPEN WEB UI". Cliquez sur l'icone de dossier en haut à gauche et sélectionnez le fichier configuration.yaml.

Là vous ajoutez les lignes suivantes et vous enregistrez
Code :
http:
 base_url: https://ha.coroebus.fr:8123
 ssl_certificate: /ssl/fullchain.pem
 ssl_key: /ssl/privkey.pem

il faut maintenant redémarrer HA : Configuration > Contrôle du serveur > Redémarrez

le temps que cela redémarre vous faite une redirection NAT dans votre serveur du port 8123 vers l'ip de votre serveur HA.
Faites maintenant une petite prière  Tongue et si dieu vous a entendu vous pouvez-vous connecter via https://ha.coroebus.fr:8123 (adaptez bien votre adresse  Shy

N'hésitez pas à m'interroger si ça ne fonctionne pas chez vous, on fera un peu de débogage.
Répondre
#2
Merci pour les infos.
Avec une IP publique fixe on peut se passer du domaine ?
Répondre
#3
Salut

Si j'ai bien compris DuckDNS est un service similaire a DynDNS ou autre ?
Il est intégré a HA afin que HA mette a jour l'IP de public de ta box en cas de changement d'adresse ?

Cette solution est relativement facile a mette en oeuvre, par contre le conseil que l'on pourrait donner serait de passer par VPN

Sinon a defaut voir si il est possible de coupler des solution comme Fail2ban avec HA histoire de bloquer l'ip de quelqu'un qui tenterais de faire des connexion sur ton HA.
Après X tentative ca blacklist l'IP pendant X temps.
KNX Partner Base / Avancé

Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Répondre
#4
(05/02/2021, 10:43:23)Ives a écrit : Merci pour les infos.
Avec une IP publique fixe on peut se passer du domaine ?

Non car le certificat se fait via le domaine.
Répondre
#5
(05/02/2021, 11:20:48)filou59 a écrit : Salut

Si j'ai bien compris DuckDNS est un service similaire a DynDNS ou autre ?
Il est intégré a HA afin que HA mette a jour l'IP de public de ta box en cas de changement d'adresse ?

Cette solution est relativement facile a mette en oeuvre, par contre le conseil que l'on pourrait donner serait de passer par VPN

Sinon a defaut voir si il est possible de coupler des solution comme Fail2ban avec HA histoire de bloquer l'ip de quelqu'un qui tenterais de faire des connexion sur ton HA.
Après X tentative ca blacklist l'IP pendant X temps.

DuckDNS fonctionne effectivement comme DynDNS mais sans avoir besoin de se loguer une fois par mois sur un site web pour le conserver actif. Mais il intègre en plus Letsencrypt qui permet d'avoir des certificats pour les passer en SSL.

Pour l'instant chez moi pas de VPN, Orange bloque le port 1723 et mon routeur ne gère pour l'instant pas le VPN SSL ou OpenVPN. 

Fail2ban est possible (https://www.home-assistant.io/integrations/fail2ban/) et je pense que c'est une bonne solution combinée à une politique de mots de passe complexes.
Répondre
#6
Tu pourais mettre OpenVPN sur un Raspberry ?
Et pour le port tu peux le changer ?

Au début j'utilisais OpenVPN sur OPNsense, puis un jour ma config ne fonctionnait plus suite a une MAJ, du coup maintenant je sépare.
Vive les Snapshot/Backup ca permet d'être un peu plus serein.
KNX Partner Base / Avancé

Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Répondre
#7
(05/02/2021, 14:37:07)filou59 a écrit : Tu pourais mettre OpenVPN sur un Raspberry ?
Et pour le port tu peux le changer ?

Au début j'utilisais OpenVPN sur OPNsense, puis un jour ma config ne fonctionnait plus suite a une MAJ, du coup maintenant je sépare.
Vive les Snapshot/Backup ca permet d'être un peu plus serein.

Chez moi non, j'attendrais d'avoir changé d'opérateur ou qu'Ubiquiti ai mis en place d'autres type de VPN. Pas une priorité pour moi en ce moment Smile
Répondre
#8
Hello à tous,

Super tuto bien didactique Coroebus  Wink

Je suis de même avis qu'Ives pour le VPN, la sécurité c'est comme une assurance, on se rend compte de son utilité que quand c'est trop tard  Angel

Mais c'est vrai que le VPN sur Ubiquiti c'est pas tip top...
J'ai beau avoir un UDM Pro, je préfère passer par autre chose.

Ton HA tu le fais tourner sur quoi ? Un NAS, un RPI, en VM, un conteneur, autre ?
Peu importe ce que tu utilises en fait, il y a possibilité de rajouter un OpenVPN ou un Wireguard facilement quand tu le voudras / auras le temps  Wink

Pour la partie DNS dynamique je passe par autre procédé.
J'utilise un domaine chez OVH et ils proposent un service qui met à jour l'enregistrement A du sous-domaine choisi.
Après je passe en CNAME aussi pour l'aliasing, combiné à du Let's encrypt par DNS vu que mon système domotique est accessible seulement par VPN ou des sites particuliers (filtrage par IP sur le FW).
Répondre
#9
(05/02/2021, 13:51:50)Coroebus a écrit :
(05/02/2021, 10:43:23)Ives a écrit : Merci pour les infos.
Avec une IP publique fixe on peut se passer du domaine ?

Non car le certificat se fait via le domaine.
J'ai testé et avec mon IP publique fixe j'ai bien l'accès distant à HA sans autre paramétrage.
Répondre
#10
(12/02/2021, 17:04:56)On Ives a écrit :
(05/02/2021, 13:51:50)Coroebus a écrit :
(05/02/2021, 10:43:23)Ives a écrit : Merci pour les infos.
Avec une IP publique fixe on peut se passer du domaine ?

Non car le certificat se fait via le domaine.
J'ai testé et avec mon IP publique fixe j'ai bien l'accès distant à HA sans autre paramétrage.

Oui mais pas en https ou alors avec une erreur de sécurité.
Répondre
#11
(12/02/2021, 17:20:03)Coroebus a écrit :
(12/02/2021, 17:04:56)On Ives a écrit :
(05/02/2021, 13:51:50)Coroebus a écrit :
(05/02/2021, 10:43:23)Ives a écrit : Merci pour les infos.
Avec une IP publique fixe on peut se passer du domaine ?

Non car le certificat se fait via le domaine.
J'ai testé et avec mon IP publique fixe j'ai bien l'accès distant à HA sans autre paramétrage.

Oui mais pas en https ou alors avec une erreur de sécurité.
Si j'ai suivi les échanges, la solution que tu proposes serait plus sécurisée que celle du VPN Ubiquiti Unifi ?
Répondre
#12
Non pas plus sécurisée. Ce sont deux options différentes.

Le VPN créé une liaison cryptée entre ton smartphone et ton réseau local. Ça revient à être directement connecté au réseau local comme si tu étais chez toi.

Le certificat SSL atteste que le serveur que tu as en face est bien celui qu’il dit être et pas un autre. Les échanges entre serveur et smartphone sont aussi cryptés.

Maintenant qu’elle est la meilleure solution ?
Le VPN est plus sur mais demande d’établir la connection avant de pouvoir te connecter à HA.

Le HTTPS est accessible à tout le monde et on est obligé de faire confiance à HA pour la sécurité.
Répondre
#13
Dans le cas ou l'on met en place une connexion VPN en général on choisi d'établir une connexion avec :
Un Login/Mot de pass accessoirement, mais surtout avec une clé RSH qui est généré sur le serveur, ce qui permet d'avoir un bon niveau de sécurité.

Dans le cas d'une connexion directe sur une machine que ce soit en HTTPS ou non, on établit simplement une connexion via un login mot de passe.
1: Déjà dans un 1er temps il peut être conseillé de changer le port par défaut pour évité les bots/scripts qui scanne les ports connu
2: Mettre en place une appli style Fail2ban est un minimum, c'est une appli qui va bannir l'ip de quelqu'un qui aurait effectué X tentative de login infructueuse. Ca permet de se prémunir des attaques par Brutforce.

Les VPN sont bien intégré au téléphone de nos jours, mais comme la souligné Coroebus il faut établir d'abord la connexion au VPN pour ensuite se connecter, ca fait une manip a faire avant.
KNX Partner Base / Avancé

Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Répondre
#14
(12/02/2021, 17:54:00)Ives a écrit : Si j'ai suivi les échanges, la solution que tu proposes serait plus sécurisée que celle du VPN Ubiquiti Unifi ?

Clairement la solution la plus sécurisée est le VPN, elle ne permet l'accès à ton HA et ton réseau qu'aux personnes autorisées.
De plus tout le traffic du VPN est chiffré, donc si tu es par exemple sur un point d'accès wifi public c'est mieux.

Sans VPN ton HA est ouvert au quatre vents sur Internet.
Donc si tu n'a pas un mot de passe costaud et une solution pour éviter le bruteforce (comme le propose filou59 avec l'excellent fail2ban), tu as un risque.
A chacun d'apprécier ce risque et si cela le dérange ou pas Smile

My 2 cents
Répondre
#15
J'avais mis en place une connexion VPN avec mon routeur Ubiquiti et Lifedomus ; c'est vrai que la manipulation supplémentaire pour connecter le VPN en amont ne va pas vers la simplicité et la rapidité.
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet :