Home Assistant benaderen via router na router

DGoe · ‎28-11-2023

Hallo,

Ik zit al een poosje met het volgende probleem waarvoor ik maar geen oplossing kan vinden. Daarom kom ik even raad vragen op dit forum. Met hetgeen hier al geschreven is, geraak ik voor mijn geval niet verder... .

Alle oplossingen en adviezen zijn welkom, bedankt alvast ! Dirk

Uitgangssituatie:

Home Assistant succesvol geïnstalleerd op een mini PC: toegankelijk via vast en wifi thuisnetwerk (PC, smartphone, …)
Probleem om HA van buitenaf te benaderen (niet via thuisnetwerk, maar via mobiele data)
Wireguard VPN en DuckDNS geïnstalleerd op HA server als add-on. Wireguard app op smartphone. Lijkt correct geïnstalleerd.
Bijkomend:

Ik zit met een eigen router na de Telenet router.

In de Telenet router is de DMZ opengesteld naar vast IP adres van de eigen router en UPnP uitgeschakeld. Werkt prima voor internetverkeer in het algemeen.

Volgens de vereiste Wireguard settings is in de eigen router dan port 81520 geforward naar het vast adres van de HA server op het netwerk van de eigen router. Poort 443 niet gespecifieerd.

Probleem:

De mobiele verbinding via GSM werkt via Wireguard, maar valt na zekere tijd uit (steeds rond 0,5u). Er is geen verbinding meer is, noch met HA, en enige tijd erna, ook niet meer met het internet.
Vreemd is dat de mobiele verbinding enkel dat 0,5u werkt als ik eerst verbinding gemaakt met HA via de wel werkende thuis wifi verbinding. Eens via wifi verbinding en dan die wifi uitzetten, geeft dus toegang tot HA via Wireguard gedurende nog 0,5u, alvorens die verbinding verbreekt. Later valt ook meestal volledige internettoegang uit.
Start ik HA via Wireguard zonder eerst succesvol via wifi contact met HA gemaakt te hebben, dan krijg ik geen verbinding met HA.

Vraag:

Wat zou ik moeten veranderen om de wireguard altijd werkzaam te krijgen in eender welke setting ?
Zijn er alternatieve configuraties (ipv wireguard / DuckDNS die meer kans op succes geven (los van de HA cloud verbinding die ik in extremis misschien ga moeten voorzien) ?

flip1953 · ‎28-11-2023

Dubbele NAT is altijd wel een challenge als je servers draait die van buitenaf bereikbaar moeten zijn 🤔.

Gezien jij de Telenet modem niet gebruikt als router (alleen als modem), zou ik je aanraden om de Telenet modem in te ruilen voor de E-router (CV8560E).

Dat is een Docsis 3.1 HGW zonder WiFi, waarop je een bridge kan instellen (MAC passtrough), waardoor jouw eigen router een publiek IPv4 adres krijgt.

Met je huidige set-up zou ik, naast DMZ, toch nog een port-forward instellen:

Op de Telenet modem: port forward Wireguard poort (81520) naar het IP adres van je eigen router.
Op je eigen router: port forward Wireguard poort (81520) naar het IP adres van de HA server.

Doe dit ook voor alle andere poorten die je nodig hebt (HA poort 8123?).

Kan je je eigen router niet instellen als Wireguard server (i.p.v de HA server)? Dat zou al een stap dichter zijn ...

Idem voor een DNS client.

Welk IP adres krijgt je Smartphone via Wireguard? Een IP adres van je eigen router?

Ex-Netweter · ‎29-11-2023

Gaat je mini-pc gewoon niet in stand-by na een half uur waardoor de verbinding wegvalt?

Voor de rest heb je een heel rare en omslachtige setup. Wireguard is niet nodig, https lijkt me voldoende.

Enige wat daarvoor nodig is in "Mijn Telenet":

DMZ-adres: 0
UPnP: uit
Port forwarding:
Lokaal IP-adres: IP-adres eigen router
Externe poort: 443 - 443
Interne poort: 443
Protocol: TCP

En op je eigen router:

Port forwarding:
Lokaal IP-adres: IP-adres mini-pc (Home Assistant)
Externe poort: 443
Interne poort: 8123
Protocol: TCP

Daarna is Home Assistant bereikbaar via https://duckdns-url of https://publiek IP-adres van je vaste Telenet-internetverbinding: https://whatismyipaddress.com/

Maar zoals @flip1953 zegt, een modemwissel naar de CV8560E (modem zonder Wifi) is een andere mogelijkheid om je configuratie te vereenvoudigen. Je configureert de Telenet CV8560E dan in bridge-mode (MAC pass-through) voor gebruik met een eigen Wifi-router die dan een eigen publiek IP-adres krijgt.

thomasdb · ‎29-11-2023

wireguard is udp niet tcp , naar duckdns naar het ip van telenet door de telenet modem naar je router naar je lokale hassio. je zal de udp poort timeout ( afsluittijd) moeten instellen tcp is 1200 udp 120 seconden soms. daarom heeft wireguard een setting voor de handshake time in de config . dit venster van seconden configureren kan niet in de telenet modem dus je zal moeten wisselen en dit op je eigen router doen. op een dd-wrt kan het allesinds. heb het ook voorgehad met vo-ip

thomasdb · ‎29-11-2023

als ik het goed voorheb alleszinds, ben niet zeker. alternatief voor wireguard naar de home assistant bij mij in gebruik is cloudflare zero trust maar dan moet je een pc hebben die altijd aanstaat in de LAN waar ook de home assistant inzit dewelke de app client draait en een account maken op dash.cloudflare.com. is gratis voor klein gebruik en indien in bezit van een domeinnaam kan je er ook een lokaal gehoste site op forwarden over eender welke internetlijn ook gsm dewelke dan een https url of subdomein url naar keuze krijgt daarop voor bereikbaarheid van buitenaf. in mijn geval maakt een fritzbox (de gateway) in de hassio lan een wireguard naar cloudflare, surf ik uitgaand met ip cloudflare ( over orange) en kan door zero trust ik zelfs hierover mijn home assistant intern naar binnen bereiken (dus van thuis uit met gsm-modem naar cloudflare en weer naar binnen met mijn gsm daarnaartoe)-met gsm van buitenaf met de 1.1.1.1 app. moet zeggen dat ik ook orange heb als backup dit is het 'ergste' scenario . maar met telenet is het net hetzelfde- in ander geval als de mini pc een oude rasbberry pi of ander is kan het ook aan het voedingsblokje liggen dat onvoldoende stroom levert , of dat hij oververhit na een tijdje, ; dit geeft in zo'n situaties ook allerhande mysteries soms.anyway dus indien een mogelijkheid tot de hassio te draaien in een hyperVM als er windows kan op de miniPC, en op de windows enkel erbij de cloudflared client , en de 1.1.1.1 app op je gsm en je bent klaar en zeker zonder modemwissel of kosten behalve veel tijd erin

thomasdb · ‎30-11-2023

of wat flip1953 zei, gewoon wireguard en ddns draaien op een router ( dd-wrt, of wireguard capabele fritzbox ( dit kunnen alleen de nieuwere) ) en niet de home assistant dit laten doen, . home assistant https open zetten naar 't net is minder veilig maar voor sommige toepassingen erop wel vereist dit is optie 2

dit heeft als voordeel dat je als de app draait op de gsm je de rest van je thuisnetwerk ook kan bereiken met je gsm en zelfs vanop je thuis ip ermee kan surfen, en dat je enkel op je telenet modem maar een enkele udp poort forward voor wireguard moet maken. als je dan thuis bent in de wifi wireguard wel elke keer uitschakelen natuurlijk ( dit moet niet met cf en 1.1.1.1 app als ik me niet vergis )

DGoe · ‎04-12-2023

Beste Allen,

Bedankt voor jullie adviezen. Ben ermee aan de slag gegaan en met nog externe hulp probleem opgelost: Home Assistant is extern, via mobiele data, nu bereikbaar.

De configuratie mag dan vreemd ogen, het is de te gebruiken manier om HA veilig te benaderen via Wireguard en DuckDNS.

Opgelost als volgt:

- DMZ op Telenet router uitgezet en enkel de door Wireguard gevraagde poort in de Telenet router doorgestuurd naar eigen router (na de Telenet router). Vreemd hierbij is dat ik op mijn eigen netwerk (na de eigen router) nog steeds toegang heb tot internet en alles kan doen wat ik kon met de DMZ actief. Geen verklaring voor.

- in de HA app op mijn smartphone stond een interne en externe URL automatisch ingevuld. De externe URL (https://homeassistant.local:8123) vervangen door het IP adres van mijn eigen netwerk van de mini PC waarop HA draait, (https://192.168.50.x). Ook hier geen verklaring voor wat maakt dat het zo werkt, tenzij het feit dat er nu een effectief statisch IP adres staat ipv een omschrijving.

Conclusie dus via trial en error oplossing gevonden. Geen idee waarom deze wijzigingen nu maken dat het wel werkt, maar misschien zijn er nog andere HA gebruikers in een zelfde situatie die deze instellingen kunnen gebruiken.

Groeten, Dirk

janne_man · ‎04-12-2023

De firewall heeft enkel betekenis voor communicatie die geïnitieerd wordt van ergens uit het internet. De firewall heeft geen enkele invloed op de communicatie die geïnitieerd wordt binnen de LAN, ongeacht hoeveel routers er tussen zitten.

Van bij u thuis, verbonden met uw eigen LAN werkt uw telefoon uiteraard met uw intern vast ipv4-adres. Ben je echter niet thuis of je zet de Wifi van je telefoon uit, dan zal dat niet werken en heb je het externe adres nodig.

Wil je geen extern adres, dan kan je thuis een VPN server installeren en dan kan je met een VPN verbinding naar je thuis VPN server steeds je intern adres bereiken.

flip1953 · ‎04-12-2023

@DGoe schreef:
- DMZ op Telenet router uitgezet en enkel de door Wireguard gevraagde poort in de Telenet router doorgestuurd naar eigen router (na de Telenet router). Vreemd hierbij is dat ik op mijn eigen netwerk (na de eigen router) nog steeds toegang heb tot internet en alles kan doen wat ik kon met de DMZ actief. Geen verklaring voor.

Dat is volledig normaal. Wellicht begrijp je de werking van DMZ niet ...

DMZ en port fortwarding regelen alleen het verkeer dat (ongevraagd) van buiten af komt naar jouw router.

Dat heeft dus geen invloed op jouw toegang tot internet.

@DGoe schreef:
- in de HA app op mijn smartphone stond een interne en externe URL automatisch ingevuld. De externe URL (https://homeassistant.local:8123) vervangen door het IP adres van mijn eigen netwerk van de mini PC waarop HA draait, (https://192.168.50.x). Ook hier geen verklaring voor wat maakt dat het zo werkt, tenzij het feit dat er nu een effectief statisch IP adres staat ipv een omschrijving.

Dat heeft te maken met "NAT Loopback" of "NAT hairpin". Als het vanuit je LAN het externe IP adres gebruikt om een toestel te bereiken dat binnen ja LAN ligt (in jouw geval zelfs dubbele NAT), dan wordt dit door sommige routers (in dit geval de Telenet HGW geblokkeerd).

@DGoe schreef:
Conclusie dus via trial en error oplossing gevonden. Geen idee waarom deze wijzigingen nu maken dat het wel werkt, maar misschien zijn er nog andere HA gebruikers in een zelfde situatie die deze instellingen kunnen gebruiken.

Goe dat het nu werkt ... en fijn dat je feedback geeft 😊

DGoe · ‎04-12-2023

Bedankt ook voor jouw feedback. Maakt het al wat duidelijker. 👨‍🎓

41233 netweters	17793 gesprekken
19223 vragen	6005 oplossingen