Lesha@a_varda
Всем привет! Дошли руки наконец настроить home assistant со всеми умными розетками и выключателями. Настроил ему внешний доступ через тоннель cloudflare. И возник вопрос, а как разумными средствами можно повысить безопасность всего этого хозяйства? HA крутится на рабочем мак мини в виртуальной машине, не хочется, чтобы к нему доступ извне был через тоннель. И по поводу самих девайсов. Я так понял самое классное это создать под них отдельный vlan, но вроде как простые роутеры на стоковых прошивках такого не умеют. Менять роутер не хочется. Openwrt заморачиваться тоже не хочется. Тогда возникает вариант с дополнительной скрытой wifi сетью. Но тут начинаются проблемы, что guest network и iot network не умеют в mesh, и в итоге девайсы со второго этажа просто не дотягиваются до сети
2025-09-19 20:24:44
Batkovich Dmitry@itoolsy
Делать впн до граничного роутера и ходить извне на ha
2025-09-17 18:20:29
Lesha@a_varda
насколько это безопасней, чем cloudflare tunnel?
2025-09-17 18:36:52
Batkovich Dmitry@itoolsy
Это зависит от того, насколько вы параноик) в теории, это безопасно, но надо понимать, что вы кладете ключи от двери домой где-то в инете. Но это просто и не требует никаких знаний.
Настройка впн сервера у вас на граничном роутере потребует базового понимания всего процесса и некоторое время на чтение мануалов.
2025-09-18 08:34:46
Andrey SL@sLayer_heLLraiser
Да, на 99% современных роутеров это сейчас уже реально пара кликов.
2025-09-17 22:44:35
Lesha@a_varda
Чтение мануалов меня не останавливает, но напрягает то, что если впн делать, то для внешнего доступа придется его включать на телефоне каждый раз. Как-то неудобно. + чтобы в ha интеграцию с Google Home сделать, надо иметь внешний доступ просто по ссылке, как я понял. И тут либо тоннель, либо подписку у ha за 6 евро покупать, а тут жаба душит))
2025-09-18 03:47:23
Kirill Emko@kirillemko
Ну ещё можно за nat спрятать ваш ха по другому порту. Это, конечно, так себе защита, но как минимум избавит от тупых сканеров, которые только 8123 ищут
Ну так конечно это только вопрос паранойи. Лень пользоваться впн на телефоне - тогда придётся выставлять ха наружу.
И да, если захотите это все ещё в гугл холм завести, чтобы голосом с колонок управлять - ещё и проксировать нужно будет через nginx, чтобы https дать гуглу, по http он работать не будет
2025-09-18 05:12:13
Lesha@a_varda
Про https не знал, спасибо
2025-09-18 05:13:17
Aleksei Udivankin@udivankin
HA умеет сам в https, и родной аддон lets encrypt тоже работает стабильно (неожиданно)
2025-09-18 10:17:27
Kirill Emko@kirillemko
Так аддоны только в haos, а так все равно вручную или в докере или в системе ставить
2025-09-18 08:42:29
Andrey SL@sLayer_heLLraiser
Можно на WG сделать туннель до всего, откуда требуется доступ. Google it wg-easy
2025-09-18 03:47:26
Στασσκι Αντονοφφσκι@stasskiantonoffsky
здесь должен был быть медиа файл, но наш сервер не резиновый: MessageMediaUnsupported
2025-09-18 01:32:20
Lesha@a_varda
Как раз к ha пришел, потому что в доме есть и айфоны, и андроиды. Отдельный хаб для google home покупать не хотелось. Да и ha все-таки более гибкий, чем homekit и google home
2025-09-18 03:49:21
Στασσκι Αντονοφφσκι@stasskiantonoffsky
здесь должен был быть медиа файл, но наш сервер не резиновый: MessageMediaUnsupported
2025-09-18 11:13:09
Kirill Emko@kirillemko
Так а колонка же тоже не обязательна, гугл хоум и хоумкит без них заводятся в ха. Колонка только для голосового управления нужна. Ну и для нотификаций всяких
2025-09-18 06:07:22
Στασσκι Αντονοφφσκι@stasskiantonoffsky
А можно ссылку по крайней мере на то как хоумкит завести на HA? А то я appletv держу дома только в качестве хоста для хомкита
2025-09-18 06:09:19
Kirill Emko@kirillemko
Вот бридж, через него все как раз в кит и пробрасывается
https://www.home-assistant.io/integrations/homekit/
https://www.home-assistant.io/integrations/homekit/
2025-09-18 06:12:24
Στασσκι Αντονοφφσκι@stasskiantonoffsky
Это просто бридж, интеграция, он экспоузит (предоставляет доступ) HA-девайсов в хомкит
Но так же нужен apple homekit hub (им может быть appletv/ipad/homepod) - это как раз хост вашего apple homе, его ядро. К нему потом подключается этот bridge
2025-09-18 06:15:09
OLEG Pjktu@OlegP100500
Я бы рекомендовал тогда смотреть на приставку к тв Google TV Streamer, потому что у неё на борту thread и она умеет в matter. Получается можно все прокинуть в неё локально через matter wifi, и рулить дальше через Google home.
Но это конечно удобно совместить с покупкой смарт ТВ приставки.
А ещё в Google TV Streamer есть gui гугл хоум.
Но ассистент к сожалению гугл асситент, правда на русском нормально работает.
Ждём продуктов с Gemini для умного дома.
Но это конечно удобно совместить с покупкой смарт ТВ приставки.
А ещё в Google TV Streamer есть gui гугл хоум.
Но ассистент к сожалению гугл асситент, правда на русском нормально работает.
Ждём продуктов с Gemini для умного дома.
2025-09-18 06:15:30
Lesha@a_varda
Я пока что все закинул в ha, сделал бридж в homekit, так что на айфоне уже все есть. Осталось подключить гугл хоум к ha, и все будет работать как надо
Через аппку ha действительно не так удобно
2025-09-18 06:15:57
Στασσκι Αντονοφφσκι@stasskiantonoffsky
Ну вот я бы на вашем месте так и сделал - просто продублирвал всё в Google Home и поддерживал бы обе экосистемы. C HA это сделать довольно просто
2025-09-18 06:16:21
Lesha@a_varda
Да, план такой. Но было интересно, как (и надо ли) озаботиться безопасностью
2025-09-18 06:17:50
Στασσκι Αντονοφφσκι@stasskiantonoffsky
По идее, если у вас HA не смотрит наружу, можно делегировать безопасность эппловским и гугловским инженерам =)
2025-09-18 06:18:32
Lesha@a_varda
Так если не смотрит, то гугл хоум не подключить) Без подписки на nabu casa. С подпиской все проще, конечно
2025-09-18 06:19:11
Στασσκι Αντονοφφσκι@stasskiantonoffsky
здесь должен был быть медиа файл, но наш сервер не резиновый: MessageMediaUnsupported
2025-10-16 10:59:59
Kirill Emko@kirillemko
А мне казалось, что у эпла ровно так же, как у гугла)
Сразу видно, у кого только андройд, а у кого только айфон))
2025-09-18 06:21:53
Στασσκι Αντονοφφσκι@stasskiantonoffsky
Хехе ну вот нет - айфон сам по себе не может выступать хабом для Apple Home, а андроид-телефон видимо может
2025-09-18 06:22:53
Kirill Emko@kirillemko
Не, там не телефон. Ты просто даешь гуглу доступ к своему ха по сути, откуда он сам все забирает
2025-09-18 06:23:27
Στασσκι Αντονοφφσκι@stasskiantonoffsky
А, ну для этого HA должен наружу смотреть, получается
2025-09-18 06:24:42
Kirill Emko@kirillemko
Ну да, с этого все и началось обсуждение, что он должен быть наружу и с https)
2025-09-18 06:25:17
Lesha@a_varda
Да, если хаб есть. А у меня только эпл тв
2025-09-18 06:21:54
Στασσκι Αντονοφφσκι@stasskiantonoffsky
Ну вот раскошелиться на самый дешевый гугл хаб, настроить и забросить его куда-нибудь в тумбочку подальше
2025-09-18 06:23:45
OLEG Pjktu@OlegP100500
Гугл в облако все можно слать без хаба. Но настраивать замороченно. Раньше был нужен белый ip и валидный https (самоподписанный не катит).
2025-09-18 06:25:30
Batkovich Dmitry@itoolsy
Так вроде ж Apple TV мало того, что хаб, так еще и thread border router-ом является. Не?
2025-09-18 10:23:16
Lesha@a_varda
Я ничего не понял, но наверно да)
2025-09-18 10:57:41
Batkovich Dmitry@itoolsy
Почитал. Там только последнее поколение с кабелем такой умный)
2025-09-18 10:57:58
Lesha@a_varda
А можно пояснение? Что умеет последнее поколение, что не умеют другие? Thread border router - это про то, что thread устройства на большом расстоянии могут общаться с перемычкой в виде apple tv?
2025-09-18 10:59:17
OLEG Pjktu@OlegP100500
2025-09-18 11:36:41
OLEG Pjktu@OlegP100500
Batkovich Dmitry@itoolsy
Не совсем, это длинный пост будет. Вкратце - вам нужно устройство, которое будет с одной стороны - эзернет, с другой - thread. Есть много вариантов, но вот яблоко - оно и телек смотреть, и роутер.
2025-09-18 11:44:23
Mmm@mu897t
Зависит от степени паранойи )
Можете попробовать home assistant cloud. Он платный - но тем самым - поддержите проект.
https://www.nabucasa.com/
Можете попробовать home assistant cloud. Он платный - но тем самым - поддержите проект.
https://www.nabucasa.com/
2025-09-18 05:07:57
Lesha@a_varda
Да, это базовый вариант, но пока интересно покопаться и заодно денег сэкономить
2025-09-18 05:16:14
OLEG Pjktu@OlegP100500
Вам накидали кучу ответ, но ИМХО - это театр безопасности.
Нужно сначало написать сценарии угроз, а уже потом думать как от них защитится.
1) можно сделать или безопасно или удобно. Одновременно не получится.
2) защита периметра не панацея. VPN, nat, и т.д. Не помогают в случае направленной атаки и наличии бытовых ПК в локалке.
3) за 20 лет, что я слежу за темой был только 1 случай когда веб морда дом автоматизации торчашей в инет подверглась массовому взлому. Это был кстати node-red. Патч безопасности вышел на следующий день. Iobroker обновил адаптер через 3 дня, home assistant растянул недели на 2.
Тут вывод скорее, что нужно ставить весь софт отдельно, не полагаясь на швейцарский нож из коробки.
Что бы мы правильно понимали друг друга. За этот же период (20 лет) smb win 0 day под массовым шифровальщиком, synology dsm под массовый шифровальщик.
PS про защиту периметра при наличии ПК в локалке
https://habr.com/ru/companies/xakep/articles/125768/
Нужно сначало написать сценарии угроз, а уже потом думать как от них защитится.
1) можно сделать или безопасно или удобно. Одновременно не получится.
2) защита периметра не панацея. VPN, nat, и т.д. Не помогают в случае направленной атаки и наличии бытовых ПК в локалке.
3) за 20 лет, что я слежу за темой был только 1 случай когда веб морда дом автоматизации торчашей в инет подверглась массовому взлому. Это был кстати node-red. Патч безопасности вышел на следующий день. Iobroker обновил адаптер через 3 дня, home assistant растянул недели на 2.
Тут вывод скорее, что нужно ставить весь софт отдельно, не полагаясь на швейцарский нож из коробки.
Что бы мы правильно понимали друг друга. За этот же период (20 лет) smb win 0 day под массовым шифровальщиком, synology dsm под массовый шифровальщик.
PS про защиту периметра при наличии ПК в локалке
https://habr.com/ru/companies/xakep/articles/125768/
2025-09-18 05:57:11
Lesha@a_varda
Спасибо! Выглядит так, как будто надо просто забить и успокоиться
2025-09-18 05:50:31
Nick PanHellsing@ik0_0ne
подключать к НА Гугл/Эпл и выводить на радость в шторку, так не будет прямого доступа к веб интерфейсу. Для изоляции в локальной сети берите роутер который поддерживает разные сети и между ними настройте файрвол, не реклама, но такое умеет кинетик и недавно они переехали в германию и доступны на амазон.
2025-09-20 02:47:10
Lesha@a_varda
Спасибо! Подумаю про кинетик
2025-09-20 02:47:33