Всем привет! Дошли руки наконец настроить home assistant со всеми умными розетками и выключателями. Настроил ему внешний доступ через тоннель cloudflare. И возник вопрос, а как разумными средствами можно повысить безопасность всего этого хозяйства? HA крутится на рабочем мак мини в виртуальной машине, не хочется, чтобы к нему доступ извне был через тоннель. И по поводу самих девайсов. Я так понял самое классное это создать под них отдельный vlan, но вроде как простые роутеры на стоковых прошивках такого не умеют. Менять роутер не хочется. Openwrt заморачиваться тоже не хочется. Тогда возникает вариант с дополнительной скрытой wifi сетью. Но тут начинаются проблемы, что guest network и iot network не умеют в mesh, и в итоге девайсы со второго этажа просто не дотягиваются до сети
2025-09-19 20:24:44
Делать впн до граничного роутера и ходить извне на ha
2025-09-17 18:20:29
насколько это безопасней, чем cloudflare tunnel?
2025-09-17 18:36:52
Это зависит от того, насколько вы параноик) в теории, это безопасно, но надо понимать, что вы кладете ключи от двери домой где-то в инете. Но это просто и не требует никаких знаний.
Настройка впн сервера у вас на граничном роутере потребует базового понимания всего процесса и некоторое время на чтение мануалов.
2025-09-18 08:34:46
Да, на 99% современных роутеров это сейчас уже реально пара кликов.
2025-09-17 22:44:35
Чтение мануалов меня не останавливает, но напрягает то, что если впн делать, то для внешнего доступа придется его включать на телефоне каждый раз. Как-то неудобно. + чтобы в ha интеграцию с Google Home сделать, надо иметь внешний доступ просто по ссылке, как я понял. И тут либо тоннель, либо подписку у ha за 6 евро покупать, а тут жаба душит))
2025-09-18 03:47:23
Ну ещё можно за nat спрятать ваш ха по другому порту. Это, конечно, так себе защита, но как минимум избавит от тупых сканеров, которые только 8123 ищут
Ну так конечно это только вопрос паранойи. Лень пользоваться впн на телефоне - тогда придётся выставлять ха наружу.
И да, если захотите это все ещё в гугл холм завести, чтобы голосом с колонок управлять - ещё и проксировать нужно будет через nginx, чтобы https дать гуглу, по http он работать не будет
2025-09-18 05:12:13
Про https не знал, спасибо
2025-09-18 05:13:17
HA умеет сам в https, и родной аддон lets encrypt тоже работает стабильно (неожиданно)
2025-09-18 10:17:27
Так аддоны только в haos, а так все равно вручную или в докере или в системе ставить
2025-09-18 08:42:29
Можно на WG сделать туннель до всего, откуда требуется доступ. Google it wg-easy
2025-09-18 03:47:26
здесь должен был быть медиа файл, но наш сервер не резиновый: MessageMediaUnsupported
2025-09-18 01:32:20
Как раз к ha пришел, потому что в доме есть и айфоны, и андроиды. Отдельный хаб для google home покупать не хотелось. Да и ha все-таки более гибкий, чем homekit и google home
2025-09-18 03:49:21
здесь должен был быть медиа файл, но наш сервер не резиновый: MessageMediaUnsupported
2025-09-18 11:13:09
Так а колонка же тоже не обязательна, гугл хоум и хоумкит без них заводятся в ха. Колонка только для голосового управления нужна. Ну и для нотификаций всяких
2025-09-18 06:07:22
А можно ссылку по крайней мере на то как хоумкит завести на HA? А то я appletv держу дома только в качестве хоста для хомкита
2025-09-18 06:09:19
Вот бридж, через него все как раз в кит и пробрасывается
https://www.home-assistant.io/integrations/homekit/
https://www.home-assistant.io/integrations/homekit/
2025-09-18 06:12:24
Это просто бридж, интеграция, он экспоузит (предоставляет доступ) HA-девайсов в хомкит
Но так же нужен apple homekit hub (им может быть appletv/ipad/homepod) - это как раз хост вашего apple homе, его ядро. К нему потом подключается этот bridge
2025-09-18 06:15:09
Я бы рекомендовал тогда смотреть на приставку к тв Google TV Streamer, потому что у неё на борту thread и она умеет в matter. Получается можно все прокинуть в неё локально через matter wifi, и рулить дальше через Google home.
Но это конечно удобно совместить с покупкой смарт ТВ приставки.
А ещё в Google TV Streamer есть gui гугл хоум.
Но ассистент к сожалению гугл асситент, правда на русском нормально работает.
Ждём продуктов с Gemini для умного дома.
Но это конечно удобно совместить с покупкой смарт ТВ приставки.
А ещё в Google TV Streamer есть gui гугл хоум.
Но ассистент к сожалению гугл асситент, правда на русском нормально работает.
Ждём продуктов с Gemini для умного дома.
2025-09-18 06:15:30
Я пока что все закинул в ha, сделал бридж в homekit, так что на айфоне уже все есть. Осталось подключить гугл хоум к ha, и все будет работать как надо
Через аппку ha действительно не так удобно
2025-09-18 06:15:57
Ну вот я бы на вашем месте так и сделал - просто продублирвал всё в Google Home и поддерживал бы обе экосистемы. C HA это сделать довольно просто
2025-09-18 06:16:21
Да, план такой. Но было интересно, как (и надо ли) озаботиться безопасностью
2025-09-18 06:17:50
По идее, если у вас HA не смотрит наружу, можно делегировать безопасность эппловским и гугловским инженерам =)
2025-09-18 06:18:32
Так если не смотрит, то гугл хоум не подключить) Без подписки на nabu casa. С подпиской все проще, конечно
2025-09-18 06:19:11
здесь должен был быть медиа файл, но наш сервер не резиновый: MessageMediaUnsupported
2025-09-18 06:20:08
А мне казалось, что у эпла ровно так же, как у гугла)
Сразу видно, у кого только андройд, а у кого только айфон))
2025-09-18 06:21:53
Хехе ну вот нет - айфон сам по себе не может выступать хабом для Apple Home, а андроид-телефон видимо может
2025-09-18 06:22:53
Не, там не телефон. Ты просто даешь гуглу доступ к своему ха по сути, откуда он сам все забирает
2025-09-18 06:23:27
А, ну для этого HA должен наружу смотреть, получается
2025-09-18 06:24:42
Ну да, с этого все и началось обсуждение, что он должен быть наружу и с https)
2025-09-18 06:25:17
Да, если хаб есть. А у меня только эпл тв
2025-09-18 06:21:54
Ну вот раскошелиться на самый дешевый гугл хаб, настроить и забросить его куда-нибудь в тумбочку подальше
2025-09-18 06:23:45
Гугл в облако все можно слать без хаба. Но настраивать замороченно. Раньше был нужен белый ip и валидный https (самоподписанный не катит).
2025-09-18 06:25:30
Так вроде ж Apple TV мало того, что хаб, так еще и thread border router-ом является. Не?
2025-09-18 10:23:16
Я ничего не понял, но наверно да)
2025-09-18 10:57:41
Почитал. Там только последнее поколение с кабелем такой умный)
2025-09-18 10:57:58
А можно пояснение? Что умеет последнее поколение, что не умеют другие? Thread border router - это про то, что thread устройства на большом расстоянии могут общаться с перемычкой в виде apple tv?
2025-09-18 10:59:17
2025-09-18 11:36:41
Не совсем, это длинный пост будет. Вкратце - вам нужно устройство, которое будет с одной стороны - эзернет, с другой - thread. Есть много вариантов, но вот яблоко - оно и телек смотреть, и роутер.
2025-09-18 11:44:23
Зависит от степени паранойи )
Можете попробовать home assistant cloud. Он платный - но тем самым - поддержите проект.
https://www.nabucasa.com/
Можете попробовать home assistant cloud. Он платный - но тем самым - поддержите проект.
https://www.nabucasa.com/
2025-09-18 05:07:57
Да, это базовый вариант, но пока интересно покопаться и заодно денег сэкономить
2025-09-18 05:16:14
Вам накидали кучу ответ, но ИМХО - это театр безопасности.
Нужно сначало написать сценарии угроз, а уже потом думать как от них защитится.
1) можно сделать или безопасно или удобно. Одновременно не получится.
2) защита периметра не панацея. VPN, nat, и т.д. Не помогают в случае направленной атаки и наличии бытовых ПК в локалке.
3) за 20 лет, что я слежу за темой был только 1 случай когда веб морда дом автоматизации торчашей в инет подверглась массовому взлому. Это был кстати node-red. Патч безопасности вышел на следующий день. Iobroker обновил адаптер через 3 дня, home assistant растянул недели на 2.
Тут вывод скорее, что нужно ставить весь софт отдельно, не полагаясь на швейцарский нож из коробки.
Что бы мы правильно понимали друг друга. За этот же период (20 лет) smb win 0 day под массовым шифровальщиком, synology dsm под массовый шифровальщик.
PS про защиту периметра при наличии ПК в локалке
https://habr.com/ru/companies/xakep/articles/125768/
Нужно сначало написать сценарии угроз, а уже потом думать как от них защитится.
1) можно сделать или безопасно или удобно. Одновременно не получится.
2) защита периметра не панацея. VPN, nat, и т.д. Не помогают в случае направленной атаки и наличии бытовых ПК в локалке.
3) за 20 лет, что я слежу за темой был только 1 случай когда веб морда дом автоматизации торчашей в инет подверглась массовому взлому. Это был кстати node-red. Патч безопасности вышел на следующий день. Iobroker обновил адаптер через 3 дня, home assistant растянул недели на 2.
Тут вывод скорее, что нужно ставить весь софт отдельно, не полагаясь на швейцарский нож из коробки.
Что бы мы правильно понимали друг друга. За этот же период (20 лет) smb win 0 day под массовым шифровальщиком, synology dsm под массовый шифровальщик.
PS про защиту периметра при наличии ПК в локалке
https://habr.com/ru/companies/xakep/articles/125768/
2025-09-18 05:57:11
Спасибо! Выглядит так, как будто надо просто забить и успокоиться
2025-09-18 05:50:31
подключать к НА Гугл/Эпл и выводить на радость в шторку, так не будет прямого доступа к веб интерфейсу. Для изоляции в локальной сети берите роутер который поддерживает разные сети и между ними настройте файрвол, не реклама, но такое умеет кинетик и недавно они переехали в германию и доступны на амазон.
2025-09-20 02:47:10
Спасибо! Подумаю про кинетик
2025-09-20 02:47:33