Ajuda - Como configurar o acesso remoto do HA (sem Nabu Casa)

Estou tentando habilitar o acesso remoto no Home Assistant (para conseguir fazer a integração com Google Assistant, Alexa e Smartthings) e encontrei esse tutorial.

Antes de seguir o tutorial, queria saber se é um procedimento seguro. Quer dizer, eu corro o risco deixar meu sistema vulnerável fazendo isso?

2 Likes

Outra dúvida que surgiu logo no primeiro passo do vídeo. Ele diz pra habilitar o encaminhamento de porta (port forwarding) no meu roteador. Só que no meu caso, eu tenho um roteador da Vivo, que recebe o sinal da fibra óptica, e o Google Wifi, que recebe o sinal do roteador da Vivo e distribui pela casa. Quando se fala em fazer encaminhamento de porta, eu tenho que fazer Google Wifi, no roteador da Vivo ou em ambos?

Hoje eu recomendo usar o cloudflare.
Não precisa abrir portas. Vc pode dar acesso fácil a outros dispositivos, roteador por ex.

Vc só precisa de um domínio.
Vc pode comprar um NOM.BR no registro.br por 40,00 se não me engano e vale por 3 anos.

Pelo que eu verifiquei, é 40 reais por ano. É um valor bem honesto, acho que vale a pena pagar. Tentei achar um domínio no freenom.com, mas lá eu não consegui achar nenhum nome válido (todas as combinações que tentei estava indisponíveis).

Com relação à segurança da minha rede, dispositivos e dados pessoais, essa solução traz algum tipo de risco?

O NOM.BR é 40,00 por 3 anos

Sobre segurança eu não sei muito, mas penso o seguinte, se usa Internet vc tem risco.
Seu roteador pode ter uma brecha, seu sistema operacional e assim por diante.

O cloudflare tem algumas opções que não explorei ainda.
Vc pode limitar o acesso de várias maneiras. Uma que lembro é limitar o acesso de ips de outros países. Se não me engano da pra limitar por mac tbm.
Isso te dá mais segurança e não precisa abrir nenhuma porta.

Se você estiver usando o Home Assistant Supervised (Debian + Docker) dá uma olhada nesse vídeo abaixo:
Como acessar o Home Assistant Supervised remotamente com cloudflared - Tutoriais - Fórum Home Assistant Brasil
O uso padrão do cloudflare para acesso externo já bastante seguro. E ainda dá para habilitar outros recursos para aumentar a segurança. Atualmente para mim é a melhor solução.

Segui um tutorial aqui mesmo do Fórum, e aparentemente já está funcionando. Consegui fazer a integração com o Smartthings, que não estava conseguindo antes por não ter o acesso remoto.

Agora só estou na paranóia da segurança da informação. Vi em muitos lugares que eu tenho que configurar criptografia SSL para maior proteção, como funciona isso? Nas configurações do Cloudflare, a opção selecionada por default é a “Flexível”. Essa configuração é suficiente ou eu preciso selecionar a completa?

Nessa mesma página tem a opção SSL/TLS Recommender

Habilitei e recebi o e-mail recomendando a usar full (strict)

Hello,
Thanks for enabling the SSL/TLS Recommender in the dashboard. You’re receiving this email the SSL/TLS mode for xxxx.nom.br is Flexible but would benefit from the additional security provided by Full (strict).

1 Like

Deu um pouco de trabalho, mas consegui configurar o acesso remoto e a integração com Alexa.

O acesso remoto foi feito de acordo com as instruções desse tutorial do @ariel_leventhal e pra habilitar a Alexa, eu usei esse tutorial do @douglas. Deixo ambos como recomendação pra quem quiser se aventurar.

Como em todo tutorial, nem sempre as coisas saem igual ao mostrado no passo-a-passo, então eu compartilho algumas dificuldades que tive e o que eu fiz pra contornar, pra servir de ajuda aos demais colegas:

Configuração do acesso remoto

  • Criação do domínio no Freenom: Não conegui achar nenhum nome gratuito disponível, mesm após tentar uma infinidade de combinações. Acabei desistindo e segui a dica do @Walber e criei um domínio pago no registro.br. Só não consegui achar como utilizar a categoria NOM.BR e a cabei usando a opção COM.BR mesmo, pagano 40 reais por ano.
  • Adicionando o código indicado no configuration.yaml:
    image
    Na última linha do código, tem um IP que você tem que substituir pelo seu, com um /24 no final. Comigo não funcionou quando eu coloquei o /24. Daí eu apaguei e reiniciei o HA, daí deu certo.
  • Configurando o DuckDNS: Esse método exige liberação da porta 8443 do roteador, o que eu não consegui fazer. Como esse passo era opcional, eu pulei direto pro Cloudflare.
  • Autorizando o Argo Tunnel no Cloudflare: Neste ponto do vídeo (11:30) eu não consegui obter o resultado esperado no log do add-on do Cloudflare Tunnel no HA. Pesquisando por aí, descobri que o problema era no navegador. Mudei do Edge pro Chrome e deu certo.

Configuração da Alexa

  • Requisitos: No tutorial fala que é necessário ter a porta 443 ou 8443 aberta, porém isso só é verdade para o DuckDNS. Nenhum tutorial que encontrei deixa claro essa informação, o que pode causar confusão nos leigos (como eu).
  • Criando a função Lambda no AWS: Também tive dificuldade pra logar na conta da AWS recém-criada no Edge. Quando eu colocava meu email para logar, recebia a seguinte mensagem:
    image
    Por algum motivo o Edge não está funcionando comigo, mesmo após limpar os cookies. No Chrome eu fiz o login sem problemas.
  • No último passo do procedimento, isto é, ativar a Skill no Alexa, não estava conseguindo de jeito nenhum. Sempre aparecia uma mensagem de erro dizendo que não foi possível ativar. Nesse momento bateu um desespero, porque eu já tinha gastado umas boas horas e parecia que iria morrer na praia. Até que encontrei algum lugar alguém dizendo que era pra refazer o Deploy do código se ocorresse este problema:

Depois de todo o trabalho, consegui fazer a integração da Alexa! Ainda não testei, mas parece que está tudo nos conformes. Agradeço aos especialistas do fórum pela ajuda!

Na época, este add-on requeria que fizesse a configuração manual do CNAME acessando o dashboard do cloudflare.
Hoje não é mais necessário, o add-on faz isso automaticamente.

O que o add-on não faz é remover os registros CNAME antigos. Ele sobreescreve sem problema.
Então, se ficar tentando usar vários hostnames diferentes, quando abrir o dashboard, vão estar todos eles listados lá.

Basicamente, com as configurações no add-on feitas corretamente, basta se autenticar (~ 11:08) e autorizar (~ 11:16)
Quando você não está logado e tenta acessar o link pela 1ª vez, ele cai na tela de login e depois ele não volta para tela de autorização.
Aí é só acessar o mesmo link novamente que, desta vez estando logando, ele vai cair na tela certa.
Independe de navegador.