Jump to content
PLC Forum


Collegamento da remoto da smartphone tramite SSH a un server linux debian e accedere a interfaccia web di Home Assistant


Ipso
 Share

Recommended Posts

Buongiorno vi volevo chiedere un consiglio per accedere da remoto ( da smartphone Android)al Mini PC con Linux Debian e Home Assistant Supervised su Docker che funzionerà da server domotico e quindi istanziare Home Assistant(la sua interfaccia grafica che funziona con protocollo http).  Attualmente dalla LAN mi collego da un PC di appoggio (con Windows 10)tramite SSH al mini PC con Linux Debian .L'idea è di collegarni da remoto con il mio smartphone Android al mini PC con Home Assistant Supervised ( installato con Docker e Linux Debian) tramite il protocollo SSH, però non ho capito una cosa, una volta raggiunto il mini PC da remoto tramite SSH, che comando dovrei dare da terminale per visualizzare l'interfaccia web di Home Assistant? Grazie per il vostro aiuto.Un caro saluto

Link to comment
Share on other sites


Andrea Annoni

Il tutto dipende da come configuri l’interfaccia di rete debian. 
mi aspetto che lo configurerai in bridge e quindi assegnerai un ip dedicato a HA.

 

per l’accesso quindi tutto è demandato al router/firewall.

se non vuoi usare il cloud HA (scelta che condivido), puoi fare una vpn. 
 

app per ssh c’è l’imbarazzo della scelta. 

Link to comment
Share on other sites

45 minuti fa, Andrea Annoni ha scritto:

Il tutto dipende da come configuri l’interfaccia di rete debian. 
mi aspetto che lo configurerai in bridge e quindi assegnerai un ip dedicato a HA.

 

per l’accesso quindi tutto è demandato al router/firewall.

se non vuoi usare il cloud HA (scelta che condivido), puoi fare una vpn. 
 

app per ssh c’è l’imbarazzo della scelta. 

Grazie mille Andrea per l'accesso da remoto da smartphone ( android) se uso il protocollo SSH per collegarmi al server linux debian( su cui avrò installato Home Assistant )se uso il protocollo SSH posso fare a meno di creare un server VPN nella LAN? L'uso della tecnologia SSH per creare un tunnel cifrato per l'accesso da remoto al server Home Assistant è sufficiente? o serve anche creare un server VPN nella LAN? ( Io pensavo che per l'accesso da remoto o scelgo il protocollo SSH o implemento un server VPN ? ).Immagino che la prima cosa da fare è installate un client SSH sul telefono, poi  associare l'IP pubblico del router (dinamico) a un nome a dominio tramite un servizio ddns ( ad esempio noip installando il relativo client sul server linux debian con home assistant) aprire sul router la porta 22 per il servizio SSH.Aprendo il terminale sullo smartphone dovrei digitare sudo ssh @ nome dominio :2:2 ma poi come si fa per collegarsi al pannello web di Home Assistant? In buona sostanza tramite SSH si può aprire una pagina web?( cioè l'interfaccia grafica di Home Assistant e come si fa? Grazie per il tuo aiuto buona domenica

Link to comment
Share on other sites

Andrea Annoni
3 minuti fa, Ipso ha scritto:

se uso il protocollo SSH posso fare a meno di creare un server VPN nella LAN?

A mio avviso è pura follia pubblicare SSH. Ma libero di fare come desideri.

 

3 minuti fa, Ipso ha scritto:

L'uso della tecnologia SSH per creare un tunnel cifrato per l'accesso da remoto al server Home Assistant è sufficiente? o serve anche creare un server VPN nella LAN?

Ripeto: non so come vuoi collegare il docker. Se usi IL NAT dipendi dall'indirizzo di Linux. Se lo metti in bridge hai un IP dedicato per HA.

 

Non capisco perchè ci si debba complicare la vita. Per accedere via SSH da Linux devi ovviamente avere un server o crearti routing.

Perchè non accedere direttamente a HA? Oltretutto poi che ha pure la sua APP.

 

 

Link to comment
Share on other sites

42 minuti fa, Andrea Annoni ha scritto:

A mio avviso è pura follia pubblicare SSH. Ma libero di fare come desideri.

 

Ripeto: non so come vuoi collegare il docker. Se usi IL NAT dipendi dall'indirizzo di Linux. Se lo metti in bridge hai un IP dedicato per HA.

 

Non capisco perchè ci si debba complicare la vita. Per accedere via SSH da Linux devi ovviamente avere un server o crearti routing.

Perchè non accedere direttamente a HA? Oltretutto poi che ha pure la sua APP.

 

 

A mio avviso è pura follia pubblicare SSH.Perchè? Mi potresti spiegare?

grazie mille per i tuoi,consigli  buona domenica

Link to comment
Share on other sites

Andrea Annoni
2 minuti fa, Ipso ha scritto:

A mio avviso è pura follia pubblicare SSH.Perchè? Mi potresti spiegare?

grazie mille per i tuoi,consigli  buona domenica

Perché è il protocollo più attaccato è vulnerabile. 
ci sono anche Utility per il brute force automatico. 
senza contare gli exploit di Linux. 
se non stai dietro agli aggiornamenti e non implementi un minimo di fail2ban è matematico che in pochi giorni te lo bucano.

 

provare per credere; se la lasci aperta e verifichi i Log vedrai quanti tentativi di accesso.

almeno va limitato a determinare subnet (se ne possiedi). Aperto al mondo per me follia. 

Link to comment
Share on other sites

Ok grazie mille adesso è chiaro un caro saluto

1 ora fa, Andrea Annoni ha scritto:

A mio avviso è pura follia pubblicare SSH. Ma libero di fare come desideri.

 

Ripeto: non so come vuoi collegare il docker. Se usi IL NAT dipendi dall'indirizzo di Linux. Se lo metti in bridge hai un IP dedicato per HA.

 

Non capisco perchè ci si debba complicare la vita. Per accedere via SSH da Linux devi ovviamente avere un server o crearti routing.

Perchè non accedere direttamente a HA? Oltretutto poi che ha pure la sua APP.

 

 

A mio avviso è pura follia pubblicare SSH.Perchè? Mi potresti spiegare?

grazie mille per i tuoi,consigli  buona domenica

Link to comment
Share on other sites

Andrea Annoni
1 ora fa, Ipso ha scritto:

A mio avviso è pura follia pubblicare SSH.Perchè? Mi potresti spiegare?

grazie mille per i tuoi,consigli  buona domenica

Perché è il protocollo più attaccato è vulnerabile. 
ci sono anche Utility per il brute force automatico. 
senza contare gli exploit di Linux. 
se non stai dietro agli aggiornamenti e non implementi un minimo di fail2ban è matematico che in pochi giorni te lo bucano.

 

provare per credere; se la lasci aperta e verifichi i Log vedrai quanti tentativi di accesso.

almeno va limitato a determinare subnet (se ne possiedi). Aperto al mondo per me follia. 

Link to comment
Share on other sites

Ivan Botta

Googla e cerca "Collegarsi da remoto a Home Assistant Core installato su Raspberry Pi OS" , nello specifico l'integrazione da installare è DuckDNS che serve proprio per collegarsi ad Home Assistant da remoto.

 

Link to comment
Share on other sites

34 minuti fa, Ivan Botta ha scritto:

Googla e cerca "Collegarsi da remoto a Home Assistant Core installato su Raspberry Pi OS" , nello specifico l'integrazione da installare è DuckDNS che serve proprio per collegarsi ad Home Assistant da remoto.

 

Ok grazie Ivan ciao

Link to comment
Share on other sites

@Andrea Annoni

Caro Andrea,ciao ti volevo chiedere un consiglio: cosa ne pensi se utilizzassi un server proxy inverso per accedere da remoto all'interfaccia web di Home Assistant utilizzando questo tool?

https://nginxproxymanager.com

Grazie mille per il tuo,consiglio

PS se hai fatto delle guide su questo argomento magari me le puoi indicare?Grazie buona giornata

Link to comment
Share on other sites

Andrea Annoni

Perdonami ma continuò a non capire….. perché mai devi interporre un proxy? 
a che scopo?

premetto che non conosco il prodotto nel link, ma non capisco l’utilità….. se la questione è accedere a HA da remoto perché non utilizzare le strade “normali”:

 

1) Abiliti il suo cloud; e a pagamento ma è certificato 

 

2) pubblicarlo con il NAT (magari un minimo di restrizioni in base al firewall in uso).

 

3) VPN per accedere 

Link to comment
Share on other sites

54 minuti fa, Andrea Annoni ha scritto:

Perdonami ma continuò a non capire….. perché mai devi interporre un proxy? 
a che scopo?

premetto che non conosco il prodotto nel link, ma non capisco l’utilità….. se la questione è accedere a HA da remoto perché non utilizzare le strade “normali”:

 

1) Abiliti il suo cloud; e a pagamento ma è certificato 

 

2) pubblicarlo con il NAT (magari un minimo di restrizioni in base al firewall in uso).

 

3) VPN per accedere 

Grazie Andrea per la disponibilità si una strada è come dici creare un server VPN ( se si crea un server VPN perchè bisogna attivare anche il cloud di Home Assistant? una volta entrato in LAN potrei istanziare Home Assistant in locale!) Ad ogni modo che significa che il suo cloud è certificato?Che differenza c'è tra un cloud certificato e un cloud non certificato?

 

Se si usa un server VPN per accedere al server domotico ,ho letto che si perde la possibilità di avviare delle automazioni basate sulla geolocalizzazione, ragion per cui stavo valutando l'utilizzo di un proxy inverso che gestisse in maniera più avanzata l'accesso al server domotico e abilitasse il trasferimento dei dati in maniera crittografata HTTPS (anziché http) in quanto Home Assistant non gestisce la crittografia del traffico dati.Un'altra strada è utilizzare Caddy per creare un server proxy inverso .Grazie per la tua disponibilità

 

Link to comment
Share on other sites

Andrea Annoni
38 minuti fa, Ipso ha scritto:

Grazie Andrea per la disponibilità si una strada è come dici creare un server VPN ( se si crea un server VPN perchè bisogna attivare anche il cloud di Home Assistant? una volta entrato in LAN potrei istanziare Home Assistant in locale!)

Secondo me hai parecchia confusione ; soprattutto in ambito networking.

A parte che i tre punti erano tre proposte; puoi scegliere se usare la 1, la 2, la 3........non devi usarle tutte e tre.

 

 

 

39 minuti fa, Ipso ha scritto:

Ad ogni modo che significa che il suo cloud è certificato?Che differenza c'è tra un cloud certificato e un cloud non certificato?

 

Siamo in Italia, e anche se la gente non lo capisce esiste un GDPR...... il cloud fa parte di quei servizi che lo devono rispettare e soddisfare i requisiti. Primo tra tutti il livello di sicurezza, e subito dopo chi lo gestisce.

Usare cloud "cinesi" o di dubbia provenienza (o peggio ancora come il 90% nemmeno dichiarato chi ne ha accesso)è come aprire letteralmente TUTTA la propra LAN a chi gestisce il cloud; giusto per farti capire il gestore ha a tutti gli effetti una zampa in Layer2 nella LAN.

Per non parlare poi delle vulnerabilità: chi lo sfonda ha accesso a numerose informazioni. Che non sono certo il vedere una telecamera o accendere una luce....... la fame è ben diversa e molto piu pericolosa.

 

 

43 minuti fa, Ipso ha scritto:

Se si usa un server VPN per accedere al server domotico ,ho letto che si perde la possibilità di avviare delle automazioni basate sulla geolocalizzazion

Ma di cosa stiamo parlando? Qui siamo peggio di quel che pensavo....... sai come funziona una VPN? A cosa serve?

E a questo punto aggiungo pure se sai come funziona la geocalizzazione in HA.

45 minuti fa, Ipso ha scritto:

in quanto Home Assistant non gestisce la crittografia del traffico dati.Un'altra strada è utilizzare Caddy per creare un server proxy inverso .Grazie per la tua disponibilità

Ripeto quanto scritto. La confusione regna sovrana...... HA accetta perfettamente HTTPS sin dalla prima versione.

 

 

Link to comment
Share on other sites

Grazie mille Andrea ma infatti è da parecchio che aspetto di fare uno dei tuoi corsi in networking, infatti quando scrivi "il gestore ha a tutti gli effetti una zampa in Layer2 nella LAN".non capisco che significa ::(

Relativamente alla modalità di accesso da remoto di cui  al punto 2 ::

2) pubblicarlo con il NAT (magari un minimo di restrizioni in base al firewall in uso).

Stai parlando della tecnica del port forwarding? E quando accenni alle restrizioni a quali regole da impostare sul firewall ti riferisci?Ti riferisci ad  un firewall in ingresso sul router o il firewall può anche essere quello del server basato su Linux Debian  sui cui ho installato Home Assistant?

Grazie e perdona la mia scarsa conoscenza in materia ragion per,cui voglio apprendere e sono qui umilmente a scriverti grazie ancora

Link to comment
Share on other sites

Andrea Annoni
4 ore fa, Ipso ha scritto:

il gestore ha a tutti gli effetti una zampa in Layer2 nella LAN".non capisco che significa ::(

Chi gestisce il cloud ha, a tutti gli effetti, accesso totale alla tua rete. è come se fosse una VPN "al contrario".

 

4 ore fa, Ipso ha scritto:

Stai parlando della tecnica del port forwarding?

Si, quello che viene volgarmente chiamato port-forwarding è un NAT.

 

4 ore fa, Ipso ha scritto:

E quando accenni alle restrizioni a quali regole da impostare sul firewall ti riferisci?

Ad esempio HA può essere visto solo da determinati indirizzi; oppure da un gruppo di indirizzi; ad esempio solo indirizzi italiani (già tagli oltre il 60% degli attacchi)..

Ma per fare questo il router deve poter gestire queste funzioni........quelli da scaffale non lo fanno.

 

 

4 ore fa, Ipso ha scritto:

il firewall può anche essere quello del server basato su Linux Debian  sui cui ho installato Home Assistant?

Fortemente sconsigliato. Linux essendo open-source ha tanti vantaggi......ma anche molti svantaggi. Tipo avere molte vulnerabilià.

E poi sono dell'idea che il SO deve fare da SO.......il firewall deve essere un oggetto specifico dedicato.

 

 

Link to comment
Share on other sites

  • 2 weeks later...

Io per accedere alla rete locale utilizzavo una VPN. Avevo installto Wireguard sul mio Ubuntu server, aperto la porta sul router e poi con

l'app installata sul cellulare potevo accedere ai servizi che giravano su server tra cui anche PLEX. Se ha un IP pubblico dinamico devi affidarti ovviamente

a un servizio DDNS. Se non conosci Wireguard (che è abbastanza facile da installare e configurare) puoi sempre utilizzare OpenVPN. Le due soluzioni

funzionano sostanzialmente in modo identico. Per questa soluzione l'unico "inconveniente" è che devi per forza aprire la porta per il servizio VPN sul router e fare il port forwarding.

 

Ho detto utlizzavo perchè adesso sono sotto CGNAT, in sostanza adesso mi collego in LTE sulla rete mobile, spero di ritornare presto sulla rete fissa anche se non mi trovo malaccio così in verità. Sotto CGNAT non puoi aprire porte e fare il port forwarding data che ti manca un IP pubblico.

In ragione di ciò sono passato ad utilizzare servizi come Tailscale o Zerotier. Adesso uso Tailscale perché mi sembra più stabile e veloce rispetto a Zerotier, almeno la soluzione gratuita.

Se non hai particolari esigenze ti consiglio di dare un'occhiata a questa soluzione, anche se stai su rete fissa e hai un IP pubblico, forse fai prima ed eviti di aprire porte

sul tuo router. Sia Tailscale e Zerotier sono servizi affidabili e relativamente sicuri anche se c'è chi afferma che stai delegando la sicurezza della tua rete interna a un servizio esterno però nessuna soluzione adottata ti darà mai la sicurezza totale al 100%; meglio ribadirlo sempre questo.

 

Ciao

Edited by serbello
Link to comment
Share on other sites

Andrea Annoni
3 minuti fa, serbello ha scritto:

Io per accedere alla rete locale utilizzavo una VPN. Avevo installto Wireguard sul mio Ubuntu server, aperto la porta sul router e poi con

l'app installata sul cellulare potevo accedere ai servizi che giravano su server tra cui anche PLEX. Se ha un IP pubblico dinamico devi affidarti ovviamente

a un servizio DDNS. Se non conosci Wireguard (che è abbastanza facile da installare e configurare) puoi sempre utilizzare OpenVPN. Le due soluzioni

funzionano sostanzialmente in modo identico. Per questa soluzione l'unico "inconveniente" è che devi per forza aprire la porta per il servizio VPN sul router e fare il port forwarding.

 

Ho detto utlizzavo perchè adesso sono sotto CGNAT, in sostanza adesso mi collego in LTE sulla rete mobile, spero di ritornare presto sulla rete fissa anche se non mi trovo malaccio così in verità. Sotto CGNAT non puoi aprire porte e fare il port forwarding data che ti manca un IP pubblico.

In ragione di ciò sono passato ad utilizzare servizi come Tailscale o Zerotier. Adesso uso Tailscale perché mi sembra più stabile e veloce rispetto a Zerotier, almeno la soluzione

gratuita.

Se non hai particolari esigenze ti consiglio di dare un'occhiata a questa soluzione, anche se stai su rete fissa e hai un IP pubblico, forse fai prima ed eviti di aprire porte

sul tuo router. Sia Tailscale e Zerotier sono servizi affidabili e relativamente sicuri anche se c'è chi afferma che stai delegando la sicurezza della tua rete interna a un servizio esterno però nessuna soluzione adottata ti darà mai la sicurezza totale al 100%; meglio ribadirlo sempre questo.

 

Ciao

Peccato che se un prodotto è gratuito ….. il prodotto sei tu!

 

io eviterei di dare accesso alla mia rete a sconosciuti. 
Anche qui: mi dai indicare il GDPR per Zerotier, Wireguard ecc? Sismo in italia e il GDPR parla chiaro.

ma GDPR a parte io vorrei sapere chi ha accesso alla mia rete.

 

Anche perché a febbraio guarda caso un virus crypto si è propagato proprio tramite wireguard. 
 

 

 

Link to comment
Share on other sites

6 minuti fa, Andrea Annoni ha scritto:

Peccato che se un prodotto è gratuito ….. il prodotto sei tu!

 

Beh spesso vero, ma un po' generica come affermazione. Entrambi i servizi sopra offrono soluzioni anche enterprise basate sulla stessa tecnologia.

Il pacchetto gratuito ha solo limitazioni e serve sostanzialmente a far conoscere e a prendere confidenza con il servizio.

 

6 minuti fa, Andrea Annoni ha scritto:

io eviterei di dare accesso alla mia rete a sconosciuti. 
Anche qui: mi dai indicare il GDPR per Zerotier, Wireguard ecc? Sismo in italia e il GDPR parla chiaro.

ma GDPR a parte io vorrei sapere chi ha accesso alla mia rete.

Quando parlavo di sicurezza non intedevo che queste aziende possono (più o meno deliberatamente) accedere alla tua rete, il canale è comuqnue

criptato, ma al problema dell'affidabilità della struttura che ovviamente va monitorata e aggiornata regolarmente. Anche i router Mikrotik che si stanno diffondendo

tantissimo e hanno così successo a livello aziendale e ISP soffrono spesso di bug e si basano su un software vecchio. La sicurezza totale non te la da nessuno

e se un "professionista" di questo settore si presenta al suoi clienti fornendo questa garanzia non sa evidentemente di cosa sta parlando.

 

Capisco però che un installatore possa nutrire dubbi su quei servizi e optare per qualcosa su cui ha il pieno controllo, per carità ci sta.

....ma stiamo parlando ancora di una soluzione privata a livello casalingo?? A me era parso di si leggendo qualche intervento sopra. Magari mi sbaglio.

 

6 minuti fa, Andrea Annoni ha scritto:

 

Anche perché a febbraio guarda caso un virus crypto si è propagato proprio tramite wireguard. 
 

 

 

Non  ho idea a quale caso ti stia riferendo onestamente. Intendi il software vero e proprio (boh!?) o tramite  il tunnel creato?

Ad ogni modo Wireguard, oltre a poter essere installato su una macchina linux direttamente, ormai viene utilizzato da molti firewall e router, tipo pfSense, Mikrotik ecc.

Quindi credo ormai che sia una soluzione considerata solida, poi l'incidente può sempre capitare. Non so se ricordi il problema del bug capitato a una nota marca di Firewall

l'anno scorso.

Ciao

 

 

 

Link to comment
Share on other sites

Andrea Annoni
19 minuti fa, serbello ha scritto:

Quando parlavo di sicurezza non intedevo che queste aziende possono (più o meno deliberatamente) accedere alla tua rete, il canale è comuqnue

criptato,

Si certo; il tunnel è occiamente criptato.....ma chi cestisce la rete Wireguard/Zerotier? Chi mette le mani su quei server ha a tutti gli effetti un accesso in L2 sulla rete.

 

Non importa che la rete sia della casetta e dell'azienda. La "fame" oggi non è certo guardare le telecamere o accedere alle foto.

 

PfSense,Mikrotik (che uso quotidinamente) in genere non rientrano in alcuna policy aziendale di sicurezza. Discorso diverso per esempio con Sophos e Watchguard.....che guarda caso non supportano questi tunnel (o almeno non che io sappia al momento).

 

Nessun firewall può considerarsi sicuro al 100%; ognuno ha avuto le sue, alcuni tutt'ora e probabilmente altri ne avranno. Il mondo della sicurezza non prevede che si attacchi la spina e tutto funzionerà per sempre. Sono necessari continui aggiornamenti.

 

Il virus era mi sembra deadbolth o qualcosa del genere. Ha attaccato tantissimi NAS Qnap che non erano in alcun modo esposti. L'attacco era partito proprio dai server Wireguard

 

Link to comment
Share on other sites

20 minuti fa, Andrea Annoni ha scritto:

 

 

29 minuti fa, Andrea Annoni ha scritto:

Si certo; il tunnel è occiamente criptato.....ma chi cestisce la rete Wireguard/Zerotier? Chi mette le mani su quei server ha a tutti gli effetti un accesso in L2 sulla rete.

 

Si può dire la stessa cosa di tanti servizi online. Purtroppo su questo fronte bisogna trovare dei compromessi. Quando non si hanno alternative come nel mio caso, il rischio è molto relativo, come in tutte le faccende del networking.

 

29 minuti fa, Andrea Annoni ha scritto:

Il virus era mi sembra deadbolth o qualcosa del genere. Ha attaccato tantissimi NAS Qnap che non erano in alcun modo esposti. L'attacco era partito proprio dai server Wireguard

 

 

Scusa ma la faccenda mi interessa. In che senso dai server Wireguard? Server che usavano Wireguard come servizio VPN nella propria rete o il software Wireguard in se??

Link to comment
Share on other sites

Andrea Annoni

L'attacco pare sia partito da tutti i server e mirror che facevano da accentratori Wireguard. E si è propagato a tutti gli endpoint che erano collegati.

 

Link to comment
Share on other sites

11 ore fa, Andrea Annoni ha scritto:

L'attacco pare sia partito da tutti i server e mirror che facevano da accentratori Wireguard. E si è propagato a tutti gli endpoint che erano collegati.

 

 

Ma la tecnologia VPN wireguard in se non c'entra niente. Ho fatto un po' di ricerche e sembra che questo virus Deadbolt che ha attaccato i NAS Qnap sia dovuto a debolezze e bug di alcuni suoi programmi e servizi esposti su internet. Anzi pare che suggerissero di utilizzare le VPN come OpenVPN o Wireguard per accedere al proprio QNAS invece di esporlo direttamente su internet. Un Virus poi può anche infettare reti collegate con VPN. Una VPN crea un canale criptato tra esse mica filtra i contenuti.

Edited by serbello
Link to comment
Share on other sites

Andrea Annoni

Mi occupo di sicurezza informatica da oltre 20 anni.......diciamo che qualcosina ne capisco.

Certo che Deadbolt attacca i QNAP esposti. Ma se io attacco un server a cui sono collegati "N" dispositivi l'attacco è più efficace.

 

Secondo te perchè non è policy di nessuna azienda certificata Wireguard e compagnia cantante.

è un po' come chiedersi perchè in tante aziende sono proibite le telecamere Hikvision.

 

Poi ovviamente ognuno a casa propria è libero di fare quello che vuole. Le soluzioni alternative ci sono, certo non basta mettere due flag e occorre dimestichezza in ambito networking,

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...