Forum Francophone Home Assistant

Est-il possible de sécuriser l’accès à distance de HA?

Suite à une panne du réseau fibre, nous avons perdu notre connexion internet pendant plusieurs jours.
Le réseau interne wifi de la Livebox était fonctionnel, mais plus aucune connexion vers ou depuis l’extérieur. Outre la perte de la TV et des services de streaming en ligne, c’est HA qui est devenu inaccessible. Aussi bien de l’extérieur que de l’intérieur. Je pense même qu’HA s’est planté.
Orange nous ont rapidement prêté une Airbox pour dépanner. Celle-ci procure un nouveau point d’accès Web en wifi pour la plupart des objets connectés. Mais malgré tout çà, bah je n’ai plus aucun accès à mon RPi et notre HA, puisque ses échanges avec nous s’effectuent en https via Duckdns. J’ai pu, grâce au réseau Wifi de la Livebox encore actif, me reconnecter aux fichiers du RPi via Samba Share, et reconfigurer l’accès local. Mais tout ne fonctionne pas.
Les automations semblent toujours fonctionnelles, mais les capteurs ne sont plus rafraichis. En fait, il semble que les intégrations/extensions ne soient plus chargées. Et comme le système en utilise certaines (Enocean, HACS, Sheduler, …) les capteurs de T° qui utilisent Enocean ne sont plus rafraichies. Pas top pour le chauffage…

J’en suis au début de l’aventure domotique, et on se rend compte que c’est très fragile.
Heureusement que ce type de soucis arrive maintenant, et que le chauffage n’est pas encore piloté par HA…
Encore quelques jours de développement et le chauffage aurait été en panne. Mais demain c’est la protection à distance du domicile ou la surveillance de vivants à distance qui seront à la merci d’une nouvelle défaillance d’une fibre de verre de la taille d’un cheveux, ou de la pince coupante d’un individu mal intentionné.
J’ai trois solutions : Soit je balance tout et retourne à ma paille et mes silex en regardant passer la caravane de l’avance technologique, soit je joue au mini geek qui s’extasie devant l’allumage d’une ampoule et basta. Soit, et c’est la direction que j’ai (encore) envie de prendre : Sécuriser et durcir tout çà.

Pour le vivant, je vois parfois des solutions à base d’appels via le réseau GSM en cas d’urgence. N’existe-t-il pas une solution similaire à intégrer à un système comme HA sur RPi ?
Actuellement, l’accès au web se fait exclusivement via la Livebox. Existe-t-il un autre moyen à mettre en parallèle ?

si je peux te donner des pistes.
j’ai dissocier plusieurs éléments:
le but étend d’être le moins possible dépendant d’internet.

l’éclairage,

  • indispensable toilette, sous sol. câbler
  • si important (couloir) doit pouvoir marcher avec ou sans ha. J’ai donc garder mes interrupteurs et installé des ampoule wifi. Ha les commande et les interrupteur sont toujours en on.
  • pas important éclairage extérieur guirlandes sonnettes. relais et capteur connectés. pilotable avec HA

les relais.

  • chauffage. j’ai de l’électrique: pilotable par fils pilotes. (mais disjoncteur non enclenché) le 2A de la commande. (non secour)
    les relais puissances sont commandé par HA (mais actionnable en on forcer manuellement)
  • le chauffe eau est lui indépendant commandé par un relais connecté mais programmé.
    ( ha n’est utilisé que pour éteindre le chauffe eau en mode vacances).

internet

pas le choix pour l’instant c’est ma box.

DHCP

la plupart de mes équipements sont en ip fixe donc fonctionnelle même si la box est éteinte.
j’ai plusieurs répétiteurs avec le même ssid et pasword.
j’envisage aussi d’installer un rpi pour le dhcp et reverse proxy.

l’alarm

voila ma vision à comparer

1 J'aime

Pour le chauffage
Dans l’état actuel, et bien que le chauffage est et restera pilotable grâce au thermostat ‹ mécanique mural › , je pense qu’un blocage des automatismes pour une raison similaire à celle actuelle, peut être problématique en cas de coupure d’HA.
Exemple : Dans le cas où la sortie commande est sur ON (relais chauffage enclenché) au moment de la coupure, et sans nouvelle acquisition de la mesure de T° due à la coupure, le bruleur de la chaudière reste allumé :roll_eyes:
L’écrire me permets déjà d’envisager un automatisme de sécurité de type si pas de nouvelle valeur dans les x minutes = coupure du relais chaudière. (et comme l’ancien thermostat restera dans une position mini acceptable, c’est lui qui prendra le relais).

Éclairage
Aujourd’hui, beaucoup de filaire (c’est une vieillie maison) et les interrupteurs nouvellement installés sont en Enocean (868Mhz, sans batterie. Via piezo)
Leurs commandes sont directement appairées aux relais et variateurs. HA peut piloter en parallèle

VMC
Régulation HR intégrée et commandes de boost via inters et relais Enocean directement appairés. J’envisage une coupure via HA la nuit. (Il nous est arrivé qu’une baisse de T° fasse naturellement monter l’HR et enclenche la VMC à fond… avec des braises dans la cheminée. Ce qui a eu pour effet un retour des fumées dans toute la maison (tirage inversé)).

DHCP
IP fixes également, mais çà passe par la Livebox, donc si panne…

Alarme
On y pense…
Plus dissuasive qu’autre chose. Le temps que quelqu’un prenne le risque d’intervenir… Le mal sera fait.

Surveillance à distance
C’est là que nous avons un réel besoin.
J’envisage des caméras pour surveiller des aquariums lors des vacances et guider les intervenants si besoin.

Sécurisation du système.
La partie serveur et box seront alimentés sur onduleur afin de permettre l’envoi d’alertes lorsqu’il y aura coupure d’électricité.

Bonjour,

de mon coté,
j’ai rapidement abandonné duckdns et le https a cause de ce problème de ne pas pouvoir accéder a mon HA par son IP interne, je suis resté sur du moins sécurisé vu de l’extérieur mais au moins mes modules IoT peuvent accéder au HA depuis l’IP interne. Je n’ai pas trouvé de solution https me permettant l’accès interne sur l’ip directe

je n’ai aucun module qui a besoin d’internet pour envoyer ses données au HA,
pour le moment du sonoff et du custom principalement sur ESPHOME
j’en suis au début du pilotage du chauffage, pour le moment 1 seul radiateur avec un module sonoff mais je pense faire a l’avenir un module custom avec ESP01 et triac, moins bruyant que le clac du relais dans la chambre

pour les lumières, j’ai pour le moment 4 zones pilotées par un module perso sur lequel j’ai laissé les interrupteurs poussoirs qui commandent les relais et envoient un message MQTT a chaque changement d’état et HA peut les piloter aussi par MQTT ce qui fait que si je n’ai plus accès a HA, plus de wifi ou plus d’internet, je peut au moins allumer mes lampes a la main !

je suis en wifi
mais sur des bornes unifi totalement séparées de la box et ondulées
presque tous les modules sont en IP fixe

tout cela pour dire que si ma box crame mon HA doit continuer de fonctionner … faudrait peut-être que je test cette théorie ???

pour la sécurité, j’ai une clé USB 3G qui permet d’envoyer des SMS en cas de coupure internet a la place des notifications sur les apps HA des téléphones

1 J'aime

a propos de sécurité, je viens d’essayer ça :

fonctionne parfaitement pour le moment en tout cas,
il faut une appli OTP sur téléphone, moi j’ai mis FreeOTP, il va générer un code pour faire une double authentification sur le HA a chaque connexion …

1 J'aime

Bonjour,
ah oui pas mal ça ajouté dans ma todolist :laughing: