Invalid Certificate com o DuckDNS

Ok! Desde já muito obrigado pela ajuda, finalmente consegui renovar o certificado com a preciosa ajuda.
Gostaria de saber se as portas que tenho abertas são as mais corretas:

Boa tarde

Tenho um problema identico com a agravante do meu Kasperski parecer querer ser parte do problema.

Tudo parece bem mas nos meus dispositivos o certificados está marcado como não confiável e não consigo aceder do ipad (nem usando um endereço local nem via duckdns).

A estratégia de mudar o port forward da porta 80 no router não funciona porque (pressupostamente por razões de segurança) este não me permite.

Alguma ideia como “tornar” os certificados “trusted”?

Obrigado

@jgracio
Os certificados da Lets Encrypt são “trusted”! Nas configurações do Kaspersky desliga a verificação dos certificados.

@Fernmac
Sem saber o que tens instalado no HA não há maneira de responder. Para o HA apenas são precisas a porta 80 e 8123 .

Obrigado Jorge

A verificação dos certificados já está desligada no Kaspersky, mas apenas afectava o meu acesso via windows.

Tenho instalado o hassio e a configuração do DuckDNS é
{
“lets_encrypt”: {
“accept_terms”: true,
“certfile”: “fullchain.pem”,
“keyfile”: “privkey.pem”
},
“token”: “xxxxxxxxxxxxxxxxxxxxxxxxxx”,
“domains”: [
ccc.duckdns.org
],
“seconds”: 300
}

E a configuração http no configuration é
hppt:
base_url: https://XXX.duckdns.org:8123
ssl_certificate: /ssl/fullchain.pem
ssl_key: /ssl/privkey.pem

Os erros que obtenho são no pc windows e no ipad são:
Quando acedo via hassio.local, dá falha que ligação no ecran com o simbolo do ha, com a mensagem
Unable to connect to Home Assistant. e com a opção de retry. Quando acedo a retry aparece-me o ecran para login que após introduzido correctamente volta a dar falha de ligação.

Quando acedo via duckdns apenas me aparece um ecran de erro :slight_smile:
Forbidden
You don’t have permission to access /UI on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Nesta altura estou sem conseguir aceder ao ha e não sei porquê uma vez que “aparentemente” nada fiz que me parecesse relevante para a segurança do ha.

Agradeço a ajuda.

O teu base URL deve ser sempre o teu IP interno e sem prefixo. Altera para:

base_url: xxx.xxx.xxx.xxx:8123

P.S.: Lê a FAQ sobre como publicar código…

Uma vez mais obrigado, parece que estou parcialmente salvo.

No windows ficou a funcionar dentro da lan mas não consigo aceder no ipad.
Quanto ao duckdns continua a dar erros - tenho que pensar se quero manter esta funcionalidade - passei um fds de volta de certificados de acesso e relações de confiaça entre redes e dispositivos em vez de me divertir a automatizar a minha vida doméstica. :confused: Serei só eu?

O que queres dizer com “Lê a FAQ sobre como publicar código…”? FAQ aqui no CPHA? Publicar que tipo de código?

@jgracio quando publicares código deves sublinhar o texto que queres transformar em código e clicar no icone </>. Deverá existir um espaço antes e outro depois do bloco de código para que funcione correctamente. O código em Yaml é muito sensível aos espaçamentos e sem o código devidamente formatado não te poderemos ajudar.`

Vê um exemplo:

Ok, entendido.
As minhas desculpas pela falta de disciplina.

1 Curtiu

@jgracio
Explica com pormenores como tens a tua rede montada e como tens o teu HA instalado. Posso ter uma solução para isso.

Tenho apenas uma subnet com um router da vodafone que liga à wan. O meu hassio 0.88.1, HassOS 2.10, está instalado num RPi ligado por ethernet directamente ao router.

O meu router da vodafonte tem um port forward da porta de entrada 433 para a porta interna 8123 que por sua vez aponta para o hassio.

Tudo isto tem funcionado com frequentes erros relativos ao certificado que entretanto foram minimizados por ter desligada a verificação dos certificados pelo kaspersky. Nesta altura não apenas consigo aceder ao hassio directamente ao por hpps://xxx.xxx.xxx.xxx:8123 .

Diz-me por favor se há mais algum detalhe sobre a rede e configuração que penses ser relevante para a análise do problema.

OS meus agradecimentos …

O problema poderá estar nos port forwards. Tenta por tudo directo para o HA (80>8123, 443>8123 e 8123>8123).

O que te aconselhava era mudares o teu tipo de instalação para raspassio. Ficas com mais controlo sobre o SO e todas as funcionalidades do Hassio.

Se tiveres um domínio teu (são muito baratos) podes instalar o nginx+certbot para teres https e certificado. Dentro da tua rede interna o HA funciona em http://ip_do_ha:8123 e de fora funciona com https://dominio.tld

Achas mesmo que vale a pena migrar para raspassio? Não fica mais lento ou sujeito a mais problemas?
Registando o teu domínio, não ficas mais exposto na internet?
Obrigado pela informação.

@Fernmac vale sim a pena migrar para raspassio, mesmo que tenhas o sistema a correr no pi3, não fica assim tão mais lento quanto isso.
O facto de teres portas abertas para fora, ficas sempre mais exposto é uma verdade.
Porque não consideras uma VPN? Não terias que abrir portas nenhumas para fora, e fora de casa acedias por vpn.

A post was split to a new topic: Aceder ao Home Assistant por VPN

Muito obrigado Jorge

Vou voltar a avaliar a possibilidade de troca de porta de gestão do meu router para tentar libertar a porta 80 para este efeito.
Vou também instalar um raspbian + docker num cartão à parte e fazer o teste.
Alguma sugestão para aquisição de domínios baratos?

Depois dou notícias …

Como disse o Rodolfo, com um domínio, ficas na mesma com as portas abertas, estou inclinado para a solução VPN, ando a estudar…

@jgracio
Uma boa opção é a NameCheap com dominios .work, ficam a cerca de 4 euros ano e 80 centimos no primeiro ano.

A questão da segurança não se põe pois só precisas da porta 80 aberta, depois com o nginx redireccionas os endereços para onde quiseres. Eu uso subdominios em vez de números de porta, por exemplo uso o https://nr.xxxxxxx.tld para aceder ao Nodered em vez de htts://xxxxxx.tld:1880. Esta solução além de mais facil de decorar também é segura, embora em termos de segurança a solução da VPN seja melhor.

Isto já funciona :slight_smile: :grinning:

Depois de muita guerra com o meu router para abertura da porta 80 agora parece funcionar.
Jorge, obrigado

Vou agora tratar de: instalar o hassbian e ver a questão de um domínio meu. Para instalar uma VPN penso que necessito efetuar alteração no router da Vodafone o que poderá criar alguma instabilidade na rede cá de casa.

1 Curtiu

Este tópico foi automaticamente fechado 90 dias após a última resposta. Novas respostas não são permitidas.


Copyright © 2017-2021. Todos os direitos reservados
CPHA.pt - info@cpha.pt


FAQ | Termos de Serviço/Regras | Política de Privacidade