Home Assistant v kapse: Jak na bezpečný přístup odkudkoliv

V minulém díle jsme se naučili zálohovat, takže už se nemusíme bát katastrofy. Dnes odstraníme poslední velkou překážku, která dělí váš chytrý dům od dokonalosti.

Zatím totiž váš Home Assistant funguje jen, když jste doma na Wi-Fi. Jakmile vyjdete ze dveří a telefon se přepne na mobilní data, aplikace ztratí spojení. Nevíte, jestli jste zavřeli garáž, nemůžete si zatopit před návratem z dovolené a nechodí vám notifikace.

Dnes "zboříme zdi" vašeho domu. Ukážeme si, jak se k systému připojit odkudkoliv na světě. Cest, jak toho docílit, je několik. Liší se cenou, složitostí a hlavně bezpečností.

Dvě cesty do vašeho domu

V zásadě existují jen dva způsoby, jak se dostat domů. Buď do digitální zdi domu vyvrtáte díru, nebo si natáhnete chytré potrubí.

Stará škola: Veřejná IP a Port Forwarding

Toto je cesta pro zkušené síťové inženýry. Spočívá v tom, že na svém routeru "otevřete díru" (přesměrujete port) přímo na Home Assistant. K tomu obvykle potřebujete, aby vám poskytovatel internetu přidělil veřejnou IP adresu. Zásadním úskalím této metody je šifrování. Home Assistant v základu komunikuje přes protokol HTTP, což znamená, že vaše heslo by internetem létalo jako čitelný text na pohlednici a kdokoliv po cestě by ho mohl přečíst. Musíte si tedy sami nastavit a hlídat SSL certifikáty (přechod na HTTPS), což není pro začátečníky. Navíc, protože je přihlašovací stránka vystavená celému světu, musíte mít naprosto neprůstřelné heslo, protože je to jediná věc, která dělí útočníka od vašeho obýváku.

Moderní cesta: Šifrované tunely

Dnes je standardem technologie tunelů, kdy Home Assistant sám naváže spojení zevnitř domu ven k prostředníkovi, takže nemusíte otevírat žádné nebezpečné porty na routeru a řešit veřejnou IP. I zde ale existují dva různé přístupy:

Prvním přístupem jsou veřejné brány. Sem patří oficiální placený Home Assistant Cloud (Nabu Casa) nebo oblíbená alternativa Cloudflare Tunnel. Obě služby fungují na principu, že konec tunelu "vystaví" na veřejný internet pod nějakou webovou adresou.

• Home Assistant Cloud je nejpohodlnější, vše nastaví za vás, ale platíte měsíční předplatné.
• Cloudflare Tunnel je volbou pro nadšence, kteří chtějí mít vlastní doménu (např. homeassistant.novakovi.cz). Je to sice pracnější na nastavení, ale finančně mnohem výhodnější – zatímco za HA Cloud dáte ročně přes 1500 Kč, vlastní doména vás vyjde na pár stovek.

Pozor ale na bezpečnost: U obou těchto variant je vaše přihlašovací stránka viditelná pro kohokoliv na internetu. I zde je tedy kriticky důležité mít velmi silné heslo a ideálně zapnuté dvoufázové ověření.

Druhým přístupem – a naším vítězem – je Tailscale. Také využívá tunel, ale jeho konec nikde veřejně nevystavuje. Vytvoří uzavřenou privátní síť (VPN) jen mezi vašimi zařízeními. Pro zbytek světa je váš Home Assistant neviditelný, takže se k přihlašovací stránce nikdo cizí vůbec nedostane, ani kdyby chtěl. Nebudete sice mít hezkou doménu "novakovi.cz", ale získáte maximální bezpečí zdarma a bez nutnosti kupovat doménu.

Zprovozňujeme Tailscale krok za krokem

Tailscale vytvoří privátní síť (VPN) mezi vaším telefonem a domácím serverem. Bude to rychlé a potřebujete k tomu jen telefon a počítač.

Krok 1: Vytvoření účtu

Jděte na web tailscale.com a klikněte na Get Started. Přihlaste se ideálně svým Google účtem (stejným, který používáte pro zálohy, ať v tom máte pořádek).

Krok 2: Instalace doplňku v Home Assistantovi

Teď musíme naučit váš dům, aby se do této sítě připojil.

1. Jděte do Nastavení -> Doplňky -> Obchod s doplňky.
2. Do vyhledávání napište Tailscale.
3. Klikněte na doplněk Tailscale a dejte Instalovat.
4. Po instalaci zapněte přepínače Spustit při spuštění a Hlídací pes.
5. Klikněte na Spustit.

Krok 3: Propojení

1. V záložce doplňku klikněte na Otevřít webové rozhraní (Open Web UI).
2. Klikněte na tlačítko Log In pro přihlášení. Budete přesměrováni na přihlašovací portál Tailscale.
3. Zde se přihlaste stejným účtem jako v kroku 1.
4. Klikněte na Connect, abyste potvrdili, že chcete připojit váš Home Assistant do vaší soukromé sítě.

Váš Home Assistant je nyní online ve vaší soukromé síti.

Krok 4: Připojení telefonu

Teď musíme do stejné sítě dostat váš telefon.

1. Stáhněte si z App Store nebo Google Play aplikaci Tailscale.
2. Otevřete ji a přihlaste se (zase stejným účtem).
3. Aplikace se vás zeptá na povolení přidat VPN konfiguraci – povolte to.
4. V seznamu zařízení byste nyní měli vidět svůj telefon a také Home Assistant.

Krok 5: Finále – Nastavení aplikace Home a

• Aby to fungovalo, musíte mít na telefonu zapnutý přepínač v aplikaci Tailscale (nahoře vlevo "Active").
• V aplikaci Tailscale klikněte na název vašeho Home Assistanta. Zkopíruje se vám jeho IP adresa. U nás byla adresa 100.105.213.87, vaše bude mít pravděpodobně jiná čísla.
• Otevřete aplikaci Home Assistant v telefonu.
• Jděte do Nastavení -> Doprovodná aplikace -> Server.

Zde uvidíte dvě kolonky:

• Interní URL: Sem patří vaše domácí adresa (např. http://homeassistant.local:8123). Tu používá telefon, když jste na domácí Wi-Fi.
• Externí URL: Sem vložte svou IP adresu podle následujícího vzoru: http://100.105.213.87:8123/

Jak to funguje v praxi?

Je to prosté. Když jste doma, telefon komunikuje přímo přes Wi-Fi. Jakmile vyrazíte do světa, stačí mít na pozadí spuštěnou aplikaci Tailscale (VPN). Váš telefon si bude myslet, že je stále "v obýváku", i když jste na datech v Chorvatsku, a aplikace Home Assistant se bez problémů připojí.

Co dál?

Máme hardware. Máme software. Máme zálohy. A teď máme i dálkové ovládání. Základní infrastruktura je kompletní. Už žádné nastavování, instalování a šroubování.

V příštím díle konečně přijde to, kvůli čemu to celé děláme. Automatizace. Ukážeme si, jak vdechnout domu život, aby světla reagovala na pohyb a topení na otevřené okno. Připravte se, začíná ta pravá zábava!