Fernzugriff & Sicherheit
Von überall auf Home Assistant zugreifen — sicher mit Nabu Casa, Tailscale oder VPN.
Fortgeschritten8 Min. Lesezeitfernzugriffvpnnabu casatailscalecloudflaresicherheit2fa
Warum Fernzugriff?
Standardmäßig ist Home Assistant nur in deinem lokalen Netzwerk erreichbar. Für den Zugriff von unterwegs brauchst du eine sichere Fernzugriffsloesung.
- Kameras prüfen — Livestream der Überwachungskameras von unterwegs
- Heizung steuern — Temperatur anpassen bevor du nach Hause kommst
- Benachrichtigungen — Push-Notifications bei Alarmen und Ereignissen
- Türschloss — Haustuer für Besucher öffnen, auch wenn du nicht zuhause bist
- Companion App — Voller Dashboard-Zugriff von überall auf der Welt
- Sprachassistenten — Alexa und Google Home brauchen Cloud-Zugriff für Befehle
Methoden im Vergleich
| Methode | Schwierigkeit | Kosten | Sicherheit | Am besten für |
|---|---|---|---|---|
| Nabu Casa | Sehr einfach | ca. 7,50 EUR/Monat | Hoch | Einsteiger, Alexa/Google |
| Tailscale | Sehr einfach | Kostenlos (privat) | Sehr hoch | VPN ohne Portfreigabe |
| Cloudflare Tunnel | Einfach | Kostenlos | Hoch | Eigene Domain |
| WireGuard VPN | Mittel | Kostenlos | Sehr hoch | Maximale Kontrolle |
| DuckDNS + LE | Mittel | Kostenlos | Mittel | Technik-affine Nutzer |
Nabu Casa (Home Assistant Cloud)
Die einfachste Lösung: Der offizielle Cloud-Dienst erstellt einen verschluesselten Tunnel zu deiner Instanz. Keine Portfreigaben, keine Konfiguration, kein DNS — einfach einschalten.
Vorteile:
- Kein Portforwarding nötig
- Automatische SSL-Verschlüsselung
- Alexa & Google Home Integration inklusive
- Unterstützt das HA-Projekt finanziell
- Funktioniert hinter jedem Router/Firewall
- Companion App funktioniert sofort
Nachteile:
- Monatliche Kosten (ca. 7,50 EUR)
- Abhängigkeit von Nabu Casa Servern
- Etwas hoehere Latenz als lokal
Einrichtung in 3 Minuten
- Cloud-Einstellungen öffnen — Einstellungen, Home Assistant Cloud, Konto erstellen
- Konto verknüpfen — E-Mail und Passwort eingeben, Bestaetigungs-E-Mail klicken
- Fernzugriff aktivieren — Schalter Fernzugriff aktivieren — sofort erreichbar unter deine-id.ui.nabu.casa
Hinweis: Mit Nabu Casa bekommst du automatisch die Alexa- und Google-Home-Integration. Ohne Cloud brauchst du dafür ein kompliziertes Setup mit eigenem OAuth-Server.
Nabu Casa konfigurieren
yaml
1# Nabu Casa Webhook für Automationen
2# Nabu Casa erstellt automatisch Webhook-URLs
3# die von aussen erreichbar sind:
4# https://hooks.nabu.casa/gAAAA.../webhook_id
5
6automation:
7 - alias: "Webhook: Türklingel Foto"
8trigger:
9 - platform: webhook
10 webhook_id: doorbell_snapshot
11 allowed_methods:
12 - POST
13action:
14 - service: camera.snapshot
15 target:
16 entity_id: camera.haustuer
17 data:
18 filename: "/config/www/doorbell_last.jpg"
19 - service: notify.mobile_app_mein_handy
20 data:
21 title: "Türklingel!"
22 message: "Jemand steht vor der Tür."
23 data:
24 image: "/local/doorbell_last.jpg"Tailscale VPN — Die moderne Alternative
Tailscale erstellt ein privates Mesh-VPN zwischen deinen Geräten basierend auf WireGuard — ohne Portfreigaben und ohne komplexe Konfiguration.
Vorteile:
- Keine Portfreigaben nötig
- WireGuard-basiert (sehr schnell)
- Funktioniert hinter NAT und Firewall
- Verschlüsselt und sicher
- Kostenlos für bis zu 100 Geräte
- Zugriff auf gesamtes Heimnetz möglich
Nachteile:
- Tailscale-App auf jedem Gerät nötig
- Kein direkter Browser-Zugriff ohne App
- Tailscale-Account erforderlich
- Tailscale Add-on installieren — Add-on Store, Tailscale suchen, Installieren und starten
- Add-on autorisieren — Login-Link im Add-on-Log klicken, Mit Tailscale-Konto anmelden
- Tailscale auf Handy/Laptop — Tailscale App installieren und mit demselben Konto anmelden
- Verbinden — Zugriff über die Tailscale-IP (z.B. http://100.x.x.x:8123)
Tailscale als Subnet-Router (Zugriff aufs gesamte Heimnetz)
yaml
1# Tailscale Add-on Konfiguration
2# In der Add-on-Konfiguration:
3# Advertise Routes aktivieren:
4# 192.168.1.0/24 -> Dein Heimnetz
5
6# Im Tailscale Admin Dashboard:
7# Machines > HA-Server > Route Settings >
8# Enable: 192.168.1.0/24
9
10# Jetzt kannst du von überall auf ALLE Geräte
11# im Heimnetz zugreifen (Drucker, NAS, Kameras...)
12# nicht nur auf Home AssistantCloudflare Tunnel
Wenn du eine eigene Domain hast, kannst du mit Cloudflare Tunnel einen sicheren Zugang ohne Portfreigaben erstellen. Cloudflare fungiert als Proxy und bietet zusätzlichen DDoS-Schutz.
- Cloudflare-Konto erstellen — Erstelle ein kostenloses Cloudflare-Konto und füge deine Domain hinzu
- DNS umstellen — Ändere die Nameserver deiner Domain auf Cloudflare
- Cloudflared Add-on installieren — Installiere das Cloudflared Add-on in Home Assistant
- Tunnel erstellen — Im Cloudflare Dashboard: Zero Trust, Tunnels, Neuen Tunnel erstellen
- Konfigurieren — Tunnel auf http://homeassistant.local:8123 zeigen lassen
- Testen — Deine Domain (z.B. ha.meinedomain.de) öffnen — HA sollte erreichbar sein
yaml
1# configuration.yaml für Cloudflare
2# Cloudflare als vertrauenswuerdigen Proxy markieren
3http:
4 use_x_forwarded_for: true
5 trusted_proxies:
6- 172.30.33.0/24 # Cloudflared Add-on Netzwerk
7- 127.0.0.1
8
9 # Optional: Login-Versuche begrenzen
10 ip_ban_enabled: true
11 login_attempts_threshold: 5Cloudflare Access (zusätzliche Sicherheit)
yaml
1# Cloudflare Access Policy (im CF Dashboard)
2# Im Cloudflare Zero Trust Dashboard:
3# Access > Applications > Add Application
4#
5# Application Type: Self-hosted
6# Application Domain: ha.meinedomain.de
7#
8# Policy: Allow
9# Include: Emails ending in: meinedomain.de
10#
11# Oder: One-Time PIN
12# Benutzer muss E-Mail eingeben und bekommt
13# einen PIN per E-Mail zur Verifizierung
14#
15# Das fügt eine zusätzliche Authentifizierungs-
16# Schicht VOR dem HA-Login hinzuWireGuard VPN — Volle Kontrolle
WireGuard ist das modernste VPN-Protokoll: schnell, sicher und einfach zu konfigurieren. Du brauchst allerdings eine Portfreigabe (UDP 51820) in deinem Router.
yaml
1# WireGuard Add-on Konfiguration
2server:
3 addresses:
4- 10.0.0.1
5 dns:
6- 1.1.1.1
7- 8.8.8.8
8 host: dein-duckdns.duckdns.org
9 port: 51820
10
11peers:
12 - name: mein_handy
13addresses:
14 - 10.0.0.2
15allowed_ips:
16 - 10.0.0.0/24
17 - 192.168.1.0/24 # Zugriff aufs gesamte Heimnetz
18
19 - name: laptop_arbeit
20addresses:
21 - 10.0.0.3
22allowed_ips:
23 - 10.0.0.0/24
24 - 192.168.1.0/24
25
26 - name: tablet_partner
27addresses:
28 - 10.0.0.4
29allowed_ips:
30 - 10.0.0.0/24
31 # Kein 192.168.1.0/24 = nur HA-Zugriff, nicht ganzes NetzVorteile:
- Vollständig selbst gehostet
- Extrem schnell und effizient
- Zugriff auf gesamtes Heimnetzwerk
- Funktioniert auf allen Plattformen
- Keine monatlichen Kosten
Nachteile:
- Portfreigabe im Router nötig (UDP 51820)
- DynDNS-Dienst benötigt bei dynamischer IP
- Manuelle Peer-Konfiguration
- Nicht so einfach wie Nabu Casa
DuckDNS + Let's Encrypt
DuckDNS bietet kostenlose Subdomains mit dynamischem DNS. Zusammen mit Let's Encrypt bekommst du ein gueltiges SSL-Zertifikat für verschluesselten Zugriff.
yaml
1# DuckDNS Add-on Konfiguration
2domains:
3 - mein-ha.duckdns.org
4token: dein-duckdns-token # Von duckdns.org nach Registrierung
5lets_encrypt:
6 accept_terms: true
7 certfile: fullchain.pem
8 keyfile: privkey.pem
9 algo: secp384r1yaml
1# configuration.yaml für HTTPS
2http:
3 ssl_certificate: /ssl/fullchain.pem
4 ssl_key: /ssl/privkey.pem
5
6 # IP-Banning aktivieren (wichtig bei Portfreigabe!)
7 ip_ban_enabled: true
8 login_attempts_threshold: 5Hinweis: Bei DuckDNS musst du Port 8123 in deinem Router freigeben. Das bedeutet, dein Home Assistant ist direkt aus dem Internet erreichbar. Nutze unbedingt SSL, starke Passwoerter und 2FA!
Sicherheits-Checkliste
Grundlegende Absicherung
- Starke Passwoerter — 12+ Zeichen, Gross/Klein/Zahlen/Sonderzeichen. Passwort-Manager nutzen.
- 2FA aktivieren — TOTP unter Profil, Sicherheit. Schuetzt auch bei geleaktem Passwort.
- Regelmäßige Updates — HA Core, Add-ons und OS immer aktuell halten.
- Nur HTTPS — Niemals unverschluesselt über das Internet zugreifen.
2FA einrichten (Schritt für Schritt)
- Authenticator App installieren — Google Authenticator, Authy oder 1Password auf deinem Handy installieren
- 2FA aktivieren — In HA: Profil (unten links), Sicherheit, Multi-Faktor-Authentifizierung
- TOTP hinzufügen — QR-Code mit der Authenticator App scannen
- Code bestaetigen — Den 6-stelligen Code aus der App eingeben
- Backup-Codes notieren — Die Backup-Codes sicher aufbewahren für den Notfall
Hinweis: Wenn du dein Handy verlierst und keine Backup-Codes hast, sperrst du dich aus deinem eigenen System aus! Bewahre die Codes an einem sicheren Ort auf (Passwort-Manager, Tresor).
Fortgeschrittene Sicherheit
- IP-Banning — Automatische Sperre nach Fehlversuchen (eingebaut in HA)
- Trusted Networks — Lokales Netzwerk als vertrauenswuerdig markieren
- Fail2ban — Zusätzlicher Brute-Force-Schutz auf Systemebene
- Separate Benutzer — Eingeschraenkte Accounts für Familie, Gäste
- IoT-VLAN — Separates Netzwerk für IoT-Geräte (fortgeschritten)
- Audit-Log — Logbook regelmäßig prüfen für verdächtige Aktivitäten
yaml
1# Trusted Networks Konfiguration
2homeassistant:
3 auth_providers:
4- type: trusted_networks
5 trusted_networks:
6 - 192.168.1.0/24 # Lokales Netzwerk
7 - fd00::/8 # IPv6 lokal
8 allow_bypass_login: true # Kein Login im Heimnetz nötig
9- type: homeassistant # Normaler Login als FallbackIoT-VLAN einrichten
Ein VLAN (Virtual LAN) trennt deine IoT-Geräte vom Hauptnetzwerk. Falls ein Gerät kompromittiert wird, kann es nicht auf deine PCs, NAS oder andere wichtige Geräte zugreifen.
yaml
1# IoT-VLAN Netzwerk-Architektur
2# Typisches VLAN-Setup:
3#
4# VLAN 1 (Standard): 192.168.1.0/24 -> PCs, Laptops, NAS
5# VLAN 10 (IoT): 192.168.10.0/24 -> Smart Home Geräte
6# VLAN 20 (Gäste): 192.168.20.0/24 -> Gäste-WLAN
7#
8# Firewall-Regeln:
9# IoT -> Internet: ERLAUBT (für Cloud-Updates)
10# IoT -> VLAN 1: BLOCKIERT (kein Zugriff auf PCs)
11# IoT -> HA: ERLAUBT (nur HA-Server)
12# HA -> IoT: ERLAUBT (Geräte steuern)
13#
14# Voraussetzung: Managed Switch + Router mit VLAN-Support
15# z.B. UniFi, MikroTik, pfSense, OPNsenseMulti-User und Berechtigungen
| Rolle | Rechte | Für wen? |
|---|---|---|
| Administrator | Voller Zugriff, Add-ons, Konfiguration | Du (Hauptbenutzer) |
| Benutzer | Dashboard nutzen, Geräte steuern | Partner, Familienmitglieder |
| Lokaler Benutzer | Nur im lokalen Netzwerk | Gäste, Kinder |
yaml
1# Sicherheits-Automation: Login-Benachrichtigung
2automation:
3 - alias: "Login-Benachrichtigung"
4trigger:
5 - platform: event
6 event_type: call_service
7 event_data:
8 domain: auth
9action:
10 - service: notify.mobile_app_mein_handy
11 data:
12 title: "HA Login"
13 message: >
14 Jemand hat sich bei Home Assistant angemeldet.
15 IP: {{ trigger.event.data.context.ip_address }}
16 data:
17 tag: "login_alert"
18
19 - alias: "Fehlgeschlagener Login Alarm"
20trigger:
21 - platform: event
22 event_type: call_service
23 event_data:
24 domain: persistent_notification
25condition:
26 - condition: template
27 value_template: >
28 {{ 'login_attempts' in trigger.event.data.service_data.message | default('') }}
29action:
30 - service: notify.mobile_app_mein_handy
31 data:
32 title: "WARNUNG: Login-Versuche!"
33 message: "Mehrere fehlgeschlagene Login-Versuche erkannt!"
34 data:
35 importance: high
36 channel: securityHinweis: Für die meisten Nutzer ist Nabu Casa oder Tailscale die beste Wahl — einfach, sicher und ohne Portfreigaben. DuckDNS und Cloudflare sind für erfahrene Nutzer.
