Home Assistant Fernzugriff & Sicherheit

Warum Fernzugriff?

Standardmäßig ist Home Assistant nur in deinem lokalen Netzwerk erreichbar. Für den Zugriff von unterwegs brauchst du eine sichere Fernzugriffslösung. Falls du HA noch nicht installiert hast, starte mit dem Installations-Guide.

• Kameras prüfen: Livestream der Überwachungskameras von unterwegs
• Heizung steuern: Temperatur anpassen bevor du nach Hause kommst
• Benachrichtigungen: Push-Notifications bei Alarmen und Ereignissen
• Türschloss: Haustür für Besucher öffnen, auch wenn du nicht zuhause bist
• Companion App: Voller Dashboard-Zugriff von überall auf der Welt
• Sprachassistenten: Alexa und Google Home brauchen Cloud-Zugriff für Befehle

Methoden im Vergleich

Nabu Casa (Home Assistant Cloud)

Die einfachste Lösung: Der offizielle Cloud-Dienst erstellt einen verschlüsselten Tunnel zu deiner Instanz. Keine Portfreigaben, keine Konfiguration, kein DNS. Einfach einschalten.

Vorteile:

• Kein Portforwarding nötig
• Automatische SSL-Verschlüsselung
• Alexa & Google Home Integration inklusive
• Unterstützt das HA-Projekt finanziell
• Funktioniert hinter jedem Router/Firewall
• Companion App funktioniert sofort

Nachteile:

• Monatliche Kosten (ca. 7,50 EUR)
• Abhängigkeit von Nabu Casa Servern
• Etwas höhere Latenz als lokal

Einrichtung in 3 Minuten

1. Cloud-Einstellungen öffnen: Einstellungen, Home Assistant Cloud, Konto erstellen
2. Konto verknüpfen: E-Mail und Passwort eingeben, Bestätigungs-E-Mail klicken
3. Fernzugriff aktivieren: Schalter Fernzugriff aktivieren. Sofort erreichbar unter deine-id.ui.nabu.casa

Hinweis: Mit Nabu Casa bekommst du automatisch die Alexa- und Google-Home-Integration. Ohne Cloud brauchst du dafür ein kompliziertes Setup mit eigenem OAuth-Server.

Nabu Casa konfigurieren

1# Nabu Casa Webhook für Automationen
2# Nabu Casa erstellt automatisch Webhook-URLs
3# die von aussen erreichbar sind:
4# https://hooks.nabu.casa/gAAAA.../webhook_id
5
6automation:
7  - alias: "Webhook: Türklingel Foto"
8    trigger:
9      - platform: webhook
10        webhook_id: doorbell_snapshot
11        allowed_methods:
12          - POST
13    action:
14      - service: camera.snapshot
15        target:
16          entity_id: camera.haustuer
17        data:
18          filename: "/config/www/doorbell_last.jpg"
19      - service: notify.mobile_app_mein_handy
20        data:
21          title: "Türklingel!"
22          message: "Jemand steht vor der Tür."
23          data:
24            image: "/local/doorbell_last.jpg"

Tailscale VPN: Die moderne Alternative

Tailscale erstellt ein privates Mesh-VPN zwischen deinen Geräten basierend auf WireGuard, ohne Portfreigaben und ohne komplexe Konfiguration.

Vorteile:

• Keine Portfreigaben nötig
• WireGuard-basiert (sehr schnell)
• Funktioniert hinter NAT und Firewall
• Verschlüsselt und sicher
• Kostenlos für bis zu 100 Geräte
• Zugriff auf gesamtes Heimnetz möglich

Nachteile:

• Tailscale-App auf jedem Gerät nötig
• Kein direkter Browser-Zugriff ohne App
• Tailscale-Account erforderlich

1. Tailscale Add-on installieren: Add-on Store, Tailscale suchen, Installieren und starten
2. Add-on autorisieren: Login-Link im Add-on-Log klicken, Mit Tailscale-Konto anmelden
3. Tailscale auf Handy/Laptop: Tailscale App installieren und mit demselben Konto anmelden
4. Verbinden: Zugriff über die Tailscale-IP (z.B. http://100.x.x.x:8123)

Tailscale als Subnet-Router (Zugriff aufs gesamte Heimnetz)

1# Tailscale Add-on Konfiguration
2# In der Add-on-Konfiguration:
3# Advertise Routes aktivieren:
4# 192.168.1.0/24    -> Dein Heimnetz
5
6# Im Tailscale Admin Dashboard:
7# Machines > HA-Server > Route Settings > 
8# Enable: 192.168.1.0/24
9
10# Jetzt kannst du von überall auf ALLE Geräte
11# im Heimnetz zugreifen (Drucker, NAS, Kameras...)
12# nicht nur auf Home Assistant

Cloudflare Tunnel

Wenn du eine eigene Domain hast, kannst du mit Cloudflare Tunnel einen sicheren Zugang ohne Portfreigaben erstellen. Cloudflare ist ein Proxy und bietet zusätzlichen DDoS-Schutz.

1. Cloudflare-Konto erstellen: Erstelle ein kostenloses Cloudflare-Konto und füge deine Domain hinzu
2. DNS umstellen: Ändere die Nameserver deiner Domain auf Cloudflare
3. Cloudflared Add-on installieren: Installiere das Cloudflared Add-on in Home Assistant
4. Tunnel erstellen: Im Cloudflare Dashboard: Zero Trust, Tunnels, Neuen Tunnel erstellen
5. Konfigurieren: Tunnel auf http://homeassistant.local:8123 zeigen lassen
6. Testen: Deine Domain (z.B. ha.meinedomain.de) öffnen, HA sollte erreichbar sein

1# configuration.yaml für Cloudflare
2# Cloudflare als vertrauenswürdigen Proxy markieren
3http:
4  use_x_forwarded_for: true
5  trusted_proxies:
6    - 172.30.33.0/24           # Cloudflared Add-on Netzwerk
7    - 127.0.0.1
8
9  # Optional: Login-Versuche begrenzen
10  ip_ban_enabled: true
11  login_attempts_threshold: 5

Cloudflare Access (zusätzliche Sicherheit)

1# Cloudflare Access Policy (im CF Dashboard)
2# Im Cloudflare Zero Trust Dashboard:
3# Access > Applications > Add Application
4#
5# Application Type: Self-hosted
6# Application Domain: ha.meinedomain.de
7# 
8# Policy: Allow
9# Include: Emails ending in: meinedomain.de
10# 
11# Oder: One-Time PIN
12# Benutzer muss E-Mail eingeben und bekommt 
13# einen PIN per E-Mail zur Verifizierung
14#
15# Das fügt eine zusätzliche Authentifizierungs-
16# Schicht VOR dem HA-Login hinzu

WireGuard VPN: Volle Kontrolle

WireGuard ist das modernste VPN-Protokoll: schnell, sicher und einfach zu konfigurieren. Du brauchst allerdings eine Portfreigabe (UDP 51820) in deinem Router.

1# WireGuard Add-on Konfiguration
2server:
3  addresses:
4    - 10.0.0.1
5  dns:
6    - 1.1.1.1
7    - 8.8.8.8
8  host: dein-duckdns.duckdns.org
9  port: 51820
10
11peers:
12  - name: mein_handy
13    addresses:
14      - 10.0.0.2
15    allowed_ips:
16      - 10.0.0.0/24
17      - 192.168.1.0/24        # Zugriff aufs gesamte Heimnetz
18
19  - name: laptop_arbeit
20    addresses:
21      - 10.0.0.3
22    allowed_ips:
23      - 10.0.0.0/24
24      - 192.168.1.0/24
25
26  - name: tablet_partner
27    addresses:
28      - 10.0.0.4
29    allowed_ips:
30      - 10.0.0.0/24
31      # Kein 192.168.1.0/24 = nur HA-Zugriff, nicht ganzes Netz

Vorteile:

• Vollständig selbst gehostet
• Extrem schnell und effizient
• Zugriff auf gesamtes Heimnetzwerk
• Funktioniert auf allen Plattformen
• Keine monatlichen Kosten

Nachteile:

• Portfreigabe im Router nötig (UDP 51820)
• DynDNS-Dienst benötigt bei dynamischer IP
• Manuelle Peer-Konfiguration
• Nicht so einfach wie Nabu Casa

FritzBox-VPN: WireGuard ohne Add-on

Du hast eine FritzBox mit FritzOS 7.50 oder neuer? Dann steckt der WireGuard-Server schon in deinem Router und du brauchst weder Add-on noch Portfreigabe von Hand. Für viele der einfachste kostenlose Weg:

1. In der FritzBox: Internet → Freigaben → VPN (WireGuard) → Verbindung hinzufügen
2. „Vereinfachte Einrichtung" wählen und einen Namen vergeben (z.B. „Handy Daniel")
3. Die FritzBox zeigt einen QR-Code an
4. Auf dem Handy: WireGuard-App installieren, QR-Code scannen, fertig
5. Testen: Mobilfunk statt WLAN aktivieren, VPN in der App einschalten und http://homeassistant.local:8123 oder die lokale IP öffnen

Das MyFRITZ-Konto übernimmt dabei das DynDNS-Problem automatisch. Der VPN-Tunnel gilt fürs ganze Heimnetz, du erreichst also auch NAS, Drucker und Router-Oberfläche. Einziger Komfort-Nachteil gegenüber Tailscale und Nabu Casa: Du musst das VPN unterwegs aktiv einschalten, oder du lässt die WireGuard-App per „On-Demand" automatisch verbinden, sobald du das WLAN verlässt.

Tipp für die Companion App: Trage unter Einstellungen → Companion App → Server die lokale Adresse als interne URL ein und aktiviere „Über VPN verbinden". Dann funktionieren Push-Benachrichtigungen und Sensoren auch unterwegs zuverlässig.

DuckDNS + Let's Encrypt

DuckDNS bietet kostenlose Subdomains mit dynamischem DNS. Zusammen mit Let's Encrypt bekommst du ein gültiges SSL-Zertifikat für verschlüsselten Zugriff.

1# DuckDNS Add-on Konfiguration
2domains:
3  - mein-ha.duckdns.org
4token: dein-duckdns-token       # Von duckdns.org nach Registrierung
5lets_encrypt:
6  accept_terms: true
7  certfile: fullchain.pem
8  keyfile: privkey.pem
9  algo: secp384r1

1# configuration.yaml für HTTPS
2http:
3  ssl_certificate: /ssl/fullchain.pem
4  ssl_key: /ssl/privkey.pem
5  
6  # IP-Banning aktivieren (wichtig bei Portfreigabe!)
7  ip_ban_enabled: true
8  login_attempts_threshold: 5

Hinweis: Bei DuckDNS musst du Port 8123 in deinem Router freigeben. Das bedeutet, dein Home Assistant ist direkt aus dem Internet erreichbar. Nutze unbedingt SSL, starke Passwörter und 2FA!

Sicherheits-Checkliste

Grundlegende Absicherung

• Starke Passwörter: 12+ Zeichen, Groß/Klein/Zahlen/Sonderzeichen. Passwort-Manager nutzen.
• 2FA aktivieren: TOTP unter Profil, Sicherheit. Schützt auch bei geleaktem Passwort.
• Regelmäßige Updates: HA Core, Add-ons und OS immer aktuell halten.
• Nur HTTPS: Niemals unverschlüsselt über das Internet zugreifen.

2FA einrichten (Schritt für Schritt)

1. Authenticator App installieren: Google Authenticator, Authy oder 1Password auf deinem Handy installieren
2. 2FA aktivieren: In HA: Profil (unten links), Sicherheit, Multi-Faktor-Authentifizierung
3. TOTP hinzufügen: QR-Code mit der Authenticator App scannen
4. Code bestätigen: Den 6-stelligen Code aus der App eingeben
5. Backup-Codes notieren: Die Backup-Codes sicher aufbewahren für den Notfall

Hinweis: Wenn du dein Handy verlierst und keine Backup-Codes hast, sperrst du dich aus deinem eigenen System aus! Bewahre die Codes an einem sicheren Ort auf (Passwort-Manager, Tresor).

Fortgeschrittene Sicherheit

• IP-Banning: Automatische Sperre nach Fehlversuchen (eingebaut in HA)
• Trusted Networks: Lokales Netzwerk als vertrauenswürdig markieren
• Fail2ban: Zusätzlicher Brute-Force-Schutz auf Systemebene
• Separate Benutzer: Eingeschränkte Accounts für Familie, Gäste
• IoT-VLAN: Separates Netzwerk für IoT-Geräte (fortgeschritten)
• Audit-Log: Logbook regelmäßig prüfen für verdächtige Aktivitäten

1# Trusted Networks Konfiguration
2homeassistant:
3  auth_providers:
4    - type: trusted_networks
5      trusted_networks:
6        - 192.168.1.0/24        # Lokales Netzwerk
7        - fd00::/8              # IPv6 lokal
8      allow_bypass_login: true  # Kein Login im Heimnetz nötig
9    - type: homeassistant       # Normaler Login als Fallback

IoT-VLAN einrichten

Ein VLAN (Virtual LAN) trennt deine IoT-Geräte vom Hauptnetzwerk. Falls ein Gerät kompromittiert wird, kann es nicht auf deine PCs, NAS oder andere wichtige Geräte zugreifen.

1# IoT-VLAN Netzwerk-Architektur
2# Typisches VLAN-Setup:
3#
4# VLAN 1 (Standard):  192.168.1.0/24  -> PCs, Laptops, NAS
5# VLAN 10 (IoT):      192.168.10.0/24 -> Smart Home Geräte
6# VLAN 20 (Gäste):   192.168.20.0/24 -> Gäste-WLAN
7#
8# Firewall-Regeln:
9# IoT -> Internet:    ERLAUBT (für Cloud-Updates)
10# IoT -> VLAN 1:      BLOCKIERT (kein Zugriff auf PCs)
11# IoT -> HA:          ERLAUBT (nur HA-Server)
12# HA  -> IoT:         ERLAUBT (Geräte steuern)
13#
14# Voraussetzung: Managed Switch + Router mit VLAN-Support
15# z.B. UniFi, MikroTik, pfSense, OPNsense

Multi-User und Berechtigungen

1# Sicherheits-Automation: Login-Benachrichtigung
2automation:
3  - alias: "Login-Benachrichtigung"
4    trigger:
5      - platform: event
6        event_type: call_service
7        event_data:
8          domain: auth
9    action:
10      - service: notify.mobile_app_mein_handy
11        data:
12          title: "HA Login"
13          message: >
14            Jemand hat sich bei Home Assistant angemeldet.
15            IP: {{ trigger.event.data.context.ip_address }}
16          data:
17            tag: "login_alert"
18
19  - alias: "Fehlgeschlagener Login Alarm"
20    trigger:
21      - platform: event
22        event_type: call_service
23        event_data:
24          domain: persistent_notification
25    condition:
26      - condition: template
27        value_template: >
28          {{ 'login_attempts' in trigger.event.data.service_data.message | default('') }}
29    action:
30      - service: notify.mobile_app_mein_handy
31        data:
32          title: "WARNUNG: Login-Versuche!"
33          message: "Mehrere fehlgeschlagene Login-Versuche erkannt!"
34          data:
35            importance: high
36            channel: security

Hinweis: Für die meisten Nutzer ist Nabu Casa oder Tailscale die beste Wahl, einfach, sicher und ohne Portfreigaben. DuckDNS und Cloudflare sind für erfahrene Nutzer.

Häufige Fragen

Was ist der beste kostenlose Fernzugriff für Home Assistant?

Tailscale, wenn du nur selbst zugreifen willst: keine Portfreigabe, keine Domain, in zehn Minuten eingerichtet. Mit FritzBox ist das eingebaute WireGuard-VPN die ebenso gute Alternative ohne Drittanbieter-Konto. Nabu Casa lohnt sich, sobald Alexa oder Google Home dazukommen sollen.

Brauche ich für den Fernzugriff eine Portfreigabe?

Nein, und du solltest sie wenn möglich vermeiden. Nabu Casa, Tailscale, Cloudflare Tunnel und das FritzBox-VPN kommen alle ohne offene Ports aus. Nur DuckDNS mit direktem Zugriff und ein selbst gehostetes WireGuard brauchen eine Freigabe.

Funktioniert die Companion App über VPN?

Ja. Trage die lokale Adresse als interne URL ein und lass die WireGuard- oder Tailscale-App automatisch verbinden (On-Demand). Push-Benachrichtigungen laufen unabhängig davon immer, die gehen über die Server der App.

Ist Nabu Casa sein Geld wert?

Wenn du Alexa oder Google Assistant nutzt: klar ja, allein die Sprachassistenten-Anbindung wäre selbst gebaut ein Krampf. Ohne Sprachassistenten ist es Geschmackssache, technisch bekommst du den Fernzugriff mit Tailscale oder FritzBox-VPN gleichwertig kostenlos. Dafür unterstützt du mit dem Abo direkt die Home-Assistant-Entwicklung.

Wie merke ich, ob jemand versucht, sich einzuloggen?

Aktiviere ip_ban_enabled in der HTTP-Konfiguration und richte eine Benachrichtigung auf persistent_notification ein. Fehlgeschlagene Logins tauchen außerdem im Log auf. Bei Methoden ohne offene Ports (VPN, Tailscale, Nabu Casa) erreichen Angreifer deine Login-Seite erst gar nicht.

Weiter lesen:

• Home Assistant installieren
• Tipps & Troubleshooting
• Backup & Restore