Unterwegs kurz nachschauen, ob die Haustür zu ist oder die Waschmaschine noch läuft: Dafür muss Home Assistant von außen erreichbar sein, und frisch installiert ist es das nicht. Ich nutze dafür selbst seit Jahren Cloudflare Tunnel mit eigener Domain, und im Video richte ich das einmal komplett von null ein, inklusive frisch gekaufter Domain.
Nabu Casa oder Eigenbau?
Der einfachste Weg führt über Einstellungen und Home Assistant Cloud: Konto bei Nabu Casa anlegen, fertig ist der Fernzugriff, ganz ohne weiteres Setup. Das kostet allerdings eine monatliche Gebühr. Was du dafür bekommst und für wen sich das lohnt, habe ich im Beitrag zur Home Assistant Cloud aufgeschrieben.
Die Alternative aus diesem Video kommt ohne Abo aus. Cloudflare Tunnel baut eine verschlüsselte Verbindung zwischen deiner lokalen Instanz und der Cloudflare-Infrastruktur auf, und über deine eigene Domain greifst du dann von überall zu. Laufende Kosten: nur die Domain, ein paar Euro im Jahr. Dafür ist einmalig etwas Konfigurationsaufwand fällig.
Die Zutaten: Domain, Cloudflare-Konto, Add-on
Drei Dinge brauchst du. Erstens das Cloudflared Add-on: In Home Assistant unter Einstellungen, Add-ons, Add-on Store nach "Cloudflared" suchen und installieren, aber noch nicht starten.
Zweitens eine eigene Domain. Die bekommst du bei jedem Registrar, ich verwalte meine bei DomainDiscount24, der Name klingt seltsam, der Dienst funktioniert wunderbar. Für das Video habe ich live eine neue Domain registriert: cremige-sahnetorte.de. Die war tatsächlich noch frei, und du darfst gern nachschauen, was heute dort liegt. Nebenbei kannst du so eine Domain auch für E-Mail-Adressen oder eine eigene Website nutzen, sie ist also keine reine Smart-Home-Ausgabe.
Drittens ein kostenloses Konto bei cloudflare.com. Damit steht alles bereit.
Domain mit Cloudflare verbinden
Im Cloudflare-Dashboard fügst du deine Domain hinzu, der Menüpunkt heißt "Domäne verbinden". Beim Tarif reicht der kostenlose Free-Plan völlig. Danach zeigt dir Cloudflare zwei Nameserver an, und die trägst du beim Registrar ein: in der Domainverwaltung auf externe Nameserver umstellen und beide Cloudflare-Adressen hinterlegen.
Jetzt heißt es warten. Offiziell kann die Umstellung bis zu 24 Stunden dauern, bei mir im Video war die Bestätigungsmail nach keinen zehn Minuten da. Mach dir also einen Kaffee und prüf danach im Dashboard mit "Nameserver jetzt überprüfen", ob die Domain aktiv ist.
Ein Detail noch, bevor es zurück zu Home Assistant geht: Aktiviere im Cloudflare-Menü unter Netzwerk die WebSockets. Ohne die kommt die Live-Verbindung von Home Assistant nicht zustande, und du wunderst dich später über eine tote Oberfläche.
Das Cloudflared Add-on konfigurieren und starten
Zurück in Home Assistant öffnest du die Konfiguration des Add-ons und trägst als externen Hostnamen deine Domain ein, in meinem Fall also cremige-sahnetorte.de. Speichern, dann auf dem Info-Tab automatische Updates und den Watchdog aktivieren. Der startet das Add-on neu, falls es abstürzt, und genau das willst du bei einem Dienst, der deinen Fernzugriff trägt.
Nach dem Start siehst du im Protokoll, wie das Add-on automatisch einen Tunnel bei Cloudflare anlegt und sich mit deiner Domain verknüpft. Mehr musst du nicht tun. Ruf deine Domain im Browser auf, und statt Connection Timeout erscheint der Login deiner Home-Assistant-Instanz. Falls stattdessen ein Fehler 400 kommt, wirf einen Blick in die Dokumentation des Add-ons: Je nach Version musst du Home Assistant in der configuration.yaml noch erlauben, Anfragen über einen Proxy anzunehmen.
Zum Schluss trägst du die neue Adresse in der Home Assistant App auf dem Smartphone als Server ein. Sonst versucht die App weiter, die lokale Adresse zu erreichen, und die funktioniert außerhalb deines WLANs natürlich nicht.
Deine Instanz hängt jetzt im Internet
Das gehört zur Ehrlichkeit dazu: Mit dem Tunnel ist deine Login-Seite öffentlich erreichbar, für jeden, der die Adresse kennt. Drei Dinge solltest du deshalb sofort tun. Posaune die Adresse nicht herum. Vergib ein wirklich starkes Passwort. Und aktiviere die Zwei-Faktor-Authentifizierung, das geht in deinem Benutzerprofil unter Sicherheit in zwei Minuten. Der Tunnel selbst ist verschlüsselt und kommt ohne offene Ports im Router aus, die Absicherung deines Logins bleibt aber dein Job. Was sonst noch zur Härtung gehört, steht im Guide zu Fernzugriff und Sicherheit.
Häufige Fragen
Was kostet der Fernzugriff über Cloudflare Tunnel?
Nur die Domain, je nach Endung meist ein einstelliger bis niedriger zweistelliger Betrag pro Jahr. Das Cloudflared Add-on, das Cloudflare-Konto und der Free-Plan kosten nichts. Damit liegst du deutlich unter dem Nabu-Casa-Abo, mit dem du allerdings nebenbei auch die Entwicklung von Home Assistant unterstützt.
Brauche ich eine Portfreigabe im Router?
Nein. Das Add-on baut die Verbindung von innen nach außen zu Cloudflare auf, dein Router bleibt komplett zu. Deshalb funktioniert die Lösung auch an Anschlüssen ohne öffentliche IPv4-Adresse, an denen klassische Portfreigaben gar nicht möglich wären.
Wie lange dauert es, bis die Domain mit Cloudflare verbunden ist?
Nach dem Umstellen der Nameserver beim Registrar dauert es von wenigen Minuten bis zu 24 Stunden, meist geht es schnell. Bei mir im Video waren es keine zehn Minuten. Cloudflare schickt dir eine E-Mail, sobald die Domain aktiv ist, du musst also nicht ständig nachschauen.
Ist der Zugriff über Cloudflare Tunnel sicher?
Die Verbindung zwischen Cloudflare und deiner Instanz ist verschlüsselt, und offene Ports gibt es nicht. Öffentlich erreichbar ist aber deine Login-Seite, deshalb gehören ein starkes Passwort und Zwei-Faktor-Authentifizierung zwingend dazu. Wer maximale Abschottung will, fährt mit einer VPN-Lösung wie Tailscale besser, verzichtet dafür aber auf den Browser-Zugriff ohne Client.
