Sauvegardes et Sécurité derniers sujets

Boucle de redirection external_auth avec Pangolin, impossible d’accéder à Home Assistant depuis l’app Android

Wed, 20 Aug 2025 13:57:03 +0000

Bonjour tout le monde,

J'étais intéressé par Tailscale et sa version Open Source, mais c'était vraiment trop complexe pour ma petite tête 😆
Quelqu'un m'a parlé de Pangolin et la solution me parait idéale et fonctionne plutôt bien à un détail près "Y accéder depuis l'application mobile".

Du coup pangolin est une solution qui regroupe 3 projet et est utilisable notamment via Docker Compose pour se faciliter la tâche (on aime ça) 😁
Je vous laisse faire vos petites recherches, mais en gros ça permet de déporter la sécurité de votre réseau sur un autre, tout en y ajoutant une couche de contrôle d'accès.

Tout fonctionne parfaitement de ce que j'ai pu constater, mais lorsque j'essai d'accéder à Home Assistant depuis l'application Android ça se complique.
Il m'ouvre le navigateur (ce qui est probablement normal), et me dit qu'il est impossible d'accéder à Home Assistant (avec le fameux Retry Now)...

En faisant des recherches je tombe sur le fait qu'il y a une boucle de redirections certainement causé par le fait que Home Assistant ne comprend pas ce que Pangolin lui envoi.
Il existe OpenID Connect qui pourrait régler le problème, sauf que ça ajoute une authentification externe et non celle de Home Assistant. SPOILER: Ce n'est pas ce que je souhaite.

En gros, il y a une phase d'authentification côté Pangolin (ou non si on l'est déjà), puis l'authentification classique de Home Assistant.
Tout ce mécanisme est grippé par le paramètre de requête "external_auth".

Petite précision supplémentaire, j'utilise Home Assistant en HTTP de façon très classique depuis mon réseau, et Pangolin utilise le reverse proxy pour me permettre d'y accéder en HTTPS.
Dans le fichier de configuration de Home Assistant on peut utiliser "auth_providers" et/ou "trusted_proxies" couplé avec "use_x_forwarded_for", je suis à cours d'idées.

Si vous avez une idée du problème et comment le régler... ... Je vous paye un café!

Accès https home assistant + Z2M sur proxmox via freebox revolution

Wed, 23 Jul 2025 16:52:13 +0000

Bonjour à tous,

Je cherche comment accéder à home assistant depuis l'extérieur (WAN Internet). J'ai lu et vu de nombreux tutos mais ils ne correspondaient pas à ma configuration et je n'ai pas encore réussi. Votre aide me serait bien utile.

Ma configuration :

-freebox revolution (adresse IP fixe), nom de domaine perso (NDD.freeboxos.fr)

-serveur domotique : Lenovo sous Proxmox avec VM Home assistant + LXC Docker-Frigate + LXC MQTT + LXC Z2M + LXC Nginx

-serveur NAS : HP Proliant N54L sous Proxmox avec OpenMediaVault + dossier partagé pour les sauvegardes HA et les flux caméras

J'ai essayé avec le nom de domaine perso configuré dans la freebox : j'atterris systématiquement sur l'interface de ma freebox. J'ai vu que certains y arrivent ... :(

J'ai essayé avec Duckdns : OK mais je ne privilégie pas cette configuration à long terme car je souhaite maîtriser ma sécurité de bout en bout

Je vais tenter avec Nginx : j'ai créé un LXC à cet effet. Toutefois cela me semble être assez consistant comme manip...

Si l'un de vous a une configuration équivalente peut-il m'apporter son aide pour arriver à accéder en https à mon home assistant ?

Grand merci par avance.

Tailscale et l'Access controls, des connaisseurs?

Sun, 25 May 2025 16:42:04 +0000

Depuis le petit rassemblement organisé par l'HACF à Lyon, je comprend un peu mieux l'intérêt de Tailscale.
Le soucis c'est que je n'arrive pas à faire la bonne configuration pour mon usage.

Mon but est de donner accès à mon réseau depuis l'extérieur, tout en le bridant à certaines IPs/PORTs (un peu comme le ferait un VLAN).
J'utilise un Container LXC (sur Proxmox) pour faire un Subnet qui donnerait donc accès à mon réseau, et jusque là aucun problème.

Mais à ce stade tout mon réseau est accessible sans restriction au Tag/Group que je précise.
Sauf que je voudrai uniquement donner l'accès à Home Assistant pour un groupe, et par exemple un autre pour Jellyfin.
Je crois comprendre qu'il n'est pas possible de brider les accès (en fonction du Tag/Group) en passant par un Subnet, et c'est pour cette raison que j'ai ajouté le Client Tailscale à Home Assistant.

Malgré mes essais je n'arrive pas au bon résultat. Si vous avez une idée de comment procéder, je suis preneur.

Configuration ACL

{
"tagOwners": {
"tag:clients": ["autogroup:admin"],
"tag:servers": ["autogroup:admin"],
"tag:homeassistant": ["autogroup:admin"],
},
"groups": {
"group:homeassistant": ["mon@adresse.mail"],
},
"acls": [
{
"action": "accept",
"src": ["tag:clients"],
"dst": ["tag:servers:*"],
},
{
"action": "accept",
"src": ["group:homeassistant"],
"dst": ["tag:homeassistant:8123"],
},
],
}

La première section acls est là pour me donner tous les accès, mais pour les autres utilisateurs qui seront dans un Tag/Group spécifique, donc je devrai commencer par faire un teste avec moi (du coup le supprimer pour les tests).

Headscale + Headplane, alternative à Tailscale

Sat, 31 May 2025 23:38:05 +0000

Après avoir utilisé Tailscale et m'être rendu compte que je risque de payer cher vu mon utilisation (+ de 3 utilisateur il faut passer à la caisse), j'ai essayé de mettre en route Headscale sur un VPS.

J'ai réussi à tout lancer via mon nom de domaine et Zoraxy en tant que Reverse Proxy, mais j'ai une erreur 404 retournée par Zoraxy et il me dit que le service n'est pas joignable.
Donc si vous êtes connaisseur, pouvez-vous me donner des astuces ou des configurations pour m'en sortir?

Stack Docker