Sjøbliss
Et litt annet tema. Sikring av av Home Assistant med SSL sertifikater. Jeg har jo et oppsett i båten som skjematisk ser litt slik ut:,
Problemet her er at alle interne enheter har forskjellige IPer og porter som de lever på. SignalK er på en port i en docker kontainer, men likevel er det jo for alle praktiske formål slik som dette. Fra routeren har jeg åpnet port 80 og 443 inn til Home Assistant. Dette er for HTTP og HTTPS. Tidligere fikk jeg satt opp sertifikater o.l. med plugins i Home Assistant. Men det betø at jeg ikke fikk tak i kamera, AIS, samt management interface på routeren på andre måter enn å gjøre SSH tunell og SOCKS proxy. Lite brukervennlig og ikke så praktisk. Men nå har jeg en mye bedre løsning.
Jeg satte meg ned for å se på en løsning med reverse proxy fra Nginx. Her finnes det en community plugin som heter Nginx Proxy Manager. Denne er helt utrolig bra og løser alle problemene jeg har med dette. Jeg fjernet Letsencrypt og slo av SSL på Home Assistant. Det betyr at jeg i configuration.yaml har endret følgende:
Sitat
# Uncomment this if you are using SSL/TLS, running in Docker container, etc.
#http:
# base_url: baatnavn.duckdns.com
# ssl_certificate: /ssl/fullchain.pem
# ssl_key: /ssl/privkey.pem
Jeg har basically lagt til # på alle linjer for å fjerne SSL oppsettet. Da er det ingen sikkerhet lenger. Husk også på å endre forward fra ekstern 443 -> home assistant 8123 slik at den nå går fra 443 eksternt til Home Assistants 443 port. Dette har du satt opp på routeren din (se mine første poster i denne tråden, her må du sjekke din egen router).
Så installerte jeg Nging Proxy Manager slik som dette: https://community.home-assistant.io/t/home-assistant-community-add-on-nginx-proxy-manager/111830
Når man har den lagt inn så legger man inn flere dynamiske navn til domenet ditt. I mitt tilfelle har jeg baatnavn.domene.com så jeg lagde et CNAME som heter *.baatnavn.domene.com. Dersom du ikke kan lage * record på ditt eget domene kan du legge opp flere duckdns navn, eller registrere ditt eget domene (det koster ikke så mye) og så gjør du som det står i FAQ til duckdns:
https://www.duckdns.org/faqs.jsp
Q: I want to use my own Domain name with DuckDNS, can I do this?
A: Yes you can. At your NAME provider set your purchased record as a CNAME to your duckdns.org record.
www.ilikeweasels.org CNAME weasels.duckdns.org
Bare ikke gjør akkurat slik. Istedenfor www.ilikeweasels.org CNAME weasels.duckdns.org så bruk *.ilikeweasels.com CNAME duckdns.org. Eller som i mitt eksempel, *.baatnavn.domene.com CNAME baatnavn.duckdns.com.
Når du har gjort dette kan du gjøre som følger. I mitt tilfelle:
baatnavn.domene.com -> (home assistant)
kamera.baatnavn.domene.com
signalk.baatnavn.domene.com
router.baatnavn.domene.com
ais.baatnavn.domene.com
osv osv
For hver av disse navnene kan du i Nginx Proxy manager nå be om et SSL sertifikat. NPM fikser et sertifikat, installerer det, setter opp SSL og redirecter i bakkant til IP/port som du spesifiserer.
Se på denne geniale lille GIFen. Utrolig praktisk. 
Min løsning ser nå slik ut:
Nå er plutselig alle mine interne IP og tjenester lett tilgjengelig utenifra. Alle er kryptert med SSL, og f.eks. SignalK har jeg satt opp egen "user" her i løsningen slik at jeg må legge inn brukernavn og passord også på den åpne delen av SignalK. Du bare lager en Access List og en bruker der. Dette er helt genialt. :)
Eneste som jeg ikke har fått til er å benytte logikk som baatnavn.domene.com/signalk til signalk. baatnavn.domene.com/gw til router osv. Det har jeg ikke klart så langt, men det tror jeg skal være mulig. Men det over fungerer i alle fall helt perfekt. 150kr for et domene navn på domeneshop og CNAME alias til båtens duckdns record så snakker vi. Og NPM fornyer sertifikatene automatisk. Veldig praktisk!
Så til sist, ta bort Letsencrypt plugin i Home Assistant. La NPM få håndtere dette for deg. Ved å lage en egen nginx.xxx.x.x. så kan du håndtere hele sulamitten uansett hvor du er. Den sikrer til-og-med seg selv :)
