Távoli elérés: VPN vs reverse proxy – mik a kockázatok?

Nem mindegy, hogyan éred el a HA-t a munkahelyedről. A rossz megoldás annyi, mint nyitva hagyni a bejárati ajtót.

📖 13 perc olvasás 📅 2025 június 🏷️ Hálózat

A probléma

A Home Assistant a belső hálózatodon fut – alapértelmezetten csak otthon éred el. De te a munkahelyedről is szeretnéd megnézni a kamerákat, bekapcsolni a fűtést, vagy kapni az értesítéseket.

🔴 Soha ne csináld
Port forward a 8123-as portról, jelszó nélkül vagy gyenge jelszóval. A Shodan és hasonló keresők másodperceken belül megtalálják a nyitott HA példányokat. Ha valaki bejelentkezik, teljes hozzáférése van az otthonodhoz.

1. lehetőség: Nabu Casa (legegyszerűbb)

A Nabu Casa a Home Assistant fejlesztőinek fizetős szolgáltatása (~€7,50/hó). Titkosított felhő-tunnel a HA példányod és a Nabu Casa szerverei között. Nem kell portot nyitni, nem kell DNS-t konfigurálni.

Előnyök: 5 perc beállítás. Automatikus SSL. Hangasszisztens integráció (Google/Alexa). A bevétel a HA fejlesztést finanszírozza.

Hátrányok: Fizetős. Az adatforgalom átmegy a Nabu Casa szerverein (titkosítva). Ha a Nabu Casa kiesik, nincs távoli elérés.

2. lehetőség: VPN (legbiztonságosabb)

A VPN titkosított alagutat hoz létre a telefonod/laptopod és az otthoni hálózatod között. Amikor VPN-en vagy, úgy viselkedsz, mintha otthon lennél a Wi-Fi-n.

WireGuard (ajánlott)

Modern, gyors, könnyű VPN protokoll. A HA-hoz van WireGuard addon, vagy futtathatod a routereden (Ubiquiti, MikroTik, pfSense natívan támogatja).

Előnyök: Nulla havi díj. Minden titkosított. Nagyon gyors (alig érezhető latency). Kizárólag a te eszközeid érhetik el a hálózatot.

Hátrányok: Be kell állítani (15–30 perc). Portot kell nyitni a routeren (UDP 51820). Minden eszközre külön konfigurálni kell a klienst. Dinamikus IP-nél DDNS kell.

Tailscale (VPN, de egyszerűbben)

A Tailscale egy „zero-config" VPN szolgáltatás, ami WireGuard-ra épül. Telepíted az addont a HA-ra, és a Tailscale appot a telefonodra – kész. Nem kell portot nyitni, nem kell DDNS.

Előnyök: Nagyon egyszerű. Nem kell port forward. Ingyenes personal terv. Exit node funkcióval otthoni interneten mehetsz ki.

Hátrányok: A Tailscale koordináló szervere harmadik fél (bár a forgalom peer-to-peer megy).

3. lehetőség: Reverse proxy (haladó)

A reverse proxy (pl. Nginx Proxy Manager, Traefik, Caddy) a HA-t HTTPS-en teszi elérhetővé egy domain néven keresztül (pl. ha.peldadomain.hu).

Előnyök: Böngészőből elérhető, nem kell VPN kliens. Szép domain név. Több szolgáltatást tudsz mögé tenni.

Hátrányok: Port 443-at nyitni kell a routeren. Ha hibásan van konfigurálva, biztonsági rés. Brute-force támadásoknak ki van téve.

⚠️ Reverse proxy checklist
Ha reverse proxyt használsz: erős jelszó + MFA a HA-n. Fail2ban vagy hasonló brute-force védelem. SSL always. IP geoblocking, ha csak Magyarországról használod. Rendszeres frissítés. Naplók monitorozása.

Összehasonlítás

Nabu Casa: „Fizetek, hogy ne kelljen bütykölnöm." Tökéletes, ha nem akarsz hálózattal foglalkozni.

WireGuard VPN: „A legerősebb zár." Legjobb biztonság, nulla havi költség, de be kell állítani.

Tailscale: „VPN, de egyszerűen." A legjobb kompromisszum biztonság és kényelem között.

Reverse proxy: „Mindent a böngészőből." Ha több szolgáltatást akarsz kinyitni, és tudod, mit csinálsz.

💡 Ajánlásunk
Kezdőknek: Tailscale (ingyenes, 10 perc beállítás, biztonságos). Haladóknak: WireGuard + DDNS. Ha nem akarsz semmit konfigurálni: Nabu Casa. Reverse proxyt csak akkor, ha tudod, mit csinálsz.