Problem med extern åtkomst via port 443 till Telenor-routern Technicolor TG799vacXTREAM

Försöker få till extern åtkomst av mitt Home Assistant via SSL men har problem med att trafik via port 443 mot routerns WAN IP inte fungerar. Inga paket skickas ens ser jag via Wireshark. Jag har en Technicolor TG799vacXTREAM-router från Telenor och har ställt in portarna för SSL-åtkomst. Jag har även dubbelkollat att brandväggen i routern är inställd på "Low".

Routerinformation:

Routermodell: Technicolor TG799vacXTREAM
Firmware-version: 18.1.0312-1321006-20220408101432

Trots mina inställningar verkar jag ha problem med att trafik från mobildata inte når min routers WAN IP när jag försöker ansluta till Home Assistant. Jag har varit i kontakt med Telenors tekniska support, och de hävdar att de inte blockerar några portar. Webbhotellet säger också att mina DNS-inställningar är korrekta men att något, typ en brandvägg verkar blockera trafiken.

Min fråga är om det finns några ytterligare inställningar på routern som jag kan kolla på eller ändra för att säkerställa att trafik utifrån inte blockeras? Har någon här erfarenhet av Technicolor TG799vacXTREAM-routern och om det finns något specifikt att kolla på för att lösa detta problem? Eller någon som vet om Telenor har någon annan inställning som blockerar extern trafik?

Det är frågan. Har läst på flera trådar här på Sweclockers och folk har delade meningar om vad exakt publikt IP är men folk är rörande överens om att i princip alla nätverksleverantörer har publikt IP. Jag försöker få svar från Telenor om dom har publikt IP. Dom har i alla fall sagt att dom inte blockerar någon port.

En fråga: Ska min Port forward vara WAN 443 till LAN 443 eller ska den vara WAN 443 till LAN 8123 mot min Home Assistant? Jag har ju SSL-certifikat installerat på servern så jag gissar att det ska vara 443 till 443? Däremot är det enda sättet just nu att faktiskt lyckas komma in i Home Assistant när jag har 443 till 8123 dock endast när jag ansluter från samma nätverk. Alltså inte från mobildata.

Då har jag ett publikt IP.

Okej så port forward borde vara 443 till 8123? Jag försöker även få hjälp av ChatGPT som är mycket tydlig med att det är 443 till 443 jag ska använda om jag faktiskt har SSL installerat på servern. Så här förklarar ChatGPT det för mig:

Så jag blir lite förvirrad över om jag faktiskt ska köra 443 till 8123 eller 443 till 443.

Men om jag vidarebefordrar 8123 till 8123 bara så hjälper väl det inte att ansluta med https? Men kan absolut lägga till det i routerns port forward.

Routerns webbgränssnitt verkar inte använda något certifikat eftersom det står "Not secure" intill https://192.168.10.1/ i webbläsaren.

Ja alltså det kan hända att jag missat något med att ställa in detta korrekt men jag har under nätverksinställningar i Home Assistant det inställt på "https://mindomän.se". Har även tidigare haft inställt på "https://mindomän.se:443" för att vara extra tydligt. Är det någon mer stans man "ställa in" att Home Assistant lyssnar på 443? Jag har ju givetvis ställt in sökvägarna till certifikatsfilerna i configuration.yaml:

http:
  ip_ban_enabled: false
  login_attempts_threshold: 100
  use_x_forwarded_for: true
  trusted_proxies:
      - 192.168.10.178 # homeassistant IP
      - 172.30.32.0/23 # Docker address
      - 172.30.33.0/24 # Docker address
      - 127.0.0.1
      - 172.30.32.3 # Docker DNS address
  ssl_certificate: /ssl/fullchain.pem
  ssl_key: /ssl/privkey.pem

Angående proxy-inställningarna ni ser där ovan så används dom främst för när jag använder reverse proxy med ett add-on i Home Assistant, Nginx Proxy Manager. Men jag har inaktiverat det nu för att först försöka få det att fungera den enkla vägen som en del av felsökningen varför extern åtkomst inte fungerar.

https://192.168.10.1 är inte HA-servern. Det är routerns gränssnitt. Trodde det var det du menade med att routern själv använde 443 för sitt gränssnitt. Men då ville jag förklara att den inte har något SSL.

Vill bara säga att jag tror inte min routers webbgränssnitt kan nås externt. Men det verkar ju som att den försöker använda https i alla fall. Jag hittar inget ställe i routern där man kan ändra detta. Det är kanske bra att jag igår beställde en ny egen router som inte kommer från Telenor. Denna får jag hem ikväll. Gissar att detta är något som skulle kunna lösas med nya routern? Hoppas bara den fungerar med Telenor.

Okej så reverse proxy skulle kunna lösa detta? Men jag har ju däremot redan försökt det men fick det aldrig att fungera då heller. Vilka port forward inställningar ska jag ha på routern då? Revers proxy-hosten ställde jag in på mindomän.se port 8123.

Mycket möjligt att det är över min förmåga om det inte bara är en inställning man ska ändra på routern. Då borde det väl räcka med att någon bara säger vilken inställning det är och att jag ändrar den? Eller?

Men om reverse proxy skulle fungera utan att den inställningen på routern som ger not secure i webbgränssnittet för routern ändras så kan jag ju lika bra köra det direkt? Om ni menar att reverse proxy skulle fungera ändå utan att ta bort att routern själv använder 443?

Har suttit i flera dygn med detta nu och verkligen tagit tag i att försöka få ordning på det och läsa artiklar, forumtrådar och använt ChatGPT som hjälp. Har lärt mig mycket men nej är såklart ändå inte jättebra på dessa konfigurationer. Däremot tycker jag absolut att jag försökt tänka ordentligt hur saker fungerar ihop. Att inte testa olika lösningar känns dock som ett råd jag motsätter mig lite. Jag måste pröva olika inställningar i felsökningen. Oftast med en tanke bakom varför jag prövar olika saker förstås. Men visst, det händer även på småtimmarna när jag känner att jag prövat "allt" att jag chans-testar lite saker också i desperation. Men om du får känslan av att detta är något jag kommit på att jag vill fixa direkt nu och slänger ut en tråd här utan att ha tänkt innan så har du nog fått fel bild av situationen i alla fall. Däremot är det svårt att i en tråd ta upp hela bakgrunden och timmar jag lagt på detta. Känns som det är mer konstruktivt att fokusera på exakt vad problemet jag har just nu handlar om och vad jag prövar just nu.

Men detta att routerns eget gränssnitt som lyssnar på port 443 är helt ärligt inte något jag kommit över i någon artikel eller forumtråd jag läst eller varit något som ChatGPT rekommenderat att kolla på heller. Så jag har inte tänkt på det. Det har ju bara varit så sen jag fick routern från Telenor och jag antog att allt är korrekt inställt från dom. Men ja absolut, när man tänker på det nu så är det ju en klar signal på att gränssnittet frågar efter 443. Man tycker den porten isåfall borde vara blockerad i inställningarna där man ställer in port forward. Man blir lite lurad av att man tror man kan ställa in 443 där.

Förstår inte riktigt vad du menar i ovan citat. Menar du att jag skulle kunna skapa en konfiguration där jag externt ansluter mot https://mindomän.se:8123 som då pekar mot 443 på Home Assistant och därför SSL fungerar med den konfigurationen?

Förstår dock inte vad skillnaden är mot det och att köra reverse proxy. Båda alternativen kräver väl att man kan forwarda 443?

Fan, blir förvirrad...

Möjligt att jag kan fixa någon säkrare lösning framöver med Wireguard (vet ej vad det är) eller annat. Men det känns som jag måste börja med detta "enklare" så får jag lära mig mer och utveckla det hela senare.

Jag har bett ChatGPT förklara era svar bättre för mig och jag har frågat lite saker till den och jag tror jag börjar få syn på läget nu:

Det finns alltså två alternativa möjligheter här:

Alternativ 1. Port Forwarding från WAN 8123 till LAN 443
I denna konfiguration behöver jag inte ändra 443 på routern utan använda 8123 istället. Så när jag ska nå Home Assistant besöker jag https://mindomän.se:8123. För att SSL ska fungera gör jag då en Port forward istället från WAN 8123 till LAN 443.

Alternativ 2. Ändra routerns egna webbgränssnittsport
Ändra porten för routerns webbgränssnitt. Detta kräver förmodligen att jag installerar min nya router. Då kan jag besöka https://mindomän.se direkt istället.

Angående Reverse Proxy
Som jag förstår det verkar Reverse Proxy inte direkt påverka huruvida jag kan använda port 443 externt eller inte om min router ändå använder 443 för sitt webbgränssnitt. Det verkar handla mer om var jag vill att SSL-installationen ligger, på Home Assistant eller Proxy-hosten. Jag förstår förövrigt inte hur detta funkar då det känns som att med mitt add-on är väl båda installerade i samma "docker". Jag ser inte hur det är två olika hostar. Men men, det verkar som Reverse Proxy mer är något som används med fördel för att öka säkerheten och dessutom möjliggöra att jag kan nå min Home Assistant både lokalt och externt. Jag ser som sagt inte hur den ska möjliggöra använding av port 443 externt om den redan är upptagen.

Har jag förstått något rätt?

Nu fungerar det ju faktiskt. När jag ställde in port forward WAN 8123 till 443. Jag måste då använda :8123 efter domänen men det gör inget. Herregud. Underbart!

Tack för tipset!

Tror även du vet att det är något jag tänkt också att ta reda på om porten är ledig. Därför jag ringt Telenor och frågat om dom blockerar den och allting. Så ja, det är bland de första jag gjorde också. Men jag misslyckades med hela felsökningen. Jag kopplade inte att själva gränssnittet försöker använda det.

Men absolut, om det känns bättre för dig om jag dumförklaras så bjuder jag på den. Varsågod.