Home Assistant läuft lokal in deinem Heimnetz. Solange du zu Hause bist, erreichst du es unter homeassistant.local:8123. Sobald du das Haus verlässt, kommt du ohne zusätzliche Konfiguration nicht mehr ran.

Das ist für reine Heimautomationen vielleicht kein Problem. Aber sobald du Kameras von unterwegs checken, die Heizung vor der Heimkehr hochregeln oder Automatisierungen per Hand auslösen willst, brauchst du Fernzugriff.

Drei Methoden, von einfach bis technisch:

Methode 1: Nabu Casa / Home Assistant Cloud

Nabu Casa ist das Unternehmen hinter Home Assistant. Der Cloud-Dienst kostet 7,50 EUR pro Monat (oder 75 EUR jährlich) und ist damit die teuerste der drei Optionen, aber mit Abstand die einfachste.

Was du bekommst: Eine *.ui.nabu.casa-Domain, vollständiges HTTPS, Integration mit Google Assistant und Amazon Alexa, und direkte Unterstützung der Home-Assistant-Entwicklung.

Einrichtung: Gehe in Home Assistant zu Einstellungen, dann Home Assistant Cloud. Erstelle einen Account oder melde dich an. Aktiviere "Remote UI". Fertig. Dein Home Assistant ist unter einer persönlichen URL erreichbar, ohne Portfreigaben, ohne SSL-Zertifikate manuell zu verwalten.

Nabu Casa überträgt dabei nicht deine Gerätedaten in die Cloud. Es ist ein gesicherter Tunnel: Dein Browser verbindet sich mit Nabu-Casa-Servern, die den Datenverkehr an deine Home-Assistant-Instanz weiterleiten. Die eigentliche Logik läuft weiterhin lokal.

Für wen das sinnvoll ist: Wenn du keine Zeit für technische Konfigurationen aufwenden willst, wenn du Alexa- oder Google-Home-Integration möchtest, oder wenn du das Home-Assistant-Projekt aktiv unterstützen willst. Der monatliche Betrag finanziert die Weiterentwicklung direkt.

Methode 2: DuckDNS + Let's Encrypt

DuckDNS gibt dir eine kostenlose dynamische Domain wie deinname.duckdns.org. Let's Encrypt stellt ein kostenloses HTTPS-Zertifikat aus. Zusammen ermöglichen sie sicheren Fernzugriff ohne Cloud-Abo.

Voraussetzung: Dein Router muss Portweiterleitung unterstützen. Du leitest Port 443 (HTTPS) an Home Assistant weiter. Das erfordert, dass du im Router-Interface arbeitest, was bei Fritzboxen einfach ist, bei ISP-eigenen Routern manchmal schwieriger.

DuckDNS einrichten

Gehe auf duckdns.org und melde dich mit GitHub oder einem anderen Account an. Erstelle eine Subdomain, zum Beispiel mein-home.duckdns.org. Notiere dir das Token, das du nach der Anmeldung siehst.

DuckDNS Add-on in Home Assistant

Öffne in Home Assistant den Add-on-Store (Einstellungen, Add-ons). Suche nach "DuckDNS". Installiere und konfiguriere das Add-on:

domains:
  - mein-home.duckdns.org
token: dein-duckdns-token
certfile: fullchain.pem
keyfile: privkey.pem
aliases: []
seconds: 300

Das Add-on aktualisiert alle 300 Sekunden deine DuckDNS-Domain mit deiner aktuellen IP-Adresse. Es beantragt auch automatisch ein Let's-Encrypt-Zertifikat für deine Domain.

Portweiterleitung im Router

Logge dich in deinen Router ein. Bei einer Fritzbox unter fritz.box, bei anderen Routern üblicherweise 192.168.1.1 oder 192.168.178.1.

Richte eine Portweiterleitung ein:

  • Externer Port: 443

  • Internes Gerät: IP-Adresse deines Home-Assistant-Geräts

  • Interner Port: 443

Vergib deinem Home-Assistant-Gerät eine feste IP-Adresse im Router (DHCP-Reservierung), sonst ändert sich die interne IP nach einem Neustart.

Home Assistant für HTTPS konfigurieren

Öffne in Home Assistant die Datei configuration.yaml (Einstellungen, Add-ons, dann "Studio Code Server" oder per SSH):

http:
  ssl_certificate: /ssl/fullchain.pem
  ssl_key: /ssl/privkey.pem

Starte Home Assistant neu. Du erreichst es jetzt unter __PROTECTED_3__

Der Nachteil dieser Methode: Du öffnest einen Port deines Heimnetzes nach außen. Das ist sicherheitstechnisch nicht ideal, auch wenn HTTPS die Verbindung verschlüsselt. Die Home-Assistant-Login-Seite ist vom Internet aus erreichbar.

Methode 3: Cloudflare Tunnel (empfohlen)

Cloudflare Tunnel ist technisch die sauberste Lösung: keine offenen Ports, keine direkte Erreichbarkeit deines Heimnetzes aus dem Internet, und kostenlos.

Das Prinzip: Ein kleines Programm (cloudflared) läuft auf deinem Home-Assistant-Server und baut eine ausgehende Verbindung zu Cloudflare. Dein Browser verbindet sich mit Cloudflare, der Datenverkehr wird durch den Tunnel geleitet. Dein Router muss keinen eingehenden Port freigeben.

Voraussetzungen

Ein kostenloses Cloudflare-Konto und eine Domain, die du in Cloudflare verwaltest. Wenn du noch keine eigene Domain hast: Domains gibt es ab etwa 10 Euro pro Jahr (.de-Domains, .com je nach Registrar). Du kannst keine DuckDNS-Domain für Cloudflare Tunnel nutzen, weil Cloudflare die DNS-Verwaltung der Domain übernehmen muss.

Cloudflare Tunnel einrichten

Melde dich bei [cloudflare.com__PROTECTED_2__ an und gehe zu "Zero Trust" in der Navigation. Dort findest du "Networks", dann "Tunnels".

Erstelle einen neuen Tunnel. Gib ihm einen Namen, zum Beispiel "home-assistant". Cloudflare zeigt dir einen Token-String.

cloudflared Add-on installieren

Im Home-Assistant-Add-on-Store gibt es kein offizielles cloudflared-Add-on, aber ein Community-Add-on. Füge das Repository https://github.com/brenner-tobias/ha-addons zu deinen Add-on-Quellen hinzu (Einstellungen, Add-ons, drei-Punkte-Menü, "Repositories"). Installiere dann "Cloudflared".

Konfiguriere das Add-on mit deinem Tunnel-Token:

tunnel_token: dein-cloudflare-tunnel-token

Starte das Add-on.

Öffentlichen Hostname konfigurieren

Zurück im Cloudflare-Dashboard, bei deinem Tunnel: "Configure", dann "Public Hostname". Füge einen Hostname hinzu:

  • Subdomain: ha (oder was du möchtest)
  • Domain: deine-domain.de
  • Service Type: HTTP
  • URL: homeassistant:8123
Cloudflare erreicht Home Assistant jetzt intern unter diesem Namen. Du erreichst Home Assistant unter __PROTECTED_5__ ohne einen Port zu öffnen.

Home Assistant für Cloudflare konfigurieren

Da Cloudflare als Proxy vor Home Assistant sitzt, muss Home Assistant wissen, dass es hinter einem Reverse Proxy läuft. In configuration.yaml:

__PROTECTED_9__

Der IP-Bereich 172.30.33.0/24 ist das interne Add-on-Netzwerk. Starte Home Assistant neu.

Sicherheitstipps für alle Methoden

Unabhängig davon, welche Methode du wählst: Einige Dinge solltest du in jedem Fall tun.

2-Faktor-Authentifizierung ist Pflicht. In Home Assistant unter deinem Profil (unten links) findest du "Multi-Faktor-Authentifizierung". Aktiviere TOTP mit einer Authenticator-App. Wenn jemand dein Passwort errät, braucht er trotzdem noch dein Handy.

Starkes Passwort klingt selbstverständlich, ist es aber nicht. Viele Smart-Home-Setups laufen mit schwachen Passwörtern. Nutze einen Passwortmanager und lass dir ein zufälliges Passwort generieren.

Home-Assistant-Updates solltest du zeitnah einspielen. Sicherheitslücken werden gefunden und gepatcht. Wer monatelang nicht aktualisiert, läuft mit bekannten Schwachstellen.

Schau gelegentlich in die Logs. Home Assistant loggt fehlgeschlagene Anmeldeversuche unter Einstellungen, System, Protokolle.

Was du nicht tun solltest

Port 8123 direkt per Portweiterleitung freigeben ohne HTTPS ist ein Fehler, der sich rächt. Dein Login läuft dann komplett unverschlüsselt. Passwörter und Session-Tokens wandern im Klartext übers Internet.

Home Assistant ohne Passwort oder mit einem selbstgewählten Allerwelts-Passwort bei öffentlich erreichbarem System ist fahrlässig. Wirklich.

Eine IP-Whitelist allein als Schutz zu verwenden reicht nicht. Mobile IPs wechseln. Was heute deine Handy-IP ist, gehört morgen jemand anderem. IP-Whitelist ist eine sinnvolle Ergänzung zu 2FA, aber kein Ersatz.

Welche Methode wählen

Wenn du kein technisches Interesse hast und eine bequeme Lösung willst: Nabu Casa. Die 7,50 EUR pro Monat sind gerechtfertigt, wenn dir deine Zeit mehr wert ist als die technische Konfiguration.

Wenn du eine eigene Domain hast und Cloudflare sowieso nutzt: Cloudflare Tunnel. Kein offener Port, kostenlos, sehr solide.

Wenn du keine Domain kaufen willst, aber den technischen Aufwand nicht scheust: DuckDNS + Let's Encrypt. Kostenlos, funktioniert, erfordert offenen Port.