Markus aus Solingen hat im Februar 2026 einen Vodafone-Kabel-Anschluss bestellt, weil die Telekom in seiner Strasse keine Glasfaser legt und 50 Megabit Kupfer für ein Haus mit drei Kindern und einem Home Assistant nicht reichen. Der Techniker steckte am Donnerstagnachmittag das Kabel ein, am Donnerstagabend lief das Internet mit beeindruckenden 940 Megabit, und am Freitagmorgen funktionierte sein DuckDNS-Setup nicht mehr. Keine Erreichbarkeit von aussen. Keine Push-Benachrichtigungen aufs Handy. Kein Zugriff aufs Garagentor mehr, wenn er es vergessen hatte zu schliessen.
Was Markus nicht wusste, als er den Vertrag unterschrieb: Vodafone setzt im Kabelnetz seit Jahren auf Carrier-Grade NAT, kurz CGNAT. Das heisst, sein Router hat keine eigene öffentliche IPv4-Adresse mehr, sondern teilt sich eine mit hunderten anderen Haushalten. Eingehende Verbindungen aus dem Internet kommen schlicht nicht an. Die Diskussion im Vodafone-Community-Forum, wo er sein Problem schilderte, ist eine traurige Sammlung: Hunderte Smart-Home-Bastler, die ihren funktionierenden Fernzugriff verloren haben, nachdem ihr Anschluss „modernisiert" wurde.[^1]
Dieser Artikel ist der Versuch, die vier sinnvollen Methoden, Home Assistant von unterwegs zu erreichen, in der Realität von 2026 zu sortieren — mit der Frage, was am Vodafone-Kabel mit CGNAT noch funktioniert, was an einer Telekom-Glasfaser mit echter IPv4 problemlos läuft, und welche Methode tatsächlich die fünfzehn Minuten bis zur fertigen Konfiguration braucht, die jedes Tutorial verspricht.
Worum es beim Fernzugriff eigentlich geht
Der Anwendungsfall klingt simpel: Du bist im Büro und willst nachsehen, ob du den Backofen ausgemacht hast. Du bist im Urlaub und möchtest die Heizung herunterregeln. Dein Sohn hat die Haustür offengelassen, und der Tür-Sensor schickt eine Push-Benachrichtigung, auf die du tippen können musst, um die Tür per Smart Lock von Berlin aus zu schliessen.
Damit das funktioniert, muss dein Telefon eine TLS-verschlüsselte HTTPS-Verbindung zu deinem Home-Assistant-Server zuhause aufbauen können. Dein Home Assistant läuft typischerweise auf Port 8123, in deinem Heimnetz, hinter einem Router. Das Telefon im Mobilfunknetz hat keine Ahnung, wie es an dieses Gerät kommt. Es braucht einen Wegweiser — und genau diesen Wegweiser stellen die vier Methoden auf unterschiedliche Weise bereit.
Die naive Lösung — Port-Forwarding auf 8123, DynDNS-Eintrag, Let's Encrypt-Zertifikat über DuckDNS — war zehn Jahre lang der Standardweg. Sie ist 2026 nicht nur veraltet, sondern in vielen deutschen Anschlüssen nicht mehr nutzbar, weil CGNAT, IPv6-only-Anschlüsse und einbruchsversuchende Bots aus China sie zu einer wackeligen Konstruktion gemacht haben. Wer 2026 Fernzugriff einrichtet, sollte keinen Port mehr nach aussen öffnen.
Methode 1: Nabu Casa — der Cloud-Service der Home-Assistant-Macher
Nabu Casa ist die Firma hinter Home Assistant. Sie verkauft seit 2018 einen Cloud-Dienst, der Fernzugriff per Outbound-Tunnel zu ihren Servern macht — keine Ports auf, keine DNS-Einträge, kein Zertifikat. Du klickst in den Einstellungen einen Schalter, gibst Username und Passwort ein, und drei Sekunden später hat deine Instanz eine URL in der Form https://random-id.ui.nabu.casa/, die von überall erreichbar ist.
Der Preis liegt seit Anfang 2026 bei 7,50 Euro pro Monat oder 75 Euro pro Jahr in der EU, inklusive Mehrwertsteuer.[^2] Im US-Markt sind es 6,50 Dollar netto, was zu einer interessanten Asymmetrie führt — deutsche Nutzer subventionieren die Mehrwertsteuer komplett. Trotzdem: 75 Euro im Jahr für das Wissen, dass eine Firma mit zwei Dutzend Vollzeit-Angestellten den Fernzugriff betreibt, in deinem Sinne entwickelt und keine Werbung verkauft, ist eine Ansage.
Was im Preis enthalten ist, hat sich 2026 deutlich erweitert. Seit Januar gibt es 5 Gigabyte verschlüsselten Backup-Speicher dazu, und Home Assistant kann automatisch eine Kopie deines Setups dort ablegen.[^3] Auch die hauseigene Sprachverarbeitung — Wake-Word-Erkennung, Whisper-basierte Speech-to-Text, Piper-Text-to-Speech mit deutschen Stimmen — läuft über die Nabu-Casa-Infrastruktur, wenn du sie einschaltest. Wer eine Voice Preview Edition oder einen ESP32-S3-basierten Voice-Satellit zuhause hat, nutzt diese APIs ohnehin schon.
Was Nabu Casa nicht ist: ein VPN. Du kommst nur an Port 8123 — also den Home-Assistant-Webserver — und an die explizit dafür konfigurierten Schnittstellen. Wer auf seine Synology-NAS, sein Pi-hole-Webinterface oder seinen Octoprint-Server zugreifen will, braucht etwas anderes. Und: die ganze Verbindung läuft über die Nabu-Casa-Server in Frankfurt, Amsterdam und Virginia. End-to-End-verschlüsselt, ja, aber Metadaten — wer wann von welcher IP wie lange verbindet — sehen sie potenziell.
Wann Nabu Casa die richtige Wahl ist: Wenn du einen einzigen Home-Assistant-Server hast, eine Familie damit versorgen willst, und wenn 75 Euro pro Jahr ein für dich akzeptabler Tausch gegen Null Setup-Aufwand sind. Es funktioniert problemlos hinter CGNAT, weil der Tunnel von dir nach aussen aufgebaut wird, nicht umgekehrt.Methode 2: Cloudflare Tunnel — die kostenlose Variante des gleichen Prinzips
Cloudflare Tunnel macht technisch ziemlich genau das, was Nabu Casa macht: Ein Daemon auf deinem Home-Assistant-Server baut eine ausgehende Verbindung zu Cloudflares Edge-Netzwerk auf, und Cloudflare nimmt dann eingehende Anfragen auf deiner Domain an und leitet sie durch den Tunnel zu dir nach Hause. Kein offener Port. Funktioniert hinter CGNAT.
Der Preis: Null Euro im Free-Tier, der für persönliche Nutzung mehr als ausreicht. Du brauchst eine eigene Domain bei Cloudflare — ungefähr 8 bis 12 Euro im Jahr für ein .de- oder .com-Domain, falls du noch keine hast. Die gesamte Bandbreite ist im Free-Plan unbegrenzt für „personal use", was Cloudflare bisher in der Praxis nicht durchsetzt, solange du nicht offensichtlich einen Streaming-Dienst hostest.
Das Setup läuft folgendermassen: Du installierst das Cloudflared-Add-on im Home Assistant Add-on Store. Du verbindest es mit deinem Cloudflare-Konto, gibst deine Domain ein (zum Beispiel home.deinedomain.de), und das Add-on registriert einen Tunnel und einen DNS-Eintrag. Nach drei Minuten ist deine Home-Assistant-Instanz unter https://home.deinedomain.de/ erreichbar — und Cloudflare kümmert sich um das TLS-Zertifikat, die DDoS-Filterung und die DNS-Auflösung.
Bis hier sieht es aus wie kostenloses Nabu Casa. Der Haken kommt bei der Sicherheit. Eine offene Cloudflare-Tunnel-URL ist zwar nicht so leicht angreifbar wie ein offener Port, weil das Cloudflare-Netzwerk Bot-Verkehr filtert. Aber der Anmelde-Bildschirm von Home Assistant ist trotzdem öffentlich erreichbar, und einer der häufigsten Vorfälle in Home-Assistant-Foren ist, dass jemand sein schwaches Passwort durch Brute-Force verloren hat und plötzlich seine Garagentore von Russland aus geöffnet wurden.
Das Forum-Tutorial „HOWTO: Secure Cloudflare Tunnels remote access" auf der Home-Assistant-Community-Seite erklärt deshalb ausführlich, wie man eine zusätzliche Cloudflare-Access-Authentifizierung davorklemmt — eine zweite Login-Schicht über GitHub, Google oder eine E-Mail mit Einmalcode.[^4] Damit ist die HA-Instanz nur noch nach erfolgreichem Cloudflare-Login erreichbar. Das Tutorial ist seit drei Jahren der Goldstandard, und ich empfehle dringend, es zu befolgen, wenn du Cloudflare Tunnel nutzt.
Eine wichtige Einschränkung, die viele übersehen: Cloudflare Access hat eine maximale Session-Dauer von einem Monat, und die Home-Assistant-iOS- und Android-App kann bisher nicht zuverlässig durch diese zusätzliche Authentifizierung tunneln. Push-Benachrichtigungen können verlorengehen, wenn die Cloudflare-Access-Session abläuft. Wer die Companion App nutzt, sollte den IP-basierten Bypass für die Google-Push-Server konfigurieren, der in dem Tutorial beschrieben ist — sonst hört das Telefon nach 30 Tagen auf, vom Smart Home zu hören.
Wann Cloudflare Tunnel die richtige Wahl ist: Wenn du eine eigene Domain hast oder bereit bist, eine zu kaufen. Wenn du die zusätzliche Setup-Stunde investieren willst, um Cloudflare Access richtig zu konfigurieren. Wenn dir Geld lieber ist als Bequemlichkeit. Die Methode funktioniert hervorragend hinter CGNAT.Methode 3: Tailscale — das Mesh-VPN, das einfach funktioniert
Tailscale ist 2020 angetreten, die VPN-Welt zu vereinfachen, und hat es geschafft. Statt einen Server mit fester IP zu betreiben, an den sich alle deine Geräte verbinden, baut Tailscale ein peer-to-peer-Mesh-Netzwerk auf, in dem jedes deiner Geräte direkt mit jedem anderen sprechen kann — auch wenn beide hinter CGNAT oder doppeltem NAT sitzen. Unter der Haube nutzt es WireGuard, davor sitzt eine kontrollierte Service-Plane, die die Schlüssel verwaltet und das Hole-Punching macht.
Für Home Assistant gibt es ein offizielles Add-on, das von der Home-Assistant-Community-Add-on-Gruppe gepflegt wird.[^5] Installation: Add-on aus dem Store installieren, starten, einmal in der Tailscale-Konsole im Browser bestätigen — fertig. Dein Home Assistant hat dann eine private 100.x.y.z-Adresse im Tailscale-Mesh und einen MagicDNS-Namen wie homeassistant.deinetailnet.ts.net.
Auf jedem Gerät, das Zugriff haben soll — dein iPhone, dein Android-Handy, der Laptop deiner Frau — installierst du die Tailscale-App, loggst dich mit demselben Account ein und siehst sofort den Home-Assistant-Server in der Geräteliste. Du kannst dann die Home-Assistant-Companion-App so konfigurieren, dass sie unterwegs die Tailscale-MagicDNS-Adresse benutzt.
Der grosse Vorteil: Es ist nicht nur Home Assistant, der erreichbar wird. Wenn du Tailscale auf deinem NAS, deinem Drucker, deinem Pi-hole und dem Raspberry Pi mit Octoprint installierst, sind die alle erreichbar. Im Mesh-VPN-Modus hast du im Grunde dein Heimnetz auf jedem deiner Geräte ausgerollt.
Der grosse Nachteil: Familie und Mitbewohner brauchen jeweils einen Tailscale-Account, oder du musst sie in deinen Tailscale-Tailnet einladen — was zwar geht, aber für Eltern oder Kinder nicht das einfachste ist. Wer einen Schalter im HA-Frontend antippen will, muss die Tailscale-VPN-Verbindung im Hintergrund aktiv haben. Die Free-Tier von Tailscale erlaubt 100 Geräte und drei Nutzer, was für die meisten Haushalte reicht. Darüber wird es kostenpflichtig (6 Dollar pro Nutzer pro Monat ab dem vierten Account).
Der subtilere Vorteil: Tailscale funktioniert auch dann, wenn du im Hotel-WLAN bist und alles ausser Port 80 und 443 gefiltert ist, weil das Mesh über DERP-Relay-Server fallback-routen kann. Es funktioniert, wenn dein Heim-Internet ausgefallen ist und du dich von ausserhalb mit einem zweiten Tailscale-Knoten verbinden willst, der noch da ist. Es ist insgesamt das robusteste der vier Setups.
Wann Tailscale die richtige Wahl ist: Wenn du nicht nur Home Assistant, sondern dein ganzes Heimnetz unterwegs erreichen willst. Wenn du es nutzt, um auch dein NAS, dein Pi-hole oder deinen Mini-PC zu erreichen. Wenn du es technisch ein bisschen sauberer findest, ein VPN-Mesh statt einer öffentlichen URL einzurichten. Funktioniert problemlos hinter CGNAT.Methode 4: WireGuard auf der eigenen Fritzbox oder einem VPS
Die DIY-Variante. WireGuard ist das schlanke, schnelle, moderne VPN-Protokoll, das auch unter der Haube von Tailscale läuft — nur eben ohne den Service-Plane darüber. Wer eine moderne FritzBox hat (ab Modell 7530 mit FRITZ!OS 7.50), kann WireGuard direkt im Router einrichten, ein Konfigurationsprofil aufs Handy laden, und ist im Heimnetz, wenn die Verbindung aufgebaut ist.
Der Haken: Du brauchst eine erreichbare öffentliche IPv4-Adresse oder zumindest eine erreichbare IPv6, an die deine Geräte sich verbinden können. Bei Telekom-Anschlüssen mit Dual-Stack ist das gegeben. Bei Vodafone-Kabelanschlüssen mit CGNAT funktioniert es nicht. Bei IPv6-only-Anschlüssen funktioniert es, sofern auch dein Mobilfunk-Provider IPv6 ausliefert — was bei der Telekom 2026 standardmässig der Fall ist, bei o2 und Vodafone-Mobile teilweise nicht.
Wer hinter CGNAT hängt, kann WireGuard trotzdem nutzen, indem er einen kleinen Cloud-Server mietet — eine Hetzner-CX11 für 4,15 Euro pro Monat reicht — und WireGuard auf diesem VPS als „Hub" einrichtet. Beide Endgeräte (Home Assistant und Smartphone) verbinden sich von sich aus zu diesem Server, und der vermittelt das Routing. Das ist im Grunde Tailscale, nur händisch und ohne Komfort. Es funktioniert, ist aber 2026 schwer zu rechtfertigen, wenn Tailscale denselben Effekt für 0 Euro liefert.
Was WireGuard hat, was die anderen nicht haben: Es ist Software, die du komplett selbst kontrollierst. Keine Drittfirma sieht Metadaten. Wenn deine Fritzbox WireGuard direkt unterstützt, muss nicht einmal der Home-Assistant-Host das Protokoll sprechen — die Box terminiert die Verbindung, und du bist im Heimnetz wie aus dem Wohnzimmer.
Wann WireGuard die richtige Wahl ist: Wenn du eine FritzBox mit FRITZ!OS 7.50+ hast, einen Telekom-Anschluss mit echter IPv4 oder Dual-Stack, und dir die zwanzig Minuten Konfiguration nicht zu viel sind. Wenn du Privatsphäre über alles stellst und keinen externen Service in der Kette haben willst. Funktioniert nicht ohne Klimmzüge hinter CGNAT.Vergleichstabelle: Was 2026 wirklich zählt
| Methode | Preis pro Jahr | Funktioniert hinter CGNAT | Setup-Zeit | Eigene Domain nötig | Sicherheit out-of-the-box |
|---|---|---|---|---|---|
| Nabu Casa | 75 EUR | Ja | 2 Minuten | Nein | Sehr hoch |
| Cloudflare Tunnel | 0 EUR (+ Domain ~10 EUR) | Ja | 30 Minuten (mit Access) | Ja | Hoch (mit Access-Layer) |
| Tailscale | 0 EUR (bis 3 Nutzer) | Ja | 10 Minuten | Nein | Sehr hoch |
| WireGuard auf FritzBox | 0 EUR | Nein | 20 Minuten | Nein | Sehr hoch |
| WireGuard via VPS | ~50 EUR | Ja | 60 Minuten | Nein | Sehr hoch |
Was Markus aus Solingen tatsächlich gemacht hat
Markus, mit dem ich angefangen habe, hat sich nach drei Wochen Recherche für Tailscale entschieden. Sein Argument: Er wollte nicht nur Home Assistant, sondern auch seine Synology-NAS, sein Octoprint und das Frigate-NVR-Webinterface erreichen können, ohne für jedes davon einzeln einen Tunnel oder einen Domain-Eintrag einzurichten. Mit Tailscale hat er einen Knoten — sein Mini-PC, auf dem auch Home Assistant läuft — und kommt damit an alles.
Seine Frau und seine drei Kinder haben jeweils einen eigenen Tailscale-Account auf ihren Telefonen. Das war der einzige nervige Schritt, weil die zwei Jüngeren bei der Account-Erstellung Hilfe brauchten. Aber seitdem läuft das Setup seit acht Wochen ohne einen einzigen Vorfall. Der Garagentor-Schalter ist wieder von unterwegs erreichbar.
Wenn er ein Jahr später beschliesst, dass ihm Tailscale aus irgendeinem Grund nicht mehr passt, kann er innerhalb einer Stunde auf Cloudflare Tunnel umsteigen — er hat ohnehin schon eine .de-Domain für seine Familienseite. Das ist 2026 die Realität: Es gibt nicht die eine richtige Methode. Es gibt vier vernünftige Methoden, und welche zu dir passt, hängt davon ab, was sonst noch in deinem Heimnetz läuft, wie viel du zahlen willst, und ob dein Internetanbieter dir CGNAT zumutet.
Drei Dinge, die du nicht tun solltest
Erstens: Keinen Port 8123 mehr auf deinem Router öffnen und über DuckDNS das HA-Webinterface ins offene Netz hängen. 2018 war das ein vertretbarer Kompromiss. 2026 ist es ein Einladungsschreiben für Bot-Netze, die Standard-Passwörter durchprobieren. Wenn dein HA über das offene Internet erreichbar ist, ist es früher oder später kompromittiert.
Zweitens: Keine Lösung, die TLS-Zertifikate selbst signiert oder ohne Verschlüsselung läuft. Selbst innerhalb deines Heimnetzes nicht, weil Heimnetze nicht so geschützt sind, wie viele denken — ein kompromittierter Smart-TV oder eine Wlan-Glühbirne mit Backdoor kann das ganze Netz verseuchen.
Drittens: Keine zwei Methoden parallel, ohne nachzudenken. Ich kenne Setups, in denen jemand Nabu Casa abonniert hat, gleichzeitig Cloudflare Tunnel laufen lässt und zur Sicherheit noch WireGuard auf der FritzBox hat. Drei Angriffsflächen statt einer. Such dir eine, mach sie sauber, schalte den Rest ab.
Empfehlung
Wenn du schon eine Domain hast und 30 Minuten investieren willst: Cloudflare Tunnel mit Cloudflare Access davor. Kostenlos, robust, professionell.
Wenn du keine Domain willst und mehr als nur Home Assistant erreichen möchtest: Tailscale. Free Tier reicht für die meisten Familien.
Wenn du gar keinen Aufwand willst und 75 Euro pro Jahr keine Rolle spielen: Nabu Casa. Du bezahlst nicht nur den Service, sondern unterstützt die Entwicklung der Open-Source-Software, die dein Smart Home antreibt — und das ist 2026 ein Argument, das schwerer wiegt als noch vor drei Jahren.
Wenn du einen FritzBox-Router und einen Telekom-Anschluss hast: WireGuard direkt im Router. Schnell, privat, keinerlei Drittservices. Prüf vorher, ob du eine echte IPv4 hast — bei Telekom-Glasfaser meistens ja, bei Telekom-DSL fast immer ja, bei Vodafone-Kabel nur in Ausnahmen.
Was ich nicht empfehle: Hybrid-Lösungen mit DuckDNS und Port-Forwarding zu basteln, wie sie in vielen YouTube-Tutorials von 2022 noch zu sehen sind. Die Welt ist weitergezogen. CGNAT, IPv6 und die professionelleren Brute-Force-Bots haben dafür gesorgt, dass diese Setups 2026 entweder gar nicht mehr oder nur unter erhöhtem Risiko funktionieren.
[^1]: Vodafone Community: "Ipv4 wegen Homeassistant" (Februar 2026) — https://forum.vodafone.de/t5/Kabel-Tarife-Rechnung/Ipv4-wegen-Homeassistant/m-p/3316881/highlight/true
[^2]: Nabu Casa Pricing — https://www.nabucasa.com/pricing/ (Stand April 2026: 7,50 EUR pro Monat oder 75 EUR pro Jahr in der EU)
[^3]: Nabu Casa: "Get the most of Cloud in 2026" (Januar 2026) — https://www.nabucasa.com/news/2026-01-06-product-update/
[^4]: Home Assistant Community: "HOWTO: Secure Cloudflare Tunnels remote access" — https://community.home-assistant.io/t/howto-secure-cloudflare-tunnels-remote-access/570837
[^5]: hassio-addons: app-tailscale — https://github.com/hassio-addons/addon-tailscale/blob/main/tailscale/DOCS.md
[^6]: smarthome-aber-sicher.de: "Fernzugriff mit Cloudflare — richtig sicher!" (April 2025) — https://smarthome-aber-sicher.de/blog/2025/04/18/fernzugriff-mit-cloudflare-richtig-sicher/
[^7]: Addis Techblog: "Home Assistant Fernzugriff sicher per WireGuard VPN" (Februar 2026) — https://addis-techblog.de/2026/02/home-assistant-wireguard-speedport-fernzugriff-sicher-einrichten/
[^8]: Tailscale Docs: "Exit nodes (route all traffic)" (Dezember 2025) — https://tailscale.com/docs/features/exit-nodes
