Home Assistant Fernzugriff: Sicher & Kostenlos via Cloudflare Tunnel (Kein Port-Forwarding!)

Wer sein Smart Home auch von unterwegs steuern möchte, steht oft vor einem Dilemma: Entweder man zahlt ein monatliches Abo für die offizielle Cloud, oder man geht das Sicherheitsrisiko ein, Ports am Router zu öffnen (Port-Forwarding). Letzteres ist eine offene Einladung für automatisierte Bot-Angriffe.

Doch es gibt einen dritten Weg, der von Profis bevorzugt wird: Cloudflare Tunnels.

In dieser Anleitung zeige ich dir, wie du deinen Home Assistant sicher ins Netz bringst – ohne Ports zu öffnen, ohne DynDNS-Ärger und komplett kostenlos.

Voraussetzung: Stabile Hardware
Ein Fernzugriff ist nur so gut wie der Server, auf dem er läuft. Wenn dein System oft hakt, empfehle ich ein Upgrade auf solide Hardware, um Verbindungsabbrüche zu vermeiden:

• Der Goldstandard: Raspberry Pi 5 Starter Kit

• Für maximale Performance: Intel NUC

• Wichtig: Nutze eine "High Endurance" SD-Karte, um Datenbank-Fehler zu vermeiden: SanDisk High Endurance

  ---

Warum Cloudflare Tunnel?

Ein "Tunnel" funktioniert anders als klassisches Port-Forwarding. Anstatt ein Loch in deine Firewall zu bohren, baut dein Home Assistant von innen heraus eine verschlüsselte Verbindung zu den Cloudflare-Servern auf.

• Keine offenen Ports am Router (Sicher vor Port-Scannern).

• Kein SSL-Zertifikats-Stress: Cloudflare übernimmt das HTTPS-Zertifikat für dich.

• Schutz vor DDoS-Attacken durch die Cloudflare-Infrastruktur.

Schritt 1: Domain und Cloudflare Account

Du benötigst eine eigene Domain (z.B. mein-smarthome.de).

1. Erstelle einen kostenlosen Account bei Cloudflare.

2. Füge deine Domain hinzu ("Add Site").

3. Ändere die Nameserver bei deinem Domain-Anbieter auf die von Cloudflare (dies ist der einzige manuelle Schritt beim Registrar).

Schritt 2: Den Tunnel im Dashboard erstellen

1. Gehe im Cloudflare Dashboard auf Zero Trust (links im Menü).

2. Navigiere zu Networks > Tunnels und klicke auf Create a Tunnel.

3. Wähle Cloudflared und gib ihm einen Namen (z.B. "HA-Server").

4. Klicke auf "Save". Du siehst nun einen Token (eine lange Zeichenfolge). Kopiere diesen Token – wir brauchen ihn gleich.

Schritt 3: Cloudflared in Home Assistant installieren

1. Gehe in Home Assistant zu Einstellungen > Add-ons > Add-on Store.

2. Klicke oben rechts auf die drei Punkte > Repositories.

3. Füge folgendes Repository hinzu: https://github.com/brenner-tobias/addon-cloudflared

4. Suche das Add-on Cloudflared, installiere es und gehe auf den Reiter Konfiguration.

5. Füge deinen Token bei tunnel_token ein und klicke auf Speichern.

6. Starte das Add-on. Im Reiter "Protokoll" sollte nach wenigen Sekunden stehen: Connected to Cloudflare.

Schritt 4: Den Hostname verknüpfen

Zurück im Cloudflare Dashboard:

1. Klicke auf Next.

2. Gib bei Public Hostname deine Subdomain ein (z.B. home.deinedomain.de).

3. Wähle unter Service: HTTP (nicht HTTPS!) und gib die IP deines Home Assistant inkl. Port ein (z.B. 192.168.178.50:8123).

4. Speichere den Tunnel.

Schritt 5: Die Sicherheits-Hürde (Wichtig!)

Damit Home Assistant Anfragen von dem neuen Tunnel akzeptiert, musst du ihn als "Vertrauenswürdig" markieren. Wenn du das nicht tust, erhältst du einen "400: Bad Request" Fehler.

Öffne deine configuration.yaml und füge diesen Block hinzu:

YAML
http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.0/24  # Standard-Range für HAOS Add-ons

Falls der Fehler "400" bleibt, schaue unter Einstellungen > System > Protokolle. Home Assistant zeigt dir dort genau an, welche IP blockiert wurde. Trage diese einfach unter trusted_proxies nach.

Schritt 6: Finale Einstellungen für die App

Damit Benachrichtigungen und die mobile App perfekt funktionieren:

1. Gehe zu Einstellungen > System > Netzwerk.

2. Trage unter Internet deine neue URL ein (z.B. https://home.deinedomain.de).

PRO-TIPP: Die "Zero Trust" Mauer (Sicherheit Level 10)

Möchtest du verhindern, dass überhaupt jemand deine Login-Seite sieht? Mit Cloudflare Access kannst du eine zusätzliche Schutzschicht aktivieren:

1. Gehe im Zero Trust Dashboard auf Access > Applications.

2. Erstelle eine "Self-hosted" Application für deine Domain.

3. Wähle als "Policy" z.B. Email-PIN.

4. Ergebnis: Wenn du deine URL aufrufst, musst du erst einen PIN eingeben, der dir per E-Mail geschickt wird. Erst danach siehst du überhaupt das Home Assistant Login-Feld. Hacker haben so absolut keine Chance mehr.

Fazit

Dein Home Assistant ist jetzt sicher und performant von überall erreichbar, ohne dass du ein Sicherheitsrisiko an deinem Router eingegangen bist.

Tipp für Fortgeschrittene: Wenn dein System beim Fernzugriff träge wirkt, liegt das oft an einer langsamen SD-Karte. Ein Upgrade auf eine SSD via USB-Adapter wirkt hier Wunder: USB 3.0 zu SATA Adapter für SSDs