●HA작업]영상 8편 : 보안성 강화하기 - HTTPS 접속 설정(feat. Nginx) | 홈어시스턴트 | Home Assistant
본문
●HA작업]영상 8편 : 보안성 강화하기 - HTTPS 접속 설정(feat. Nginx) | 홈어시스턴트 | Home Assistant
저의 시놀로지의 https 인증서 사용중이라 영상정보 인증서 설치는 안되고
영상정보로 설정 호스트는 구성되었음
https접속을 역방향 프록시 설정 으로 시놀로지 로그인포털에서 설정 함
역방향 프록시로 인증서 없이 사용하기 주의문구와 같이 사용
역방향 프록시 설정하기
주) 이전에 도커 사용중인 접속 homea.11q.kr (192.168.0.7)에서
현재 esxi서버에 픚vmdk 파일로 vmware 구성
역방향 프록시 구성 ha.11q.kr(192.168.0.3) 변동으로 이름 변경 함,
Upgrade
Connection
X-Real-IP
X-Forwarded-For
Host
$http_upgrade
$connection_upgrade
$remote_addr
$proxy_add_x_forwarded_for
$http_host
공유기 포트포워드는 ?> 없어도 되고 > 접속 되지 않음으로 사용중지
내부로컬접속 > 정상
외부 https://ha.11q.kr >>>> 400에러 없이 접속 가능
주) /config/configuration.yaml 에 다음 추가
관련정보
스마트홈팁] 구글홈 로컬 설정 (?)
개인적으로 duckdns는 임시방편이라고 생각합니다.. 내부망에서는 로컬로 통신하는게 정상이니까요..
프록시는 외부와 내부를 이어주는 서버입니다. 이 때, 내부에서 외부로 통하는 통로면 정방향, 외부에서 내부로 통하는 통로면 역방향 프록시라고 하는데, 저희가 도메인을 통해서 접속하는 건 곧 외부에서 내부로 접속하는 거니까 역방향 프록시가 맞겠네요. 역방향 프록시는 외부에서 들어온 패킷을 내부의 특정 포트로 연결해주는 연결을 합니다.
가령 1.abc.com과 2.abc.com이 있고 둘 다 같은 111.222.333.444 아이피로 연결된다고 가정해볼게요. 이 때 두 주소는 같은 아이피로 연결되지만 그 a레코드를 통해 구별할 수 있습니다. 그래서, 1.abc.com은 111.222.333.444:32400, 2.abc.com은 111.222.333.444:8123에 연결할 수 있는 겁니다.
이 기능을 하는 것이 역방향 프록시이고, npm은 역방향 프록시를 설정하는 도구일 뿐입니다.
이 때, 외부에서 http가 아닌 https로 접속하려면 SSL/TLS 인증서라는게 필요합니다. 이 인증서는 공인된 기관에서만 발급하는데, 대부분 다 유료이지만 Let's Encrypt라는 회사에서 ACME 프로토콜을 통해 무료로 발급해줍니다. Nginx는 여기서 버튼 한번만 누르면 인증서를 발급할 수 있게끔 도와주고 이 인증서를 도메인에 설정하게끔 연결시켜주는 역할도 합니다.
이론적인 건 이렇고.. 저는 예전에 HA 입문할 때 Ohminy님 영상을 보고 세팅했던 것 같습니다. 혹시 도움이 될까 싶어 https://www.youtube.com/watch?v=e-A6jZnmz04 남깁니다. 추가로 혹시 시놀로지 같은 장비를 사용하신다면 굳이 npm을 사용하지 않고도 쉽게 역방향프록시를 설정할 수 있습니다.
Synology NAS에 VMM으로 설치한 HAOS의 역방향 프록시, Synology DDNS 및 포트포워딩 설정 방법
https://cafe.naver.com/koreassistant/10965
HTTPS 역방향 프록시 질문드립니다...
https://cafe.naver.com/koreassistant/10796
설정 > 시스템 > 네트워크에서 가능하고
configuration.yaml 에서도 가능합니다.
homeassistant:
external_url: "https://도메인 주소/"
internal_url: "http://127.0.0.1:8123"
http:
use_x_forwarded_for: true
trusted_proxies:
- 173.30.1.75
- 127.0.0.1
- ::1
173.30.1.75은 제 네트워크 나스 주소입니다.
--------
configuration 부분에 subnet mask도 추가해보세요.
http:
use_x_forwarded_for: true
trusted_proxies:
- 192.168. (NAS IP)
- 255.255.255.0/24
-----------------
☞ https://11q.kr 에 등록된 자료 입니다. ♠ 정보찾아 공유 드리며 출처는 링크 참조 바랍니다♠
관련자료
-
링크
-
이전
-
다음