Also wenn man dem HA schon (sinnvollerweise) einen Reverse-Proxy spendiert dann würde ich so großzügig sein und das Ganze auf einer extra Hardware realisieren (hierfür reicht ja schon ein kleiner Raspberry)

Den Gedanke mein NAS-System, wo mutmaßlich die privatesten Dateien liegen, hierfür zu verwenden (ich möchte nicht missbrauchen schreiben), finde ich befremdlich

Arbeitet ihr alle bei gira? Für jede Aufgabe ein extra Kästchen?!

Je nach Konzept werden halt mehr oder weniger "Kästchen" notwendig - ob real oder virtuell, sei mal dahingestellt (Stichwort DMZ).

Auf einem NAS, das in 1. Linie der Datenhaltung und dergleichen dient, würde ich persönlich keine Internetdienste in wild stellen - wenn das NAS allerdings nur auschliesslich für sowas da ist z.B. Webserver, naja.

Die meisten Sicherheitslöcher werden halt der Bequemlichkeit wegen erschaffen - kann gutgehen, muss halt nicht.

Die Idee hinter dem Reverse-Proxy ist in dem Fall, dass er anstelle des HA in der ersten Reihe steht.
Das macht dann Sinn, wenn es auf dem (Opfer-)Reverse-Proxy in erster Linie nichts zu holen gibt, und dazu ist es idealerweise eine eigene Komponente
(wie gesagt, in dem Kontext reicht dafür ein Raspberry-Pi der am USB-Port der Fritzbox mitläuft)

So richtig gut wird es dann, wenn der Reverse-Proxy:

- ordentlich aufgesetzt ist und regelmäßig gepatcht wird
- von außen nur über Port 443 erreichbar ist
- in eignem eigenen kleinen Netz steht und den HA ebenfalls nur über Port 443 erreicht
- im Fall von HA beispielsweise die API gar nicht erst exponiert
- ....

Meine Empfehlung basierend auf der Ursprungsfrage:

Wenn man sich nicht einigermaßen umfangreich und regelmäßig mit dem Thema auseinandersetzen möchte, würde ich im privaten Umfeld nichts direkt ins Internet exponieren. Hier ist ein VPN-Tunnel immer noch die einfachste und sicherste Option. Hier würde ich die "Kröte" mit dem erhöhten Aufwand / Akkuverbrauch zugunsten der Sicherheit schlucken

Sehe ich genauso. Und die anderen Kommentare bezüglich Reverse-Proxy sind auch richtig, idealerweise sollte ein Reserve-Proxy aus SIcherheitsgründen netzwerktechnisch möglichst getrennt sein.

Daher ist die beste Lösung, um zusätzliche "Kisten" zu vermeinden wohl eine VPN-Lösung.
Man muß auch beachten: Jedes System will auch gepflegt werden. Auch ein Reserve-Proxy ist exponiert und daher ist es hier Plficht regelmäßig Update zu fahren.
Und eine VPN-Lösung ist meist auf der Firewall drauf und die sollte ohnehin regelmäßig Updates erhalten.

Ich nutze wireguard und habe den Tunnel 24/7 aktiv, habe da keinen unterschied vom Akkuverbrauch gemerkt (Galaxy S24 Ultra)....

Ich benutze Wireguard, das wird auf dem iPhone meiner Frau beim Start der App aktiviert und beim Beenden wieder deaktiviert​. Auf meinem Android hab ich's immer an, auch um unterwegs von pihole zu profitieren, habe keinen nennenswerten zusätzlichen Akkuverbrauch beobachten können.

Also zusammengefasst und nach Sicherheit sortiert, die kostenlosen Alternativen zur Nabu Casa Cloud:

1. (Reine interne Nutzung)
2. VPN
3. Reverse Proxy (a) separat (b) integriert
4. (Ports öffnen)

Jede Lösung hat weitere Abstufungen, 1. war hier ja nicht die Frage und 4. hat niemand genannt und wird auch hoffentlich nicht genutzt.
Bei 2. ist noch abzuwägen welche Lösung (Wireguard, openVPN, ...) mit welchen Geräten (iOS / Android, Mac, Windows, Linux, ...) von wem (WAF) und wie häufig (Akku scheint ein Thema zu sein) genutzt wird.

Bei 3. ist (a) ein separates Gerät (Pi, eigener Server) zu bevorzugen. Bei (b) einer integrierten Lösung ließe sich noch in Docker / VM auf gleicher Hardware oder auf einem NAS die Lösung vom Hersteller unterteilen.

Fehlt noch was?

Egal für welche Lösung Du Dich entscheidest: Verantwortung liegt bei Dir (Updates über alle Systeme, Docker, VMs, ...). Mitleid wird es im worst case sowieso nicht geben :-)

---
Nachtrag zu meinem Post:
Auch wenn es auf einige befremdlich wirkt, nutze ich eingeschränkt 3b. Hier kann ich noch ergänzen, dass der Zugriff eine Länderbeschränkung hat (kein Schutz, aber reduziert die Angriffsversuche auf 0), die erreichbaren Services 2FA anbieten, zusätzlich fail2ban läuft und ein entsprechendes Backup Konzept inkl. offsite enthalten sind. Seit >5 Jahren läuft es so und für mich ist das Risiko okay - denke aber noch mal über 3a nach, sobald ich eine bessere Bandbreite erhalte. Da HA kein 2FA bietet, nutze ich 2. über Wireguard on-demand unter iOS und MacOS.

Nutzt ihr alle kein Alexa oder Google Assistent?
Da geht es halt nur, wenn HTTPS erreichbar ist...

Geht auch unter Android. Habe ich mal bei meiner Liebsten eingestellt. Hier is ne Anleitung für iOS und Android (Ich weiß, ausgerechnet in einen Loxone Wiki, aber funzt)
https://loxwiki.atlassian.net/wiki/s...tId=1622770007

Unter iOS is aber viel komfortabler…

Ich nutze Wireguard und lase die Verbindung fast immer offen. Im Gegensatz zu klaichem VPN wirkt ich eine Wireguardverbindung nicht (zumindest nicht merklich) auf die Akkulaufzeit de amrtphones aus.

Mal eine Frage an die Sicherheitsprofis hier im Forum zur Port Öffnung im Router:
Sagen wir ich öffne Port 8123 für HomeAssistant im Router und komme dann über DuckDNS von extern auf den HA.
Dann könnte jeder der die Adresse kennt von aussen auf den Login Screen meines HA kommen und versuchen sich anzumelden.
In etlichen Anleitungen gibt es einen IP Ban der nach X versuchen diese IP für den Zugriff sperrt.
Kann dann ein "Angreifer" der es wirklich schaffen sollte das PW zu knacken in mein komplettes Netzwerk eindringen oder ist dann wirklich nur HomeAssistant erreichbar?
Würde mich interessieren bevor ich anfange mir einen externen Zugriff einzurichten.
Wie macht ihr das mit Automationen die Anhand eines Standortes ausgeführt werden sollen?
Das geht ja nur wenn die HA-App auf dem Handy immer verbindung zum HA hat?

Es könnte eine noch unbekannte Sicherheitslücke geben und irgendwer kann schadcode über den port 8123 einschleußen. So war es mal bei den Synology... waren diese von außen erreichbar, wurde dein System verschlüsselt. Aber klar, so lange nichts bekannt ist, passiert da auch nichts. Danach war bei den Synology stand heute, nichts weiter mehr bekannt z.b.
Da HASS aber so aktiv gepflegt wird, halte ich diese Möglichkeit für aktuell für möglich, aber nicht sehr wahrscheinlich. Das Jemand deine Zugangsdaten errät, wohl für eher unwahrscheinlich.

Ja, jeder der die IP kennt könnte dann mit allen möglichen Sachen auf diesen einen Port zugreifen. Diverse Hacking-Tools, etc...
Im Hintergrund liegt dann ja der Webserver von HA dahinter und diesen könnte man dann versuchen zu hacken.
Eventuell gibt es dann dort eine Sicherheitslücke, die ausgenutzt werden kann oder in der HA Programmierung selbst ist ein Fehler.
Daher wäre hier ein regelmäßiges Update essentiell wichtig.
Und die Einrichtung von HTTPS ist dann natürlich auch Pflicht, da Du sonst unverschlüsselt kommunizieren würdest.

Wenn es jemand da mit viel Geduld zum Beispiel unter Verwendung von großen Passwortlisten geschafft hat, dann
hängt es von der HA Konfiguration ab, was geht. Wenn Du über diese Kennung zum Beispiel Zugriff auf die GUI Shell
hast, dann geht von dort aus schon eine ganze Menge Richtung internen Netz. Und von dort ist es dann nicht mehr
Weit zum Rest....

Wie schon geschrieben mache ich das über VPN. Dann habe ich diese Kopfschmerzen mit eventuellen
Sicherheitücken im HA nicht (nur eventuell im VPN, aber dort habe ich mehr Vertrauen zu) und das
Handy kommunziert immer über den VPN Tunnel, auch für die Übertragung des Standorts.

Gruß
Sven

Nur ein Beispiel auf die Schnelle weil ich mich daran erinnere:

https://www.home-assistant.io/blog/2...ty-disclosure/

Über diese Lücke soll es möglich gewesen sein, ohne Authentifizierung AddOns zu installieren oder Backups abzuziehen.
Der Fehler war so über 5! Jahre in den meisten HA-Installationen vorhanden und theoretisch ausnutzbar.

Das ist übrigens kein Bashing gegen HA, das kommt auch in teils prominenten und hochpreisigen Produkten im Enterprise-Umfeld vor!