Wireguard VPN op Homeassistant

Eerder beschreef ik hier de PiVPN-optie, waarmee gebruikmakend van een Raspberry Pi met OpenVPN of WireGuard een versleutelde verbinding met het thuisnetwerk kan worden opgezet.
Daarnaast kan Homeassistant ook worden gebruikt om WireGuard als server te gebruiken en dit apparaat als veilig toegangspunt te gebruiken om met je thuisnetwerk te verbinden.

Voordelen zijn onder andere:

• Versleutelde communicatie als je bijvoorbeeld op vakantie op de camping of in je hotel op een open accesspoint zit,
• Onder andere Videoland is in het buitenland te gebruiken omdat je een nu je thuis, dus Nederlands IP-adres gebruikt,
• Netwerkbeheer op je eigen (thuis)netwerk uitvoeren.

Ik heb Homeassistant op een NUC (Next Unit of Computing) draaien en deze is prima als Wireguard server op Homeassistant in te richten maar als Homeassistant draait, kan Wireguard erop draaien.
Installatie:
Ik heb als installatiehandleidingen de volgende bronnen gebruikt:
– connect remotely to your home network using the WireGuard add-on in Home Assistant (door Roger Frost)
– Home Assistant Community Add-on: WireGuard door Franck Nijhof waarop hij in onderstaande Youtube video duidelijk uitleg geeft:

Hoewel het niet al te ingewikkeld lijkt kostte het me toch wel het nodige sleutelen voordat ik het op mijn Samsung telefoon, Macbook Air en iPad aan de praat had.
Hieronder een aantal aanvullende tips die het hopelijk makkelijker maken.

De voorwaarden zoals Roger Frost deze beschrijft:

• Already have Home Assistant – eg running from an SD card in a Raspberry Pi computer,
• Create an account and a subdomain at DuckDNS (https://www.duckdns.org, dit zorgt ervoor dat je thuis IP-adres te allen tijde bereikbaar is),
• Install the DuckDNS add-on in Home Assistant and configure that,
• Install the Wireguard add-on in Home Assistant and configure the server and the peer settings,
• Forward UDP port 51820 to the IP address of the computer running Home Assistant (Port-forwarding),
• Install the Wireguard peer app on your phone and scan a QRcode hidden away in Home Assistant,
• When all this is set up, turn off the wifi on your phone; turn on Wireguard and connect to your homenetwork cameras or other devices or Netflix or anyyhing you normally only access from home. For example, use the browser to access your router on 192.168.1.1 or local Home Assistant url.

Als aanvulling hierop:

Na wat puzzelen bleek onderstaande Homeassistant Wireguard configuratie te werken, het DNS adres moet het IP-adres van de router zijn (bij mij 192.168.178.1):

Verder genereert Homeassistant Wireguard een QR-code die heel handig is om op de verschillende apparaten te scannen en zo de VPN configuratie daarop heel makkelijk te maken. Het tonen van deze QR-code kan helaas niet in de Wireguard configuratie maar deze zit verstopt in de Homeassistant map /ssl/wireguard/submap/qrcode.png.
Om deze zichtbaar te maken heb ik op Homeassistant Samba geïnstalleerd zodat de hele bestandsstructuur via de (Windows/Mac) verkenner is te benaderen (via smb://[IP-adres van Homeassistant]).
Bij mij ziet dat er uit zoals hieronder is weergegeven:

Nu is de QR-code zichtbaar te maken. Het is voor verder gebruik handig deze vast te leggen. In de Youtube video van Franck Nijhof legt hij uit hoe je simpel door de inhoud van het getoonde client.conf bestand te kopiëren en in de configuratie van de (Mac) Wireguard client te plakken, de Wireguard tunnel op MacOS opzet.