VIGIL MESH

Documentation

Home Assistant à distance, sans ouvrir de port

Home Assistant écoute par défaut sur le port 8123, et tout le dilemme de l’accès à distance tient là : comment joindre ce port depuis l’extérieur sans l’exposer à Internet ? VIGIL-MESH répond par un réseau privé : le client s’installe sur la machine qui sert Home Assistant et sur vos appareils, chaque machine n’établit que des connexions sortantes, et vous retrouvez http://nom:8123 depuis n’importe où — comme à la maison, sans redirection de port, sans reverse proxy, sans rien d’exposé.

Le dilemme classique de l'accès distant Home Assistant

Le projet Home Assistant documente plusieurs voies d’accès à distance, et la communauté en discute abondamment : chacune est un compromis entre simplicité, coût et exposition. Les trois familles que l’on retrouve partout :

Le cloud officiel, sur abonnement

Le projet propose un service cloud officiel : simple, bien intégré, sans rien à ouvrir — et payant, par abonnement. C’est une option légitime qui finance le projet ; son principe reste toutefois de faire transiter l’accès par un service tiers.

L'exposition directe ou le reverse proxy

Rediriger le port 8123 sur la box, ou monter soi-même un reverse proxy avec certificat TLS. Cela fonctionne, mais votre interface domotique devient un service exposé à Internet : scanné en permanence, dépendant de la rigueur de votre configuration et de vos mises à jour.

Le VPN vers la maison

Un VPN classique évite l’exposition, mais il faut héberger le serveur VPN, ouvrir son port entrant sur la box, gérer l’adresse IP publique qui change — et c’est impossible derrière le CGNAT d’une connexion 4G/5G ou de nombreux accès fibre récents.

L'approche réseau privé : votre maison vous suit

VIGIL-MESH relie vos machines dans un réseau privé chiffré, sans rien exposer. Le client s’installe sur la machine qui sert Home Assistant — l’hôte Linux qui l’exécute, ou la machine du réseau local qui porte le port 8123 quand Home Assistant tourne en conteneur — et sur les appareils qui doivent y accéder (portable, téléphone Android). Chaque machine n’établit que des connexions sortantes, en 443 UDP : rien à ouvrir sur la box, rien à rediriger, et ça fonctionne aussi derrière un CGNAT 4G/5G.

  • Zéro port entrant — aucune machine n’écoute depuis Internet ; le port 8123 reste joignable uniquement depuis les membres de votre réseau.
  • Connexion immédiate, direct dès que possible — le trafic passe d’abord par un relais structurellement aveugle (sans les clés), puis migre sans coupure vers le chemin direct entre vos machines.
  • Chiffrement de bout en bout — sessions QUIC/TLS 1.3 entre vos machines, avec échange de clés hybride post-quantique.
  • Adresse stable et nom MagicDNS — la machine Home Assistant garde la même adresse et le même nom court, où que vous soyez : vos signets ne cassent jamais.

Concrètement, vous ouvrez http://nom-de-la-machine:8123 depuis votre portable au bureau ou votre téléphone en déplacement, exactement comme depuis votre canapé. La résolution du nom se fait localement, depuis la carte réseau signée du contrôleur : aucune requête DNS ne sort de la machine, personne n’apprend que vous joignez votre domotique.

Le bonus domotique : mDNS et SSDP traversent le mesh

Home Assistant découvre une bonne partie de ses intégrations tout seul, par les protocoles d’annonce du réseau local — mDNS/Bonjour et SSDP/UPnP. C’est précisément ce que les VPN purement L3 laissent tomber : la découverte s’arrête à la frontière du tunnel. VIGIL-MESH, lui, traite chaque réseau comme un domaine de diffusion : broadcast, multicast et link-local IP atteignent tous les membres comme sur un commutateur, et cette diffusion est chiffrée de bout en bout.

  • mDNS/Bonjour — les annonces des machines membres du réseau parviennent à Home Assistant, et réciproquement, comme sur un même segment.
  • SSDP/UPnP et WS-Discovery — box multimédia, téléviseurs, caméras ONVIF annoncés par un membre sont découverts par les autres.
  • TTL intact — le mesh se comporte comme un seul lien logique : un paquet mDNS émis avec TTL 255 arrive avec TTL 255, et les piles strictes l’acceptent.

L'app mobile Home Assistant : une seule URL, partout

L’application mobile officielle de Home Assistant se connecte à votre instance par l’URL du serveur. Avec le client VIGIL-MESH installé sur le téléphone (Android), l’URL interne http://nom:8123 répond depuis n’importe où : le téléphone est membre du réseau privé en permanence, donc la même adresse fonctionne à la maison comme en déplacement, sans jongler entre une URL interne et une URL externe exposée.

Mettre en place l'accès, pas à pas

  1. 1
    Créez un compte et un espace de travailGratuit pour un usage personnel : le trafic direct entre vos machines est illimité, seul le trafic relayé est soumis à un quota.
  2. 2
    Installez le client sur les machines concernéesLa machine qui sert Home Assistant d’un côté ; votre portable et votre téléphone Android de l’autre.
  3. 3
    Enrôlez chaque machineConsole → Réseaux → Machines → « Ajouter une machine » : une clé à usage unique par machine, en commande à copier ou en QR code sur Android.
  4. 4
    Vérifiez la connectivitéLa machine reçoit son adresse stable et son nom MagicDNS ; un ping du nom confirme que tout est en place.
  5. 5
    Ouvrez http://nom:8123Depuis le navigateur ou l’app mobile, joignez Home Assistant par le nom de sa machine, comme en local. Rien n’a été ouvert sur la box.

Questions fréquentes

Comment accéder à Home Assistant à distance sans ouvrir de port sur ma box ?
En le joignant à travers un réseau privé plutôt qu'en l'exposant : installez le client VIGIL-MESH sur la machine qui sert Home Assistant et sur vos appareils. Chaque machine n'établit que des connexions sortantes en 443 UDP ; aucun port entrant, aucune redirection, aucun reverse proxy. Vous ouvrez ensuite http://nom:8123 comme à la maison.
Est-ce que ça marche derrière une connexion 4G/5G ou un CGNAT ?
Oui. Le CGNAT empêche d'héberger un serveur ou d'ouvrir un port, mais il laisse sortir les connexions — et VIGIL-MESH ne fait que sortir. La connexion s'établit immédiatement via un relais aveugle, puis migre sans coupure vers le chemin direct quand la traversée NAT aboutit.
Est-ce plus sûr qu'un reverse proxy ou une redirection de port ?
Le port 8123 n'est plus exposé à Internet du tout : il n'est joignable que depuis les machines enrôlées et vérifiées de votre réseau, à travers des sessions QUIC/TLS 1.3 chiffrées de bout en bout. Il n'y a plus de service domotique à découvrir ni à scanner depuis l'extérieur, et donc plus de configuration d'exposition à maintenir sans erreur.
L'application mobile Home Assistant fonctionne-t-elle à travers le mesh ?
Oui, sur Android : avec le client VIGIL-MESH sur le téléphone, l'URL interne http://nom:8123 répond depuis n'importe où, la même à la maison et en déplacement. Il n'existe pas encore de client VIGIL-MESH pour iOS.
La découverte automatique des appareils (mDNS, SSDP) survit-elle à distance ?
Oui, entre les membres du réseau : chaque réseau VIGIL est un domaine de diffusion où mDNS, SSDP et WS-Discovery circulent comme sur un même segment, chiffrés de bout en bout. Les appareils qui ne peuvent pas exécuter le client restent découverts par le Home Assistant de leur réseau local, que vous joignez à distance.
Lire ensuiteVPN domotique : relier toute la maison connectée