Home Assistant 本地跑起来后,如何用 cpolar 在外网安全访问家庭面板?
Home Assistant 本地跑起来后,如何用 cpolar 在外网安全访问家庭面板?
家里的灯、空调、门窗传感器、温湿度计接入 Home Assistant 之后,最常见的使用方式是在同一个 Wi-Fi 下打开http://家庭服务器IP:8123。在家里用当然没问题,但人一出门,手机切到 4G/5G 或公司网络,这个地址就访问不到了。
原因很简单:Home Assistant 默认跑在家庭内网,8123端口只对局域网可见。外面的手机既不知道你家路由器后面的内网 IP,也不能直接穿过运营商 NAT 回到家里的服务。
这次演示用一个可复现的 homelab 场景演示:先在本地启动 Home Assistant,确认局域网可访问;再用 cpolar 把本地8123端口临时映射成公网 HTTPS 地址;最后用手机在外网打开家庭自动化面板,查看设备状态和自动化日志。
这个方案定位是“临时/低成本远程访问方案”,可用于演示、调试、短时间外出查看状态。安全边界会放在主线里一起讲:不要把未初始化的 Home Assistant 暴露出去,不要暴露宿主机管理面板,不要开放无鉴权接口,演示结束后及时关闭隧道。
一、目标效果和整体架构
最终效果如下:
- Home Assistant 运行在家里的电脑、迷你主机、树莓派或 NAS 上;
- 本地浏览器可以访问
http://127.0.0.1:8123或http://家庭服务器IP:8123; - cpolar 在这台机器上创建 HTTP 隧道,指向本地
8123; - cpolar 生成一个公网 HTTPS 地址;
- 手机离开家庭 Wi-Fi 后,通过这个 HTTPS 地址访问 Home Assistant 登录页;
- 登录后查看仪表盘、设备状态、日志和自动化执行记录。
整个链路可以理解为:
手机浏览器/APP ↓ HTTPS 公网地址 cpolar 公网隧道 ↓ 家庭服务器 127.0.0.1:8123 ↓ Home Assistant 面板、设备状态、自动化日志这里不需要改路由器端口转发,也不要求你有公网 IP。cpolar 负责把一个本地 HTTP 服务临时接到公网地址上。
二、准备条件
开始前准备这几项:
- 一台在家里长期通电的设备:Linux 迷你主机、树莓派、NAS、Windows/macOS 主机都可以;
- 已安装 Docker 和 Docker Compose,或者愿意用 Home Assistant 官方容器方式启动;
- 一个 cpolar 账号,并在本机安装好 cpolar 客户端;
- 手机浏览器可以访问公网 HTTPS 地址;
- Home Assistant 初始化时使用强密码账号。
如果你只是第一次验证,可以先用 Docker 跑起来。Docker 方式好处是目录清晰、删除方便,不会把系统环境弄得太乱。
示例目录使用:
mkdir -p ~/homeassistant/config cd ~/homeassistant后续 Home Assistant 的配置、数据库和日志会放在~/homeassistant/config里。
三、用 Docker 启动 Home Assistant
在~/homeassistant目录下创建docker-compose.yml:
services: homeassistant: image: ghcr.io/home-assistant/home-assistant:stable container_name: homeassistant restart: unless-stopped network_mode: host privileged: true volumes: - ./config:/config - /etc/localtime:/etc/localtime:ro启动容器:
docker compose up -d查看容器状态:
docker ps --filter name=homeassistant如果看到homeassistant容器处于Up状态,就可以打开本机浏览器访问:
http://127.0.0.1:8123
如果你是在另一台电脑或手机上访问家庭服务器,把127.0.0.1换成服务器的局域网 IP,例如:
http://192.168.1.20:8123
Home Assistant 首次启动通常需要几十秒到几分钟。页面打开后,先完成初始化:创建管理员账号、设置家庭位置、单位制和基础信息。
这里有一个重要安全点:不要在初始化完成前把 8123 暴露到公网。未初始化实例相当于把“创建管理员”的入口放到了外网,这是非常危险的。
四、先确认本地访问没问题
在创建公网隧道之前,先做本地检查。不要跳过这一步,否则后面外网打不开时,很难判断是 Home Assistant 没启动,还是隧道配置错了。
在服务器上执行:
curl -I http://127.0.0.1:8123正常情况下会返回 HTTP 响应头。即使状态码不是 200,只要能看到 Home Assistant 的响应,也说明8123端口已有服务。
再看容器日志:
docker logs --tail 80 homeassistant确认没有反复重启、数据库权限错误、配置文件解析失败等问题。
然后用家庭 Wi-Fi 下的手机访问:
http://家庭服务器IP:8123
如果手机在家庭 Wi-Fi 下可以打开并登录,说明 Home Assistant 本地服务已经准备好了。
五、外网访问前先做安全设置
Home Assistant 是家庭自动化入口,里面会接入门锁、摄像头、照明、电器、传感器和自动化脚本等能力。把它接到公网前,先把安全边界讲清楚。
至少做到下面几件事:
- 管理员账号使用强密码:不要用
admin/admin、生日、手机号后六位这类弱密码; - 先完成初始化再开隧道:不要暴露未初始化的 Home Assistant;
- 只映射 8123:不要顺手映射 NAS 管理页、路由器后台、Portainer、SSH、数据库端口;
- 不要开放无鉴权配置接口:如果你自己写了自定义 Webhook 或 API,确保有鉴权或随机长路径;
- 演示结束关闭隧道:临时访问用完就停,不要让随机地址长期在线;
- 不要把公网地址发到群里或截图公开:公网地址本身就是入口,泄露后会增加被扫描和撞库的风险。
这次演示只演示把 Home Assistant Web 面板映射出去,不涉及宿主机管理面板、NAS 文件管理、监控告警系统或其他服务。
六、安装并登录 cpolar
cpolar 客户端需要安装在运行 Home Assistant 的同一台机器上,或者至少能访问到这台机器的8123端口。
Linux / 树莓派可以使用官方安装脚本:
curl -L https://www.cpolar.com/static/downloads/install-release-cpolar.sh | sudo bashmacOS 可以通过 Homebrew 安装:
brew tap probezy/core && brew install cpolarDocker 环境也可以单独运行 cpolar 容器:
docker pull probezy/cpolar docker run -id --network host --name cpolar probezy/cpolar安装后先确认命令可用:
cpolar versioncpolar 本地 Web 管理界面默认是:
http://127.0.0.1:9200
打开后登录 cpolar 账号。也可以使用命令行写入 authtoken,具体 token 以你 cpolar 后台显示为准:
cpolar authtoken <你的_cpolar_authtoken>注意:9200是 cpolar 本地管理界面,这里不需要把它暴露到公网。我们只用它查看隧道状态。
七、用 cpolar 映射 Home Assistant 的 8123 端口
确认 Home Assistant 本地可访问后,创建 HTTP 隧道:
cpolar http 8123命令启动后,终端会输出隧道信息,其中会包含公网访问地址。你需要关注 HTTPS 地址,形式类似:
https://xxxxxx.cpolar.top
把这个 HTTPS 地址复制到手机浏览器里。如果手机已经离开家庭 Wi-Fi,仍然能打开 Home Assistant 登录页,说明外网访问链路已经打通。
如果你更习惯 Web UI,也可以打开:
http://127.0.0.1:9200
在 cpolar Web UI 中创建隧道时填写:
- 隧道名称:
homeassistant; - 协议:
http; - 本地地址:
8123; - 域名类型:域名类型选择随机域名;
- 地区:按需选择。
创建后到“在线隧道列表”查看公网地址。免费随机地址可用于临时演示和短时间使用,如果要长期固定入口,再考虑固定二级子域名或自定义域名方案。
八、手机外网访问和日志查看
手机访问 cpolar 生成的 HTTPS 地址后,先登录 Home Assistant 账号。登录成功后可以做三个验证:
第一,看仪表盘是否正常加载。比如灯、插座、温湿度、人体传感器等卡片是否能显示状态。
第二,打开“设置”里的设备与实体,确认设备状态能刷新。如果你接入了 Zigbee、蓝牙网关、米家、MQTT 或 ESPHome 设备,这一步可以验证远程访问时面板是否能正常读取当前状态。
第三,查看日志和自动化记录。Home Assistant 里可以通过日志、历史记录、自动化追踪等页面确认自动化是否执行。例如你可以临时创建一个安全的测试自动化:当某个虚拟开关打开时,写一条通知或切换一盏测试灯。
这里不要在外网演示时直接操作门锁、燃气、电热设备等高风险实体。教程验证到“状态可查看、日志可查看、低风险设备可控制”就足够了。
九、演示结束后关闭隧道
如果你是用前台命令启动的:
cpolar http 8123演示结束后,在运行该命令的终端按:
Ctrl+C
隧道就会停止。再次用公网 HTTPS 地址访问时,应无法打开 Home Assistant。
如果你是用 Web UI 创建的临时隧道,可以在 cpolar 本地管理界面中停止或删除对应隧道。
如果你使用 Docker 方式运行 cpolar 容器,并且只是临时验证,也可以停止容器:
docker stop cpolar再需要时重新启动:
docker start cpolar临时访问方案的核心原则是:需要时打开,用完关闭。这样既方便,也能减少公网暴露时间。
十、为什么不直接做路由器端口转发
很多家庭网络教程会把外网访问写成“在路由器上转发 8123 端口”。这条路并不是不能走,但它对家庭网络环境要求更高:你需要确认宽带是否有公网 IP、光猫是否桥接、路由器防火墙规则是否正确,还要处理动态公网地址变化的问题。对于只是临时在外查看状态的人来说,这一套配置成本偏高,也容易把本不该暴露的内网服务一起放出去。
cpolar 的思路更可用于这个场景:不改路由器,不依赖公网 IP,只把 Home Assistant 的 Web 端口临时接到一个 HTTPS 地址上。它不是替代所有远程访问方案的“万能钥匙”,但用来做短时间演示、出门查看设备状态、排查自动化执行记录,足够直接。
如果后续要长期使用,可以再把临时随机地址升级为固定入口,并把访问控制、账号安全、备份和更新策略一起补上。不要在还没想清楚安全策略之前,就把家庭自动化中枢长期裸露在公网。
十一、常见问题排查
1. 本地能访问,外网打不开
先检查 cpolar 隧道是否在线。打开:
http://127.0.0.1:9200
查看在线隧道列表里是否有8123对应的 HTTP 隧道。再确认手机访问的是 HTTPS 公网地址,而不是本地192.168.x.x地址。
2. cpolar 显示在线,但页面报错
在服务器上重新确认 Home Assistant:
curl -I http://127.0.0.1:8123 docker ps --filter name=homeassistant docker logs --tail 80 homeassistant如果本地8123都没有响应,先修 Home Assistant;如果本地正常,再检查 cpolar 隧道配置的本地端口是否填成了8123。
3. 手机能打开登录页,但登录后不稳定
先确认家庭服务器网络是否稳定,Home Assistant 容器是否重启。可以查看容器启动时间:
docker ps --filter name=homeassistant --format "{{.Names}} {{.Status}}"如果容器正常,再检查手机网络和公网地址是否发生变化。免费随机地址可用于短时使用,地址变化后需要重新复制最新地址。
4. 能不能长期放在公网?
可以做,但不要把“随机地址 + 弱密码 + 长期开着”当成长期方案。长期使用至少要做到强密码、最小暴露面、固定入口、定期更新 Home Assistant、关闭不必要的加载项和接口;更严格的场景还应结合反向代理、访问控制、专线或零信任访问方案。
这条主线是临时/低成本访问:人在外面想看一下家里设备状态、确认自动化日志、演示家庭面板。这个场景里,cpolar 的优势是配置快,不依赖公网 IP,也不需要改路由器。
总结
Home Assistant 跑在家里之后,局域网访问很自然,但外网访问需要一条安全、可控的入口。这里用 Docker 启动 Home Assistant,并通过 cpolar 将本地8123端口映射为公网 HTTPS 地址,让手机在外也能查看家庭自动化面板、设备状态和自动化日志。
真正要记住的不是某一条命令,而是这条顺序:先本地启动,确认8123可访问;再完成 Home Assistant 初始化和账号安全设置;然后用cpolar http 8123创建临时 HTTPS 隧道;手机外网验证;演示结束关闭隧道。
这样做既能解决“人在外面看不到家里状态”的问题,也不会把家庭内网里的其他管理服务一起暴露出去。对于 homelab 和智能家居玩家来说,这是一个足够轻量、落地成本低、边界也比较清楚的远程访问方案。