Cos’è e come funziona il controllo remoto nella domotica personale

mining-radio-remote

FOCUS

Indiana Jones di Sacro Graal ne cercò uno solo: noi appassionati di domotica, invece, ne cerchiamo ben due, automazione e controllo remoto. In questa occasione ci concentreremo sul secondo, il controllo remoto, uno degli aspetti che, abbinato appunto all’automazione, svela il vero valore della domotica moderna.

Luogo comune diffuso è infatti che, quando si parla di domotica, lo si faccia in merito alla sola possibilità di controllare manualmente – e in loco – i vari dispositivi domotici presenti nell’ambiente domestico. Vero ma incompleto: il valore principale sta altrove.

Per controllo remoto si intende la capacità di controllare l’ambito domotico fuori dalla propria rete Wi-Fi/LAN, ovvero (va da sé) quando non ci si trova fisicamente nel sito, ovvero casa propria. Sensori, attuatori, dispositivi: qualsiasi componente domotico è certamente molto utile se armonizzato nella propria domotica, ma lo è ancor di più laddove lo possa controllare “da lontano”, magari automaticamente.

Quando eravamo ragazzi i nostri genitori ci regalavano lunghi periodi di vacanza lontani da casa, tipicamente dai nonni, i quali abitavano a centinaia di km da casa. Nostra madre viveva quei lunghi periodi lontana da causa con una certa apprensione, ansia: “e se si rompe un tubo?“, “e se entrano i ladri?“, “avrò chiuso il gas?“. E così via, a lungo, ogni volta, ogni vacanza.

Una domotica con controllo remoto l’avrebbe certamente aiutata – e avrebbe aiutato noi a vivere più serenamente. Di certo, oggi è tutto più semplice ed economicamente sostenibile e fattibile. Controllo remoto significa potersi collegare ai propri dispositivi come essendo fisicamente presenti, utilizzando la rete Internet come canale per raggiungere “il cervello” della nostra abitazione.

Gli scenari cambiano in base agli strumenti di gestione finale che ci siamo dati e dalla politica di integrazione e armonizzazione che abbiamo implementato per la nostra domotica personale. Vedremo due casi tipici, descrivendoli per sommi capi. Se certi concetti non suonassero familiari, niente paura: approfondiremo, con focus specifici, più avanti.

Android e ambienti misti

Google Android LogoSe seguo questo sito, se ne condivido la posizione intransigente rispetto a una domotica integrata e armonica (ovvero con un unico “collettore logico” dentro il quale far vivere e convivere tutte le varie componenti, indipendetemente dal produttore e dalle tecnologie) e se posseggo un ecosistema di sistemi di gestione finale eterogeneo fatto di dispositivi Android (ma anche Apple e Windows), allora certamente avrò implementato Home Assistant (oppure, in alternativa, openHAB o Domoticz).

Se questo è lo scenario e la necessità è quella di controllare remotamente la domotica (per esempio, volendo accendere manualmente il climatizzatore quando si esca dal lavoro, così da trovare una temperatura gradevole quando si arrivi), allora le strade sono due, e piuttosto tradizionali: il “port forwarding” oppure una “VPN“.
C’è anche una terza strada, ma arriviamoci per gradi.

Innanzitutto: qual è l’indirizzo di casa mia?
I fornitori di connessione cambiano di frequente l’IP pubblico assegnato al nostro router, nasce così la necessità di implementare il servizio DDNS, ovvero una tecnica per il quale si possa assegnare automaticamente l’IP (variabile) del router a un nome (eg. casamia.duckdns.org).

Assunto quale sia l’indirizzo, ora bisogna collegarcisi. Per rendere possibile ciò, esistono più approcci.

Il “port forwarding” è una tecnica per la quale è possibile indicare al modem/router domestico (il quale contemporaneamente gestisce la rete interna, domestica, e il traffico da e verso l’esterno, ovvero Internet) quali richieste effettuate dall’estrerno vadano girate all’interno e verso chi, specificamente (per “chi” si intende “quale dispositivo interno, e su quale porta”).

Home Assistant icon

Nello scenario in cui si sia implementato Home Assistant, basterà dunque configurare il port forwarding verso l’host che lo ospita (Raspberry?) e una sua specifica porta (nel caso di Home Assistant, la 8123), dopodiché configurando l’app mobile di Home Assistant verso l’indirizzo di casa (e relativa porta) potrò finalmente controllare il mio HUB personale.

VPN” invece sta per Virtual Private Network: tramite questa tecnica possiamo collegarci direttamente alla rete locale del nostro ambiente come se fossimo a tutti gli effetti un host di quella rete, come fossimo fisicamente interconnessi. Per ottenere questo risultato bisogna necessariamente esser dotati di un modem/router che supporti questo servizio oppure configurare un host (sempre lo stesso che ospita Home Assistant?) al fine di dotarcene.

“Port forwarding” e “VPN” per il controllo della domotica presentano pro e contro.

“Port fowarding” è molto semplice da realizzare. Di contro, espone l’HUB e la rete domestica ad attacchi esterni, malevoli, i quali potrebbero permettere all’attaccante pieno controllo della nostra domotica e non solo. Questo potrebbe esser mitigato dall’uso di crittografia (SSL) e di una configurazione sicura di Home Assistant, ma resta la possibilità (limitata, ma esistente) che un eventuale bug del software ci lasci a tiro di un potenziale (seppur limitato) pericolo. “Aprire una porta” sul modem/router è sempre un’opzione potenzialmente pericolosa: è come abitare al primo piano e lasciare perennemente una finestra (o meglio, una porta) aperta.

La “VPN” è più sicura: ci permette, tramite tecniche di crittografia e di tunnelling di accedere privatamente all’interezza della nostra rete. È un sistema considerato sicuro, specialmente se erogato direttamente dal modem/router. In assenza sarebbe necessario configurare l’HUB come server VPN, il che imporrebbe una configurazione di di “port forwarding” (su porte specifiche, diverse da quelle che si aprirebbero per raggiungere Home Assistant come da primo scenario) per usufruire del servizio.
La VPN è sì più sicura, ma anche più complessa: una volta pronta, per collegarsi alla rete domestica è necessario configurare il dispositivo (computer, iPhone, Android, quel che è) a collegarsi prima alla VPN, sfruttando la connessione Internet. A quel punto, una volta presentatisi alla rete domestica, si controllerebbe la domotica esattamente come ci si trovasse a casa.

In questi due scenari eventuali automatismi preconfigurati legati alla posizione GPS (eg. “quando esco da lavoro, accendi automaticamente il climatizzatore“) funzionerebbero solo utilizzando il “port forwarding”, perché in quello scenario l’applicazione mobile Home Assistant è sempre in grado di parlare con la domotica domestica in quanto collegata con essa tramite Internet in modo convenzionale; tramite VPN, invece, la domotica è raggiungibile solo quando ci si collega esplicitamente tramite VPN.

In pratica, sin qui: per la massima flessibilità possibile, si utilizzi “port forwarding”; per la massima sicurezza possibile, la “VPN”.

Esiste, come accennavamo, un terzo scenario, il quale introduce i benefici di una sicurezza più stretta e i vantaggi di una connessione diretta verso il nostro HUB basato su Home Assistant.
L’utilizzo combinato di tecniche miste (che affronteremo più avanti in un focus tecnico specifico) permettono, tramite l’uso di servizi come Let’s Encrypt e DuckDNS di dotarci di una crittografia e di un sistema tale che ci permetta sì di raggiungere in modo sicuro la nostra installazione Home Assistant, e senza aprire porte sul router.

Per quanto riguarda Home Assistant, abbiamo dedicato una dettagliata guida per remotizzarlo in sicurezza.

Mondo Apple

Apple LogoCome al solito, quando si parla di ambiti 100% Apple le cose cambiano. Lo scenario prima descritto è infatti valido per un ambito misto, con Android da solo oppure circondato da dispositivi Apple, Windows e chi più ne ha più ne metta.

Se si dispone di soli strumenti di gestione Apple, quasi certamente sarà stato implementato un HUB personale basato su Homebridge (magari affiancandolo a componenti domotiche nativamente compatibili Apple HomeKit). Bene: le funzionalità di controllo remoto sono già disponibili nella loro interezza (senza eccezione legate al GPS o altro) tramite l’app Apple “Casa”. L’unica cosa di cui si ha bisogno è un dispositivo (a scelta tra iPad e Apple TV) da lasciare perennemente a casa il quale faccia fa “ponte”: tutte le comunicazioni da e verso la domotica transiteranno direttamente dalla rete domestica al cloud di Apple, ovvero iCloud, e da lì da e verso i dispositivi di gestione finale che ci portiamo dietro, tipicamente iPhone e iMac (dalla versione di macOS Mojave in su). Il tutto in modo “sicuro”, inteso come “crittografato”.

Si tratta di un sistema molto pratico, perché solleva completamente l’utente rispetto a tutte le tematiche di configurazione e di sicurezza che abbiamo accennato sopra. Non è necessario configurare certificati SSL, DDSN, port forwarding, VPN: nulla di tutto questo. Di contro, è necessario avere sempre in casa il dispositivo “ponte” che ci garantisca la raggiungibilità, tramite iCloud, della propria domotica.

Homebridge Icon

L’unico rischio potenziale in termini di sicurezza (quando parliamo di rischi di questo tipo parliamo sempre di potenzialità, più o meno ampia in base alle scelte più o meno oculate che facciamo) sta nel cloud Apple: se l’utenza tramite la quale ci si autentica a tale ambiente è debole (una password troppo semplice, oppure un’autenticazione a due fattori non attivata), allora un malintenzionato potrebbe fingersi il legittimo proprietario ed entrare sul suo cloud, con evidenti ricadute non solo sulla sicurezza della domotica ma su quanto si pubblica, quotidianamente, sul cloud. Il secondo rischio potenziale di sicurezza sta nel cloud stesso di Apple: qualora venisse “bucato” da dei malintenzionati varrebbe quanto sopra descritto. La reputazione di chi ci offre certi servizi è importante, ma spesso non è la sola cosa che conta.
Questo, eventualmente, apre il dibattiti su un discorso molto più ambio legato alla sicurezza dei sistemi che utilizziamo ogni giorno.

In caso non si possegga un dispositivo Apple da lasciare a casa per ottenere la funzionalità di “ponte”, ritorna la possibilità di implementare una “VPN” (come sopra”). In questo caso si dia l’addio alle automazioni, le quali “vivono”, nel modo Apple, nell’app “Casa”, la quale dev’essere perennemente connessa alla rete domestica.

NESSUN HUB PERSONALE

Se si decide di non introdurre un HUB personale nella propria domotica, bisogna fondamentalmente arrangiarsi. Come abbondantemente spiegato nella guida ai sistemi di gestione finale, di base un po’ tutti i produttori di componenti presentano almeno un’applicazone mobile (per Android e iOS) tale da configurare e controllare i propri dispositivi. Molti offrono anche un servizio cloud (per esempio la ITEAD, produttrice della nostra amata linea Sonoff Smart Home) tale da controllare remotamente i suoi dispositivi. Questo taglia un po’ la testa al toro: se voglio controllare un dispositivo, apro la sua app e il gioco è fatto.

I contro, però, sono svariati, e seri:

  • tante applicazioni, tante registrazioni e password su diversi portali, tante interfacce da ricordare;
  • in assenza di connessione a Internet i dispositivi non funzionano, neanche se sei fisicamente a casa (vedi i Sonoff Smart Home non modificati);
  • all’aumentare delle iscrizioni sui vari cloud dei produttori, aumenta drammaticamente la possibilità di verdersi “bucare” il proprio account o il cloud a cui ci si affida (in un puro atto di fede) – e quindi vedersi controllare da terzi la propria domotica, per non dire altro;
  • non si possono definire automatismi complessi tra componenti domotici di produttori diversi.
CONCLUDENDO

Alla fine della fiera, l’user experience migliore ad oggi la vivono gli utenti Apple, perché gli è sufficiente il proprio account iCloud per coordinare il tutto. Ciò detto, anche da utenti di “ambienti misti” si possono ottenere risultati adeguati, fatta salva l’implementazione di un HUB personale e poi della scelta, ben ponderata e implementata, tra “port forwarding” e “VPN”. Se gli automatismi legati al GPS non interessano, è consigliabile una “VPN”, mentre alternativamente rimane l’implementazione di un “port forwarding”.

Per la massima sicurezza e il massimo grado di flessibilità, laddove si implementi Home Assistant, consigliamo in conclusione l’approccio “Let’s Encrypt + DuckDNS” in luogo di “port forwarding” e “VPN”, approccio sul quale, come promesso, realizzeremo un focus ad hoc appena possibile.


Dubbi? Perplessità? Fai un salto sul FORUM o sulla CHAT @DISCORD!
Questa pagina è coperta dalla licenza Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License il che significa che puoi liberamente condividerlo, senza modificarlo, citando il link della fonte.