docs: уточнение про docker subnet в trusted_proxies

При reverse-proxy через nginx на 127.0.0.1:8123 source IP внутри
контейнера — это gateway docker-сети (172.x.0.1), а не 127.0.0.1.
Без 172.16.0.0/12 в trusted_proxies HA возвращает 400.
This commit is contained in:
striker
2026-05-08 04:42:16 +03:00
parent 19e0d4b1b1
commit 71ca5de2e9

View File

@@ -38,14 +38,18 @@ DNS-01 через Technitium API (см. memory `feedback_acme_technitium_dns01.m
Файлы: `/etc/letsencrypt/live/ha.striker.su/fullchain.pem` + `privkey.pem`.
## HA конфиг
После первого запуска в `config/configuration.yaml` добавить:
После первого запуска в `config/configuration.yaml` обязательно добавить:
```yaml
http:
use_x_forwarded_for: true
trusted_proxies:
- 127.0.0.1
- ::1
- 172.16.0.0/12 # docker bridge — nginx изнутри контейнера виден как 172.x.0.1
```
Иначе HA отвергнет соединения от nginx как "untrusted proxy".
⚠️ `127.0.0.1` **недостаточно**: nginx идёт на `127.0.0.1:8123` хоста, Docker NAT'ит трафик, и внутри контейнера source IP — это IP gateway docker-сети (`172.20.0.1` или подобный). Без `172.16.0.0/12` HA отвергает запросы как "untrusted proxy" → 400.
После правок: `docker restart home-assistant`.
## Доступы
- UI: https://ha.striker.su (онбординг при первом входе — создаёт admin)