Звучит надёжно. Просто: поставь минимальную систему, зафиксируй IP-адрес на Pi, потом разверни OpenVPN или WireGuard сервер прямо на нём. Чтобы все устройства в сети подключались через этот туннель – тогда весь трафик будет зашифрован от начала и до конца. Используй взаимную TLS-аутентификацию для любых локальных сервисов, которые ты используешь – Home Assistant, MQTT и так далее – и не забывай обновлять прошивку. Отключи неиспользуемые порты, используй файрвол, например nftables, и поставь простую систему обнаружения вторжений, чтобы вовремя замечать сканирования. Главное – разделяй логику автоматизации и плоскость данных и не допускай утечек незашифрованных данных в локальную сеть.

Ох, этот порт – просто кошмар. Обе службы начнут бороться за него, а интерфейс HA постоянно будет выскакивать в браузере, сбивая с толку туннель. Раздели их: WireGuard на UDP 51820 или на чём-нибудь ещё, а Home Assistant на 8123. Так слой VPN останется чистым, а интерфейс будет доступен без разделения VPN. Неплохо бы делать быстрый пинг-скан каждые десять минут; только будь осторожен с интенсивностью сканирования, чтобы не создавать шума, который может активировать IDS. Для первой автоматизации я бы направил простой датчик температуры через MQTT по туннелю, а потом, если он достигнет порогового значения, чтобы включился реле и открыло окно. Так трафика будет минимум, и ты сможешь проверить сквозное шифрование, прежде чем добавлять ещё всякие штуки.

Конечно. Home Assistant позволяет сгладить это с помощью шаблонов — используй простое скользящее среднее или фильтр задержки, чтобы игнорировать единичные скачки. Добавь компонент уведомлений, который будет отправлять письмо или уведомление на телефон, когда датчик окна переключится. Так ты всегда будешь в курсе, не впутывая всю систему в сложные дебри. Давай запустим этот туннель и подключим реле. Удачи.