Průvodce vzdáleným přístupem#

Cílem této dokumentace je poskytnout vám důkladný úvod do tématu Vzdálený přístup, včetně pomocníka při rozhodování proč zvolit určitou metodu. Pokud jste s tímto tématem obeznámeni, možná budete chtít přejít přímo na Porovnání metod (vzdáleného) přístupu.

Cože? Proč?#

Chcete mít přístup ke svému NextBoxu odkudkoli, to znamená, že chcete mít přístup k NextBoxu z internetu prostřednictvím internetového směrovače.

Kromě toho chcete zajistit, aby vaše data (provoz) nemohl číst nikdo jiný. Toho se dnes dosahuje pomocí HTTPS, který je řízen TLS.

padlock-tls

Hned vedle adresy URL (nitrokey.com) se nachází malý visací zámek, který znamená: Tento web poskytuje šifrované spojení a veškerý váš provoz mezi vaším prohlížečem (klientem) a serverem Nitrokey není nikým čitelný.

Jakmile je NextBox správně nastaven a vy poprvé uvidíte ovládací panel, může váš řádek URL v prohlížeči vypadat takto:

bez blokování

V tomto případě byla použita místní IP adresa (192.168.10.50), která je specifická pro vaši místní síť a rovná se nextbox.local. Znak not secure a varování přenáší informaci, že vaše spojení není šifrované, a proto se místo https používá http. Více informací naleznete v následujícím textu: HTTP vs. HTTPS.

Přístup do NextBoxu by měl být samozřejmě zabezpečený, tedy šifrovaný pomocí https. Tato příručka se zabývá různými přístupy k dosažení tohoto cíle v závislosti na vašich konkrétních potřebách.

Použití zpětného proxy serveru Nitrokey#

Tato metoda je zdaleka nejjednodušší na nastavení a použití pro získání šifrovaného přístupu do vašeho NextBoxu odkudkoli.Jediné, co musíte udělat, je přejít do Dálkový přístup a Zpětný proxy server uvnitř NextBox-App, vložit subdoménu, kterou chcete použít, a kliknout na Povolit rychlý vzdálený přístup. Od této chvíle můžete přistupovat k NextBoxu pomocí adresy URL, jako je tato:

proxy

Visací zámek je na místě - vaše data (pokud používáte [subdomain].nextbox.link URL) jsou nyní zašifrována!

Zatím je to dobré, ale počkejte, funguje to, ale má to dvě zásadní nevýhody: Výkon a řetězové šifrování od konce ke konci.

Výkon#

Zpětný proxy server funguje takto: Váš NextBox se připojí k serveru Nitrokey Proxy a otevře (zpětný) kanál. Takže přestože váš NextBox možná stojí hned vedle vašeho počítače, provoz prochází z vašeho počítače do internetu, na server Nitrokey a zpět do vašeho NextBoxu.

Zjednodušeně by se dalo říci, že veškerý provoz musí urazit dlouhou cestu směrem k NextBoxu, namísto toho, aby se s NextBoxem spojil přímo. To je v podstatě nevýhoda všech proxy serverů. Pro vás jako uživatele to má za následek, že přenosy dat budou pomalejší než při přímém připojení.

Řetězové šifrování od konce ke konci#

Další nevýhodou je, že váš provoz není plně šifrován end-to-end. Aby bylo jasno: Vaše data jsou stále šifrována, ale pouze na cestě od vašeho klienta (prohlížeče) k serveru Nitrokey, kde budou data dešifrována a znovu zašifrována, aby mohla být odeslána do NextBoxu.

V podstatě to znamená, že musíte důvěřovat serveru Nitrokey, protože technicky vzato může ten, kdo tento server ovládá, číst provoz, který přes něj prochází pomocí tohoto proxy serveru. Společnost Nitrokey by nic takového nikdy neudělala, ale stále existuje určité riziko, že by někdo mohl tento server kompromitovat a číst váš provoz.

Samozřejmě to lze udělat lépe, ale i tak to může stačit v závislosti na vašem osobním scénáři používání.

Získejte vlastní certifikát#

Jedná se jednoznačně o nejlepší a nejbezpečnější metodu vzdáleného přístupu k vašemu NextBoxu, protože vám poskytne nejlepší výkon a skutečné end-to-end šifrování, ale vyžaduje další konfiguraci. Začneme nejprve velmi stručným úvodem, co šifrování s vlastním certifikátem znamená a co je k němu potřeba.

Certifikační autorita#

CA, jak název napovídá, je někdo, kdo vám může poskytnout digitální certifikát, který vám umožní používat TLS, tedy šifrovat váš provoz, což vám umožní používat https.

Podle definice může CA vydat certifikát pouze tehdy, pokud může ověřit, že jste vlastníkem veřejné internetové (sub)domény. Toto vlastnictví je velmi důležitá vlastnost, protože to i přes šifrování navíc umožňuje klientovi (prohlížeči) ověřit, že provoz, který je odesílán určitou webovou stránkou, skutečně pochází z této (sub)domény a že do něj nebyl man-in-the-middle vložen nějaký údaj, který by mohl ohrozit vašeho klienta.

Je tedy zřejmé, že není možné získat certifikát pro nextbox.local nebo dokonce pro místní IP adresu, protože tyto adresy nejsou ani veřejné, ani jedinečné.

Získání veřejné (sub)domény pro váš NextBox#

NextBox je vybaven funkcí (Nastavení dynamického DNS), která vám umožňuje snadno zaregistrovat veřejnou subdoménu pro váš NextBox pomocí takzvaného dynamického poskytovatele DNS, zde konkrétně deSEC. Tato konkrétní služba je zcela zdarma a jedná se o neziskovou organizaci.

Jedná se o velmi důležitý krok před získáním certifikátu, protože tato subdoména registrovaná prostřednictvím deSEC bude veřejná a jedinečná, což, jak jsme se dozvěděli, je nutné pro získání certifikátu.

Krok za krokem DNS & TLS#

Může to znít složitě, ale NextBox je vybaven vším, co k tomuto procesu potřebujete:

  1. Přejděte do aplikace Nextcloud NextBox-App

  2. Klikněte na „Vzdálený přístup“ -> „Řízený dynamický DNS“.

  3. Do prvního vstupního pole vložte platnou e-mailovou adresu, ke které máte přístup.

  4. Vložte celou subdoménu, přes kterou bude váš NextBox dostupný. Protože se zde používá deSEC, musí vaše subdoména vždy končit dedyn.io, takže něco jako: mynextbox.dedyn.io`

  5. Klikněte na „Registrovat u deSEC“ a NextBox se pokusí zaregistrovat vaši doménu a e-mail na deSEC. To se může nepodařit, pokud je vámi zvolená subdoména již obsazena, zvolte v tomto případě jinou.

  6. Obdržíte e-mail, ve kterém byste měli kliknutím na uvedený odkaz ověřit, že se jedná o váš e-mail.

  7. Ve druhém kroku musíte zadat token, který jste obdrželi po kliknutí na ověřovací odkaz a vyplnění captcha.

Nyní jste vlastníkem vlastní subdomény. Tuto subdoménu můžete nyní zkusit navštívit, ale uvidíte, že skončí (v lepším případě) pouze na vašem internetovém routeru. Je to proto, že váš směrovač je vašimi dveřmi do internetu a musí být informován o tom, že chcete, aby byl konkrétní provoz přesměrován do vašeho NextBoxu. Nastavte prosím nyní na svém internetovém směrovači Přesměrování portů & Konfigurace brány firewall, jakmile to uděláte, při návštěvě vaší registrované subdomény v prohlížeči se vám zobrazí vaše instance NextBox‘ Nextcloud.

Odtud už zbývá jen jeden krok:

  1. Přejděte do aplikace Nextcloud NextBox-App

  2. Klikněte na „HTTPS / TLS“

  3. Klikněte na tlačítko „Povolit TLS“

  4. Počkejte prosím chvíli, než získáte svůj certifikát

Krátce poté budete automaticky přesměrováni na svou nyní zašifrovanou subdoménu NextBox, která může vypadat podobně:

dns-url

A je to tady, vaše vlastní subdoména, certifikát a plně end-to-end šifrovaný Nextcloud.

Pokud narazíte na problémy, přečtěte si další články uvnitř Remote Access Section.