Преглед на отдалечения достъп#

Тази документация има за цел да ви даде задълбочено въведение в темата за отдалечен достъп, включително помощник за вземане на решение защо да изберете определен метод. Ако сте запознати с тази тема, може би ще искате да преминете директно към Сравняване на методите за (отдалечен) достъп.

Какво? Защо?#

Искате да имате достъп до вашия NextBox отвсякъде, което означава, че искате да имате достъп до вашия NextBox от интернет чрез вашия интернет рутер.

Освен това искате да сте сигурни, че вашите данни (трафик) не могат да бъдат прочетени от никой друг, въпреки вас. В днешно време това се постига с помощта на HTTPS, който се управлява от TLS.

padlock-tls

Точно до URL адреса (nitrokey.com) виждате този малък катинар, който означава: Този уебсайт осигурява криптирана връзка и целият ви трафик не може да бъде прочетен от никого между вашия браузър (клиент) и сървъра на Nitrokey.

След като вашият NextBox е настроен правилно и видите таблото за управление за първи път, лентата с URL адреси в браузъра ви може да изглежда по следния начин:

без блокировка

В този случай е използван локалният IP адрес (192.168.10.50), който е специфичен за вашата локална мрежа и е равен на nextbox.local. Знакът not secure (не е сигурно)* и предупредителният знак пренасят информацията, че връзката ви не е криптирана, като по този начин използвате http вместо https. За повече информация можете да прочетете: HTTP срещу HTTPS.

Очевидно е, че достъпът до NextBox трябва да бъде защитен, следователно криптиран с помощта на https. Това ръководство обхваща различните подходи за постигане на тази цел, в зависимост от конкретните ви нужди.

Използване на Nitrokey Backwards Proxy#

Този метод е далеч най-лесният за настройка и използване, за да получите криптиран до вашия NextBox отвсякъде, единственото, което трябва да направите, е да отидете на Дистанционен достъп и Заден прокси в NextBox-App, да въведете поддомейн, който искате да използвате, и да кликнете върху Активирайте бърз дистанционен достъп. Отсега нататък можете да получите достъп до вашия NextBox, като използвате URL адрес като този:

прокси

Катинарът е там - вашите данни (ако използвате [subdomain].nextbox.link URL) вече са криптирани!

Дотук добре, но чакайте, това работи, но има два основни недостатъка: Производителност и верижно криптиране от край до край.

Изпълнение#

Обратното прокси работи по следния начин: Вашият NextBox се свързва със сървъра Nitrokey Proxy и отваря (обратен) канал. Така че, въпреки че Вашият NextBox може би стои точно до Вашия компютър, трафикът преминава през целия път от Вашия компютър към интернет, към сървъра Nitrokey и обратно към Вашия NextBox.

Опростено може да се каже, че целият трафик трябва да измине дълъг път към NextBox, вместо да се свързва директно с NextBox. Това по същество е недостатък на всички проксита. Ефектът за вас като потребител е, че прехвърлянето на данни ще бъде по-бавно, отколкото при директна връзка.

Верижно криптиране от край до край#

Друг недостатък е, че трафикът ви не е напълно криптиран от край до край. За да сме наясно: данните ви все още са криптирани, но само по пътя от вашия клиент (браузър) до сървъра на Nitrokey, където данните ще бъдат декриптирани и отново криптирани, за да бъдат изпратени до NextBox.

По същество това означава, че трябва да се доверите на Nitrokey, защото технически, който и да контролира този сървър, може да прочете трафика, който преминава през него с помощта на това прокси. Nitrokey никога не би направил такова нещо, но съществува известен риск някой да компрометира този сървър и да прочете трафика ви.

Очевидно е, че това може да се направи по по-добър начин, но все пак това може да е достатъчно в зависимост от личния ви сценарий на използване.

Придобиване на собствен сертификат#

Това очевидно е най-добрият и най-сигурен метод за отдалечен достъп до вашия NextBox, тъй като ще ви осигури най-добрата производителност и истинско криптиране от край до край, но е свързан с някои допълнителни нужди за конфигуриране. Започваме първо с много бързо въведение какво означава криптиране със собствен сертификат и какво е необходимо.

Органът за издаване на удостоверения#

CA, както подсказва името, е някой, който може да ви предостави цифров сертификат, който ще ви позволи да използвате TLS, като по този начин криптира трафика ви и ви позволява да използвате https.

По дефиниция CA има право да издаде сертификат, само ако може да провери, че сте собственик на публичен интернет (под)домейн. Това притежание е много важно свойство, тъй като въпреки криптирането, то допълнително позволява на клиента (браузъра) да провери дали трафикът, който се изпраща от даден уебсайт, наистина произхожда от този (под)домейн и дали някой посредник не е инжектирал някакви данни, които биха могли да компрометират вашия клиент.

При това положение очевидно не е възможно да се придобие сертификат за nextbox.local или дори за местен IP адрес, тъй като те не са нито публични, нито уникални.

Придобиване на публичен (под)домейн за вашия NextBox#

NextBox се предлага с функция (Настройка на динамичен DNS), която ви позволява лесно да регистрирате публичен поддомейн за вашия NextBox, като използвате така наречения динамичен DNS доставчик, а именно deSEC. Тази конкретна услуга е напълно безплатна и е на организация с нестопанска цел.

Това е много важна стъпка преди придобиването на сертификат, тъй като този поддомейн, регистриран чрез deSEC, ще бъде публичен и уникален, които, както научихме, са необходими за придобиване на сертификат.

Стъпка по стъпка DNS & TLS#

Това може да звучи сложно, но NextBox е снабден с всичко необходимо, за да преминете през този процес:

  1. Навигирайте до Nextcloud NextBox-App

  2. Кликнете върху „Отдалечен достъп“ -> „Guided Dynamic DNS“.

  3. Въведете валиден имейл адрес, до който имате достъп, в първото поле за въвеждане

  4. Въведете пълния поддомейн, чрез който ще бъде достъпен вашият NextBox. Тъй като тук се използва deSEC, вашият поддомейн винаги трябва да завършва с dedyn.io, така че нещо подобно: mynextbox.dedyn.io

  5. Щракнете върху „Регистрирайте в deSEC“ и NextBox ще се опита да регистрира вашия домейн и електронна поща в deSEC. Това може да се окаже неуспешно, ако избраният от вас поддомейн е вече зает, моля, изберете друг в този случай.

  6. Ще получите имейл, в който трябва да потвърдите, че това е вашият имейл, като кликнете върху предоставената връзка.

  7. Във втората стъпка ще трябва да въведете токен, който сте получили, след като сте кликнали върху връзката за проверка и сте попълнили captcha.

Сега вече сте собственик на свой собствен поддомейн. Сега можете да се опитате да посетите този поддомейн, но ще видите, че той (в най-добрия случай) ще попадне само на вашия интернет рутер. Това е така, защото вашият маршрутизатор е вашата врата към интернет и той трябва да бъде уведомен, че искате определен трафик да бъде пренасочен към вашия NextBox. Моля, настройте Пренасочване на портове & Конфигурация на защитна стена на вашия интернет рутер сега, след като това бъде направено, посещението на вашия регистриран поддомейн в браузъра ще ви покаже вашата NextBox‘ Nextcloud инстанция.

Оттук нататък остава само една стъпка:

  1. Навигирайте до Nextcloud NextBox-App

  2. Кликнете върху „HTTPS / TLS“

  3. Щракнете върху бутона „Enable TLS“

  4. Моля, изчакайте малко, за да получите сертификата си.

Малко след това ще бъдете автоматично пренасочени към Вашия вече криптиран поддомейн на NextBox, който може да изглежда по следния начин:

dns-url

Ето го и вашият собствен поддомейн, сертификат и напълно криптиран от край до край Nextcloud.

Ако срещнете проблеми, моля, прочетете другите статии в Remote Access Section.