Gennemgang af fjernadgang

Denne dokumentation har til formål at give dig en grundig introduktion til emnet fjernadgang, herunder en beslutningshjælper hvorfor du skal vælge en bestemt metode. Hvis du er bekendt med dette emne, kan du måske springe direkte til Sammenligning af metoder til (fjern)adgang.

Hvad? Hvorfor?

Du ønsker at få adgang til din NextBox fra alle steder, det betyder at du ønsker at få adgang til din NextBox fra internettet via din internetrouter.

Desuden skal du sikre dig, at dine data (trafik) ikke kan læses af andre end dig. I dag opnås dette ved at bruge HTTPS, som er drevet af TLS.

padlock-tls

Lige ved siden af URL’en (nitrokey.com) ser du denne lille hængelås, som betyder: Dette websted tilbyder en krypteret forbindelse, og al din trafik kan ikke læses af nogen mellem din browser (klient) og Nitrokey-serveren.

Når din NextBox er sat korrekt op, og du ser instrumentbrættet første gang, kan din URL-linje i din browser se således ud:

no-padlock

I dette tilfælde er den lokale IP blevet anvendt (192.168.10.50), som er specifik for dit lokale netværk og er lig med nextbox.local. not secure og advarselstegnet transporterer oplysninger om, at din forbindelse ikke er krypteret, og at du derfor bruger http i stedet for https. Du kan læse mere om det: HTTP vs. HTTPS.

Det er klart, at adgangen til NextBox skal være sikker, og derfor skal den krypteres ved hjælp af https. Denne vejledning dækker de forskellige tilgange til at nå dette mål, afhængigt af dine specifikke behov.

Brug Nitrokey Backwards Proxy

Denne metode er langt den nemmeste at sætte op og bruge til at få en krypteret adgang til din NextBox fra alle steder, det eneste du skal gøre er at gå til Remote Access og Backwards Proxy inde i NextBox-App’en, indsæt et subdomæne du vil bruge og klik på Enable Quickstart Remote Access. Fra nu af kan du få adgang til din NextBox ved hjælp af en URL som denne:

proxy

Hængelåsen er der—dine data (hvis du bruger din [subdomain].nextbox.link URL) er nu krypteret!

Så langt så godt, men vent, det virker, men har to store ulemper: Ydelsen og en kæde af end-to-end-kryptering.

Ydelse

Den bagudrettede proxy fungerer på følgende måde: Din NextBox opretter forbindelse til Nitrokey Proxy-serveren og åbner en (bagudrettet) kanal. Så selv om din NextBox måske står lige ved siden af din computer, går trafikken hele vejen fra din computer, ind på internettet, til Nitrokey-serveren og hele vejen tilbage til din NextBox.

Forenklet kan man sige, at al trafik skal rejse langt hen til NextBox i stedet for at tale direkte til NextBox. Dette er i det væsentlige en ulempe ved alle proxyer. Virkningen for dig som bruger er, at dataoverførsler vil være langsommere, end en direkte forbindelse.

Kædet end-to-end-kryptering

En anden ulempe er, at din trafik ikke er fuldstændig end-to-end-krypteret. For at være helt klar: Dine data er stadig krypteret, men kun på vejen fra din klient (browser) til Nitrokey-serveren, hvor dataene bliver dekrypteret og krypteret igen for at blive sendt til NextBox.

Det betyder i bund og grund, at du er nødt til at stole på Nitrokey, for teknisk set kan den, der styrer denne server, læse den trafik, der går gennem den ved hjælp af denne proxy. Nitrokey ville aldrig gøre noget sådant, men der er en vis risiko for, at nogen kan kompromittere denne server og læse din trafik.

Dette kan naturligvis gøres bedre, men det kan stadig være nok afhængigt af dit personlige brugsscenarie.

Anskaf dit eget certifikat

Dette er helt klart den bedste og mest sikre metode til fjernadgang til din NextBox, da den giver dig den bedste ydeevne og ægte end-to-end-kryptering, men den kommer med nogle ekstra konfigurationsbehov. Vi starter først med en meget hurtig introduktion til, hvad kryptering med eget certifikat betyder, og hvad der er nødvendigt.

Den certificeringsmyndighed

En CA er, som navnet antyder, en person, der kan give dig et digitalt certifikat, som gør det muligt for dig at bruge TLS, og dermed kryptere din trafik, så du kan bruge https.

Pr. definition må en CA kun udstede et certifikat, hvis den kan bekræfte, at du er indehaver af et offentligt internet(under)domæne. Dette ejerskab er en meget vigtig egenskab, da det på trods af krypteringen desuden gør det muligt for klienten (browseren) at kontrollere, at den trafik, der sendes fra et bestemt websted, virkelig stammer fra dette (under)domæne, og at der ikke er nogen man-in-the-middle, der har indlagt nogle data, som kan kompromittere din klient.

Når det er sagt, er det naturligvis ikke muligt at erhverve et certifikat for nextbox.local eller endda en lokal IP, da disse hverken er offentlige eller unikke.

Anskaf et offentligt (under)domæne til din NextBox

NextBox leveres med en funktion (Opsætning af dynamisk DNS), som giver dig mulighed for nemt at registrere et offentligt underdomæne til din NextBox ved hjælp af en såkaldt dynamisk DNS-provider, her nemlig deSEC. Denne særlige tjeneste er helt gratis og en non-profit organisation.

Dette er et meget vigtigt skridt før erhvervelse af et certifikat, da dette subdomæne, der er registreret via deSEC, vil være offentligt og unikt, hvilket som vi lærte er nødvendigt for at erhverve et certifikat.

Trin-for-trin DNS & TLS

Det lyder måske kompliceret, men NextBox leveres med alt, hvad du behøver for at komme igennem denne proces:

  1. Naviger til Nextcloud NextBox-appen

  2. Klik på »Fjernadgang« -> »Guidet dynamisk DNS«

  3. Indsæt en gyldig e-mailadresse, som du har adgang til, i det første indtastningsfelt

  4. Indsæt det fulde subdomæne, som din NextBox skal være tilgængelig via. Da deSEC bruges her, skal dit subdomæne altid ende med dedyn.io, så noget i stil med: mynextbox.dedyn.io

  5. Klik på »Registrer hos deSEC« og NextBox vil forsøge at registrere dit domæne og din e-mail hos deSEC. Dette kan mislykkes, hvis det valgte subdomæne allerede er optaget, vælg venligst et andet i så fald.

  6. Du vil modtage en e-mail, hvori du skal bekræfte, at det er din e-mailadresse ved at klikke på det angivne link

  7. I trin to skal du indtaste et token, som du har modtaget, efter at du har klikket på bekræftelseslinket og udfyldt captcha-koden.

Nu er du ejer af dit helt eget subdomæne. Du kan nu prøve at besøge dette underdomæne, men du vil se, at det i bedste fald kun vil ende på din internetrouter. Dette skyldes, at din router er din dør til internettet, og den skal gøres opmærksom på, at du ønsker, at specifik trafik skal videresendes til din NextBox. Du bedes oprette Portforwarding & konfiguration af firewall på din internetrouter nu, når dette er gjort, vil et besøg på dit registrerede subdomæne i browseren vise dig din NextBox‹ Nextcloud instans.

Herfra er der kun ét skridt tilbage:

  1. Naviger til Nextcloud NextBox-appen

  2. Klik på »HTTPS / TLS«

  3. Klik på knappen »Aktiver TLS«

  4. Vent venligst et øjeblik for at få dit certifikat

Kort efter vil du automatisk blive omdirigeret til dit nu krypterede NextBox sub-domæne, som kan se ud som dette:

dns-url

Så er vi der, dit helt eget subdomæne, certifikat og fuldt end-to-end-krypteret Nextcloud.

Hvis du støder på problemer, kan du læse de andre artikler i Remote Access Section.