Paseo por el acceso remoto#

Esta documentación pretende ofrecerle una introducción completa al tema del Acceso Remoto, incluyendo una ayuda para la toma de decisiones por qué elegir un método en particular. Si está familiarizado con este tema, quizás quiera ir directamente a Comparación de métodos de acceso (remoto).

¿Qué? ¿Por qué?#

Si quieres acceder a tu NextBox desde cualquier lugar, esto significa que quieres acceder a tu NextBox desde Internet a través de tu router.

Además, quieres asegurarte de que tus datos (tráfico) no son legibles por nadie a pesar de ti. Hoy en día, esto se consigue utilizando HTTPS, que es impulsado por TLS.

candado-tls

Justo al lado de la URL (nitrokey.com) verás este pequeño candado, que se traduce en: Este sitio web proporciona una conexión encriptada y todo su tráfico no es legible por nadie entre su navegador (cliente) y el servidor Nitrokey.

Una vez que tu NextBox esté configurado correctamente y veas el panel de control por primera vez, la barra de URL de tu navegador puede tener este aspecto:

no-padlock

En este caso se ha utilizado la IP local (192.168.10.50), ésta es propia de su red local e igual a nextbox.local. El no seguro y el signo de advertencia transportan la información de que su conexión no está encriptada, por lo que utiliza http en lugar de https. Para más puedes leer: HTTP vs. HTTPS.

Obviamente, el acceso a NextBox debe ser seguro, por lo tanto, encriptado usando https. Esta guía cubre los diferentes enfoques para alcanzar este objetivo, dependiendo de sus necesidades específicas.

Utilice el proxy Nitrokey Backwards#

Este método es, con mucho, el más fácil de configurar y utilizar para obtener un acceso encriptado a tu NextBox desde cualquier lugar, lo único que hay que hacer es ir a Acceso Remoto y Proxy hacia atrás dentro de la aplicación NextBox, insertar un subdominio que quieras utilizar y hacer clic en Habilitar el Acceso Remoto Rápido. A partir de ahora podrás acceder a tu NextBox usando una URL como esta:

proxy

¡El candado está ahí—sus datos (si está usando su [subdomain].nextbox.link URL) están ahora encriptados!

Hasta aquí todo bien, pero espera, esto funciona, pero tiene dos grandes inconvenientes: El rendimiento y una encriptación encadenada de extremo a extremo.

Rendimiento#

El proxy inverso funciona así: Tu NextBox se conecta al servidor Nitrokey Proxy y abre un canal (hacia atrás). Así, aunque tu NextBox esté justo al lado de tu ordenador, el tráfico va desde tu ordenador, a Internet, al servidor Nitrokey y de vuelta a tu NextBox.

Simplificando, se podría decir que todo el tráfico tiene que recorrer un largo camino hacia el NextBox en lugar de hablar directamente con el NextBox. Esto es esencialmente una desventaja de todos los proxies. El efecto para usted como usuario es que las transferencias de datos serán más lentas, que una conexión directa.

Cifrado encadenado de extremo a extremo#

Otra desventaja es que tu tráfico no está totalmente encriptado de extremo a extremo. Para que quede claro: tus datos siguen estando encriptados, pero solo en el trayecto desde tu cliente (navegador) hasta el servidor Nitrokey, donde los datos serán descifrados y encriptados de nuevo para ser enviados al NextBox.

Esencialmente esto significa que tienes que confiar en Nitrokey, porque técnicamente quienquiera que esté controlando este servidor podría leer el tráfico que pasa por él usando este proxy. Nitrokey nunca haría tal cosa, pero hay un cierto riesgo restante de que alguien pueda comprometer este servidor y leer su tráfico.

Obviamente, esto se puede hacer de una manera mejor, pero aún así esto podría ser suficiente dependiendo de su escenario de uso personal.

Adquiera su propio certificado#

Este es claramente el mejor y más seguro método para acceder remotamente a tu NextBox ya que te dará el mejor rendimiento y una verdadera encriptación de extremo a extremo, pero viene con algunas necesidades de configuración adicionales. Comenzamos primero con una introducción muy rápida de lo que significa la encriptación con un certificado propio y lo que se necesita.

La autoridad de certificación#

Un CA, como su nombre indica, es alguien que puede proporcionarle un certificado digital, que le permitirá utilizar TLS, encriptando así su tráfico, permitiéndole utilizar https.

Por definición, una CA sólo puede emitir un certificado si puede verificar que usted es el propietario de un (sub)dominio público de Internet. Esta propiedad es una propiedad muy importante ya que, a pesar de la encriptación, permite adicionalmente al cliente (navegador) verificar que el tráfico que es enviado por un determinado sitio web se origina realmente en este (sub)dominio y que ningún man-in-the-middle ha inyectado algunos datos, que podrían comprometer a su cliente.

Dicho esto, obviamente no es posible adquirir un certificado para nextbox.local o incluso una IP local, ya que no son públicas ni únicas.

Adquirir un (sub)dominio público para su NextBox#

El NextBox viene con una función (Configuración del DNS dinámico), que le permite registrar fácilmente un subdominio público para su NextBox utilizando un llamado proveedor de DNS dinámico, aquí concretamente deSEC. Este servicio en particular es totalmente gratuito y una organización sin ánimo de lucro.

Este es un paso muy importante previo a la adquisición de un certificado, ya que este subdominio registrado a través de deSEC será público y único, que como aprendimos son necesarios para adquirir un certificado.

Paso a paso DNS & TLS#

Esto puede parecer complejo, pero la NextBox viene con todo lo que necesitas para llevar a cabo este proceso:

  1. Navegue hasta la aplicación Nextcloud NextBox

  2. Haga clic en «Acceso remoto» -> «DNS dinámico guiado».

  3. Introduzca una dirección de correo electrónico válida a la que tenga acceso en el primer campo de entrada

  4. Inserta el subdominio completo a través del cual estará disponible tu NextBox. Como deSEC se utiliza aquí, su subdominio siempre tiene que terminar con dedyn.io, así que algo como: mynextbox.dedyn.io

  5. Haga clic en «Registrar en deSEC» y el NextBox intentará registrar su dominio y correo electrónico en deSEC. Esto puede fallar, si el subdominio que eligió ya está ocupado, por favor elija otro en este caso.

  6. Recibirá un correo electrónico en el que deberá verificar que se trata de su correo electrónico haciendo clic en el enlace proporcionado

  7. En el segundo paso, tendrás que introducir un token, que habrás recibido después de hacer clic en el enlace de verificación y completar el captcha.

Ahora eres el dueño de tu propio subdominio. Puedes intentar visitar este subdominio ahora, pero verás que sólo (en el mejor de los casos) terminará en tu router de internet. Esto se debe a que tu router es tu puerta a Internet y tiene que ser consciente de que quieres que el tráfico específico sea reenviado a tu NextBox. Por favor, configura Reenvío de puertos y rampa; configuración del cortafuegos en tu router de internet ahora, una vez hecho esto, visitar tu subdominio registrado en el navegador te mostrará tu instancia NextBox” Nextcloud.

Genial, a partir de aquí sólo queda un paso:

  1. Navegue hasta la aplicación Nextcloud NextBox

  2. Haga clic en «HTTPS / TLS»

  3. Haga clic en el botón «Habilitar TLS»»;

  4. Por favor, espere unos momentos para adquirir su certificado

Poco después serás redirigido automáticamente a tu subdominio NextBox ahora encriptado, que podría tener un aspecto similar a este:

dns-url

Ahí tienes, tu propio subdominio, certificado y Nextcloud totalmente encriptado de extremo a extremo.

Si tiene problemas, por favor, lea los otros artículos dentro del Sección de Acceso Remoto<índice<.