Guida all’accesso remoto#

Questa documentazione ha lo scopo di darvi un’introduzione approfondita all’argomento Accesso remoto, incluso un aiuto alla decisione perché scegliere un particolare metodo. Se hai familiarità con questo argomento potresti voler saltare direttamente a Metodi a confronto per l’accesso (remoto).

Cosa? Perché?#

Vuoi accedere al tuo NextBox da qualsiasi luogo, questo significa che vuoi accedere al tuo NextBox da internet attraverso il tuo router internet.

Oltre a questo, volete assicurarvi che i vostri dati (traffico) non siano leggibili da nessun altro, nonostante voi. Al giorno d’oggi questo si ottiene usando HTTPS, che è guidato da TLS.

lucchetto-tls

Proprio accanto all’URL (nitrokey.com) si vede questo piccolo lucchetto, che si traduce in: Questo sito web fornisce una connessione criptata e tutto il vostro traffico non è leggibile da nessuno tra il vostro browser (client) e il server Nitrokey.

Una volta che il tuo NextBox è impostato correttamente e vedi la dashboard per la prima volta, la tua barra degli URL nel tuo browser potrebbe essere come questa:

no-padlock

In questo caso è stato usato l’IP locale (192.168.10.50), questo è specifico della tua rete locale e uguale a nextbox.local. Il non sicuro e il segno di avvertimento trasportano l’informazione che la vostra connessione non è crittografata, quindi usate http invece di https. Per saperne di più potete leggere: HTTP vs. HTTPS.

Ovviamente, l’accesso a NextBox deve essere sicuro, quindi criptato utilizzando https. Questa guida copre i diversi approcci per raggiungere questo obiettivo, a seconda delle vostre esigenze specifiche.

Usare il proxy di Nitrokey Backwards#

Questo metodo è di gran lunga il più semplice da impostare e utilizzare per ottenere un criptato al tuo NextBox da qualsiasi luogo, l’unica cosa da fare è andare su Accesso remoto e Proxy all’indietro all’interno della NextBox-App, inserire un sottodominio che si desidera utilizzare e fare clic su Abilita accesso remoto rapido. D’ora in poi è possibile accedere a NextBox utilizzando un URL come questo:

proxy

Il lucchetto è lì - i tuoi dati (se stai usando il tuo [subdomain].nextbox.link URL) sono ora criptati!

Fin qui tutto bene, ma aspetta, questo funziona, ma ha due grandi svantaggi: Le prestazioni e una crittografia end-to-end a catena.

Performance#

Il proxy all’indietro funziona così: Il tuo NextBox si connette al server Proxy di Nitrokey e apre un canale (all’indietro). Così, anche se il tuo NextBox è forse accanto al tuo computer, il traffico va dal tuo computer, in internet, al server Nitrokey e torna al tuo NextBox.

Semplificando, si potrebbe dire che tutto il traffico deve fare un lungo viaggio verso la NextBox invece di parlare direttamente con la NextBox. Questo è essenzialmente uno svantaggio di tutti i proxy. L’effetto per te come utente è che i trasferimenti di dati saranno più lenti, rispetto a una connessione diretta.

Crittografia concatenata end-to-end#

Un altro svantaggio è che il tuo traffico non è completamente criptato end-to-end. Per essere chiari: i tuoi dati sono ancora criptati, ma solo sul percorso dal tuo client (browser) al server Nitrokey, lì i dati saranno decifrati e criptati di nuovo per essere inviati al NextBox.

Essenzialmente questo significa che dovete fidarvi di Nitrokey, perché tecnicamente chiunque stia controllando questo server potrebbe leggere il traffico che lo attraversa usando questo proxy. Nitrokey non farebbe mai una cosa del genere, ma c’è un certo rischio residuo che qualcuno possa compromettere questo server e leggere il vostro traffico.

Ovviamente questo può essere fatto in un modo migliore, ma comunque questo potrebbe essere sufficiente a seconda del vostro scenario di utilizzo personale.

Acquisire il proprio certificato#

Questo è chiaramente il metodo migliore e più sicuro per accedere in remoto al tuo NextBox, in quanto ti darà le migliori prestazioni e una vera crittografia end-to-end, ma viene con alcune esigenze di configurazione aggiuntive. Iniziamo prima con un’introduzione molto veloce su cosa significa la crittografia con un certificato proprio e cosa è necessario.

L’autorità di certificazione#

Un CA, come suggerisce il nome, è qualcuno che è in grado di fornirvi un certificato digitale, che vi permetterà di usare TLS, criptando così il vostro traffico, permettendovi di usare https.

Per definizione, una CA può emettere un certificato solo se può verificare che sei il proprietario di un (sotto)dominio internet pubblico. Questa proprietà è una proprietà molto importante in quanto, nonostante la crittografia, permette inoltre al client (browser) di verificare che il traffico inviato da un certo sito web provenga realmente da questo (sotto)dominio e che nessun man-in-the-middle abbia iniettato dei dati, che potrebbero compromettere il vostro client.

Detto questo, ovviamente non è possibile acquisire un certificato per nextbox.local o anche un IP locale, poiché questi non sono né pubblici né unici.

Acquisire un (sotto)dominio pubblico per il tuo NextBox#

Il NextBox viene fornito con una caratteristica (Impostazione DNS dinamico), che consente di registrare facilmente un sottodominio pubblico per il tuo NextBox utilizzando un cosiddetto dynamic DNS provider, qui cioè deSEC. Questo particolare servizio è totalmente gratuito ed è un’organizzazione no-profit.

Questo è un passo molto importante prima di acquisire un certificato, poiché questo sottodominio registrato attraverso deSEC sarà pubblico e unico, i cui come abbiamo imparato sono necessari per acquisire un certificato.

DNS passo dopo passo & TLS#

Questo può sembrare complesso, ma il NextBox viene fornito con tutto il necessario per superare questo processo:

  1. Navigare alla Nextcloud NextBox-App

  2. Cliccare su «Accesso remoto» -> «DNS dinamico guidato».

  3. Inserisci un indirizzo e-mail valido a cui hai accesso nel primo campo di input

  4. Inserisci il sottodominio completo attraverso il quale NextBox deve essere disponibile. Poiché deSEC è usato qui, il tuo sottodominio deve sempre finire con dedyn.io, quindi qualcosa come: mynextbox.dedyn.io

  5. Clicca su «Registrati a deSEC» e il NextBox proverà a registrare il tuo dominio e la tua e-mail a deSEC. Questo può fallire, se il sottodominio che hai scelto è già occupato, per favore scegline un altro in questo caso.

  6. Riceverai un’e-mail in cui dovrai verificare che questa è la tua e-mail cliccando sul link fornito

  7. Nel secondo passo, dovrai inserire un token, che hai ricevuto dopo aver cliccato sul link di verifica e completato il captcha.

Ora sei il proprietario del tuo sottodominio personale. Ora puoi provare a visitare questo sottodominio, ma vedrai che finirà solo (nel migliore dei casi) sul tuo router internet. Questo perché il tuo router è la tua porta verso Internet e deve essere informato che vuoi che il traffico specifico sia inoltrato al tuo NextBox. Si prega di impostare Port Forwarding & configurazione del firewall sul vostro router internet ora, una volta che questo è fatto, visitando il vostro sottodominio registrato nel browser vi mostrerà il vostro NextBox” istanza Nextcloud.

Grande da qui rimane solo un passo:

  1. Navigare alla Nextcloud NextBox-App

  2. Clicca su «HTTPS / TLS»

  3. Fare clic sul pulsante «Enable TLS»

  4. Attenda qualche istante per acquisire il suo certificato

Poco dopo sarai automaticamente reindirizzato al tuo sottodominio NextBox ora criptato, che potrebbe essere simile a questo:

dns-url

Ecco qui, il tuo sottodominio personale, il certificato e Nextcloud completamente crittografato end-to-end.

Se incontrate problemi, leggete gli altri articoli all’interno del Sezione accesso remoto.