Remote Access Walkthrough#

Deze documentatie is bedoeld om u een grondige inleiding te geven in het onderwerp Remote Access, inclusief een beslissingshulp waarom een bepaalde methode te kiezen. Als u bekend bent met dit onderwerp, kunt u misschien beter direct naar methode-vergelijking gaan.

Wat? Waarom?#

U wilt overal toegang tot uw NextBox, dit betekent dat u toegang wilt tot uw NextBox vanaf het internet via uw internet router.

Bovendien wil je er zeker van zijn dat je data (verkeer) niet leesbaar is door iemand anders, ondanks jou. Tegenwoordig wordt dit bereikt door gebruik te maken van HTTPS, dat wordt aangestuurd door TLS.

hangslot-tls

Direct naast de URL (nitrokey.com) ziet u dit kleine hangslotje, wat betekent: Deze website biedt een versleutelde verbinding en al uw verkeer is voor niemand leesbaar tussen uw browser (client) en de Nitrokey server.

Zodra uw NextBox correct is ingesteld en u het dashboard de eerste keer ziet, kan uw URL-balk in uw browser er als volgt uitzien:

no-padlock

In dit geval is het lokale IP gebruikt (192.168.10.50), dit is specifiek voor uw lokale netwerk en gelijk aan nextbox.local. Het not secure en het waarschuwingsteken geeft aan dat uw verbinding niet versleuteld is, dus http gebruikt in plaats van https. Voor meer kunt u lezen: HTTP vs. HTTPS.

Uiteraard moet de toegang tot de NextBox veilig zijn, dus versleuteld met https. Deze gids behandelt de verschillende benaderingen om dit doel te bereiken, afhankelijk van uw specifieke behoeften.

Gebruik de Nitrokey achterwaartse proxy#

Deze methode is veruit de eenvoudigste om in te stellen en te gebruiken om van overal een versleutelde naar uw NextBox te krijgen, het enige wat u hoeft te doen is naar Remote Access en Backwards Proxy binnen de NextBox-App te gaan, een sub-domein in te voeren dat u wilt gebruiken en op Enable Quickstart Remote Access te klikken. Vanaf nu kunt u uw NextBox benaderen met een URL zoals deze:

proxy

Het hangslotje is er—uw gegevens (als u uw [subdomain].nextbox.link URL gebruikt) zijn nu versleuteld!

Tot zover alles goed, maar wacht, dit werkt, maar heeft twee grote nadelen: Prestatie en een geketende end-to-end encryptie.

Prestaties#

De backwards proxy werkt als volgt: Uw NextBox maakt verbinding met de Nitrokey Proxy server en opent een (achterwaarts) kanaal. Dus ook al staat uw NextBox misschien vlak naast uw computer, het verkeer gaat helemaal van uw computer, het internet op, naar de Nitrokey server en helemaal terug naar uw NextBox.

Vereenvoudigd zou men kunnen zeggen dat al het verkeer een lange weg naar de NextBox moet afleggen in plaats van rechtstreeks met de NextBox te praten. Dit is in wezen een nadeel van alle proxies. Het gevolg voor u als gebruiker is dat de gegevensoverdracht langzamer zal zijn dan bij een rechtstreekse verbinding.

Geketende end-to-end versleuteling#

Een ander nadeel is dat uw verkeer niet volledig end-to-end versleuteld is. Voor de duidelijkheid: Uw gegevens zijn nog steeds versleuteld, maar alleen op het pad van uw client (browser) naar de Nitrokey server, daar worden de gegevens ontsleuteld en opnieuw versleuteld om naar de NextBox te worden gestuurd.

In wezen betekent dit dat u Nitrokey moet vertrouwen, omdat technisch gezien degene die deze server controleert het verkeer zou kunnen lezen dat er via deze proxy doorheen gaat. Nitrokey zou zoiets nooit doen, maar er blijft een zeker risico bestaan dat iemand deze server zou kunnen compromitteren en uw verkeer zou kunnen lezen.

Uiteraard kan dit op een betere manier, maar toch kan dit voldoende zijn, afhankelijk van uw persoonlijk gebruiksscenario.

Verwerf uw eigen certificaat#

Dit is duidelijk de beste en veiligste methode om op afstand toegang te krijgen tot uw NextBox, omdat het u de beste prestaties en echte end-to-end encryptie geeft, maar het komt met een aantal extra configuratiebehoeften. We beginnen eerst met een zeer snelle introductie wat encryptie met een eigen certificaat betekent en wat er nodig is.

De certificeringsinstantie#

Een CA, zoals de naam al zegt, is iemand die u een digitaal certificaat kan geven, waarmee u TLS kunt gebruiken, en zo uw verkeer kunt versleutelen, zodat u https kunt gebruiken.

Per definitie mag een CA alleen een certificaat afgeven, als zij kunnen verifiëren dat u de eigenaar bent van een publiek internet (sub)domein. Dit eigendom is een zeer belangrijke eigenschap, omdat dit, ondanks de encryptie, de client (browser) in staat stelt te verifiëren dat het verkeer dat door een bepaalde website wordt verzonden, werkelijk afkomstig is van dit (sub)domein en geen man-in-the-middle gegevens heeft geïnjecteerd, die uw client in gevaar zouden kunnen brengen.

Dit gezegd zijnde, is het uiteraard niet mogelijk om een certificaat te verkrijgen voor nextbox.local of zelfs een lokaal IP, aangezien deze noch openbaar, noch uniek zijn.

Verkrijg een publiek (sub)domein voor uw NextBox#

De NextBox wordt geleverd met een functie (Dynamische DNS-instelling), waarmee u eenvoudig een publiek sub-domein voor uw NextBox kunt registreren met behulp van een zogenaamde dynamische DNS provider, hier namelijk deSEC. Deze specifieke dienst is volledig gratis en een non-profit organisatie.

Dit is een zeer belangrijke stap voor het verkrijgen van een certificaat, aangezien dit sub-domein geregistreerd via deSEC openbaar en uniek zal zijn, waarvan we geleerd hebben dat ze nodig zijn om een certificaat te verkrijgen.

Stap-voor-stap DNS & TLS#

Dit klinkt misschien ingewikkeld, maar de NextBox wordt geleverd met alles wat u nodig hebt om dit proces te doorlopen:

  1. Navigeer naar de Nextcloud NextBox-App

  2. Klik op “Toegang op afstand” -> “Begeleide dynamische DNS”.

  3. Zet een geldig e-mail adres waartoe je toegang hebt in het eerste invoerveld

  4. Vul het volledige sub-domein in waarmee uw NextBox beschikbaar moet zijn. Aangezien deSEC hier wordt gebruikt, moet uw sub-domein altijd eindigen op dedyn.io, dus iets als: mynextbox.dedyn.io

  5. Klik op “Registreren bij deSEC” en de NextBox zal proberen uw domein en e-mail te registreren bij deSEC. Dit kan mislukken als het door u gekozen sub-domein al bezet is, kies in dit geval een ander sub-domein.

  6. U zult een e-mail ontvangen waarin u moet controleren of dit uw e-mail is door op de aangegeven link te klikken

  7. In stap twee moet u een token invoeren, dat u hebt ontvangen nadat u op de verificatielink hebt geklikt en de captcha hebt voltooid.

Nu bent u de eigenaar van uw eigen sub-domein. U kunt dit subdomein nu proberen te bezoeken, maar u zult zien dat het alleen (in het beste geval) op uw internetrouter terecht zal komen. Dit komt omdat uw router uw deur naar het internet is en deze moet weten dat u specifiek verkeer naar uw NextBox wilt laten doorsturen. Stel nu Port Forwarding & Firewall Configuratie in op uw internet router, zodra dit is gedaan, zal het bezoeken van uw geregistreerde sub-domein in de browser u uw NextBox’ Nextcloud instance laten zien.

Geweldig. Vanaf hier is er nog maar één stap:

  1. Navigeer naar de Nextcloud NextBox-App

  2. Klik op “HTTPS / TLS”

  3. Klik op de knop “Schakel TLS in”

  4. Gelieve even te wachten om uw certificaat te verkrijgen

Kort daarna wordt u automatisch doorgestuurd naar uw nu versleutelde NextBox-subdomein, dat er ongeveer zo uit kan zien:

dns-url

Daar zijn we dan, uw eigen subdomein, certificaat en volledig end-to-end versleutelde Nextcloud.

Als u problemen ondervindt, lees dan de andere artikelen in de Remote Access Section.