Accesul la distanță Walkthrough#

Această documentație își propune să vă ofere o introducere completă în subiectul Acces la distanță, inclusiv un ajutor pentru luarea unei decizii de ce să alegeți o anumită metodă. Dacă sunteți familiarizat cu acest subiect, poate doriți să treceți direct la Compararea metodelor de acces (la distanță).

Ce? De ce?#

Doriți să vă accesați NextBox de oriunde, ceea ce înseamnă că doriți să accesați NextBox de pe internet prin intermediul routerului de internet.

În plus, doriți să vă asigurați că datele (traficul) nu pot fi citite de nimeni altcineva în ciuda dumneavoastră. În zilele noastre, acest lucru se realizează prin utilizarea HTTPS, care este condus de TLS.

lacăt-tls

Chiar lângă URL-ul (nitrokey.com) vedeți acest mic lacăt, care se traduce prin: Acest site web oferă o conexiune criptată și tot traficul dvs. nu poate fi citit de nimeni între browserul dvs. (client) și serverul Nitrokey.

După ce NextBox este configurat corespunzător și vedeți tabloul de bord pentru prima dată, bara URL din browserul dvs. ar putea arăta astfel:

nu-padlock

În acest caz, a fost utilizat IP-ul local (192.168.10.50), care este specific rețelei locale și este egal cu nextbox.local. Semnul not secure și semnul de avertizare transportă informația că conexiunea dvs. nu este nu este criptată, folosind astfel http în loc de https. Pentru mai multe informații puteți citi: HTTP vs. HTTPS.

Evident, accesul la NextBox trebuie să fie securizat, deci criptat folosind https. Acest ghid acoperă diferitele abordări pentru a atinge acest obiectiv, în funcție de nevoile dumneavoastră specifice.

Utilizați proxy-ul Nitrokey Backwards Proxy#

Această metodă este de departe cea mai ușor de configurat și de utilizat pentru a obține un acces criptat la NextBox de oriunde, singurul lucru pe care trebuie să-l faceți este să mergeți la Remote Access și Backwards Proxy în interiorul NextBox-App, să introduceți un subdomeniu pe care doriți să-l utilizați și să faceți clic pe Enable Quickstart Remote Access. De acum încolo puteți accesa NextBox folosind un URL ca acesta:

proxy

Lacătul este acolo - datele dvs. (dacă folosiți [subdomain].nextbox.link URL) sunt acum criptate!

Până aici totul este bine, dar stați puțin, funcționează, dar are două dezavantaje majore: Performanța și o criptare înlănțuită de la un capăt la altul.

Performanță#

Proxy-ul inversat funcționează astfel: NextBox-ul dumneavoastră se conectează la serverul Nitrokey Proxy și deschide un canal (invers). Astfel, chiar dacă NextBox se află poate chiar lângă computerul dumneavoastră, traficul merge de la computerul dumneavoastră, pe internet, la serverul Nitrokey și înapoi la NextBox.

Simplificând, am putea spune că tot traficul trebuie să parcurgă un drum lung până la NextBox în loc să vorbească direct cu NextBox. Acesta este, în esență, un dezavantaj al tuturor proxy-urilor. Efectul pentru dumneavoastră, ca utilizator, este că transferurile de date vor fi mai lente decât în cazul unei conexiuni directe.

Criptare înlănțuită de la un capăt la altul#

Un alt dezavantaj este faptul că traficul nu este criptat integral de la un capăt la altul. Pentru a fi clar: datele dvs. sunt în continuare criptate, dar numai pe traseul de la clientul dvs. (browser) la serverul Nitrokey, unde datele vor fi decriptate și criptate din nou pentru a fi trimise către NextBox.

În esență, acest lucru înseamnă că trebuie să aveți încredere în Nitrokey, deoarece, din punct de vedere tehnic, oricine controlează acest server ar putea citi traficul care trece prin el folosind acest proxy. Nitrokey nu ar face niciodată așa ceva, dar există un anumit risc care rămâne, și anume că cineva ar putea compromite acest server și să vă citească traficul.

Evident, acest lucru poate fi realizat într-un mod mai bun, dar totuși ar putea fi suficient, în funcție de scenariul personal de utilizare.

Achiziționați propriul certificat#

Aceasta este, în mod clar, cea mai bună și mai sigură metodă de accesare de la distanță a NextBox-ului, deoarece vă va oferi cea mai bună performanță și o criptare adevărată de la un capăt la altul, dar necesită o configurație suplimentară. Începem mai întâi cu o introducere foarte rapidă a ceea ce înseamnă criptarea cu un certificat propriu și ce este necesar.

Autoritatea de certificare#

Un CA, după cum sugerează și numele, este cineva care este capabil să vă furnizeze un certificat digital, care vă va permite să utilizați TLS, criptând astfel traficul, permițându-vă să utilizați https.

Prin definiție, un CA are voie să emită un certificat doar dacă poate verifica că sunteți proprietar al unui (sub)domeniu public de internet. Această proprietate este o proprietate foarte importantă, deoarece, în pofida criptării, permite în plus clientului (browserului) să verifice dacă traficul care este trimis de un anumit site web provine într-adevăr din acest (sub)domeniu și dacă nu cumva un om din mijloc a injectat niște date, care ar putea compromite clientul dumneavoastră.

Acestea fiind spuse, este evident că nu este posibil să se obțină un certificat pentru nextbox.local sau chiar un IP local, deoarece acestea nu sunt nici publice, nici unice.

Achiziționați un (sub)domeniu public pentru NextBox-ul dvs.#

NextBox vine cu o funcție (Configurarea DNS dinamic), care vă permite să înregistrați cu ușurință un subdomeniu public pentru NextBox folosind un așa-numit furnizor DNS dinamic, și anume deSEC. Acest serviciu special este complet gratuit și este o organizație non-profit.

Acesta este un pas foarte important înainte de a achiziționa un certificat, deoarece acest subdomeniu înregistrat prin deSEC va fi public și unic, care așa cum am aflat sunt necesare pentru a achiziționa un certificat.

Pas cu pas DNS & TLS#

Acest lucru poate părea complex, dar NextBox vine cu tot ce aveți nevoie pentru a trece prin acest proces:

  1. Navigați la Nextcloud NextBox-App

  2. Faceți clic pe „Remote Access” -> „Guided Dynamic DNS”

  3. Introduceți în primul câmp de introducere o adresă de e-mail validă la care aveți acces.

  4. Introduceți subdomeniul complet prin care va fi disponibil NextBox-ul dumneavoastră. Deoarece aici se folosește deSEC, subdomeniul trebuie să se termine întotdeauna cu dedyn.io, deci ceva de genul: mynextbox.dedyn.io`

  5. Faceți clic pe „Register at deSEC” și NextBox va încerca să vă înregistreze domeniul și e-mailul la deSEC. Acest lucru poate eșua, dacă subdomeniul pe care l-ați ales este deja ocupat, vă rugăm să alegeți altul în acest caz.

  6. Veți primi un e-mail în care trebuie să verificați că acesta este e-mailul dumneavoastră, făcând clic pe link-ul furnizat.

  7. În pasul doi, va trebui să introduceți un token, pe care l-ați primit după ce ați făcut clic pe link-ul de verificare și ați completat testul captcha.

Acum sunteți proprietarul propriului dvs. subdomeniu. Puteți încerca să vizitați acest subdomeniu acum, dar veți vedea că acesta va ajunge (în cel mai bun caz) doar pe routerul dvs. de internet. Acest lucru se datorează faptului că routerul este ușa dvs. către internet și trebuie să fie informat că doriți ca un anumit trafic să fie redirecționat către NextBox-ul dvs. Vă rugăm să configurați Redirecționarea porturilor & Configurarea firewall-ului pe routerul dvs. de internet acum, odată ce acest lucru este făcut, vizitând subdomeniul dvs. înregistrat în browser vă va arăta instanța NextBox» Nextcloud.

Minunat, de aici mai rămâne doar un singur pas:

  1. Navigați la Nextcloud NextBox-App

  2. Faceți clic pe „HTTPS / TLS”

  3. Faceți clic pe butonul „Enable TLS”

  4. Vă rugăm să așteptați câteva momente pentru a obține certificatul dvs.

La scurt timp după aceea, veți fi redirecționat automat către subdomeniul NextBox, care acum este criptat, și care ar putea arăta similar cu acesta:

dns-url

Iată-ne, propriul tău subdomeniu, certificat și Nextcloud complet criptat de la un capăt la altul.

Dacă întâmpinați probleme, vă rugăm să citiți celelalte articole din cadrul Secțiunea Acces la distanță.