Руководство по удаленному доступу#

Цель этой документации - дать вам подробное введение в тему удаленного доступа, включая помощь в принятии решения почему следует выбрать тот или иной метод. Если вы знакомы с этой темой, вы можете перейти непосредственно к Сравнение методов для (удаленного) доступа.

Что? Почему?#

Вы хотите получить доступ к NextBox отовсюду, это означает, что вы хотите получить доступ к NextBox из интернета через ваш интернет-маршрутизатор.

Кроме того, вы хотите быть уверены, что ваши данные (трафик) не сможет прочитать никто другой, кроме вас. В настоящее время для этого используется HTTPS, который управляется TLS.

padlock-tls

Прямо рядом с URL-адресом (nitrokey.com) вы видите маленький замочек, что означает: Этот веб-сайт обеспечивает зашифрованное соединение, и весь ваш трафик между вашим браузером (клиентом) и сервером Nitrokey никто не сможет прочитать.

После того, как NextBox настроен должным образом, и вы впервые увидите приборную панель, ваша строка URL в браузере может выглядеть следующим образом:

no-padlock

В данном случае использован локальный IP (192.168.10.50), он специфичен для вашей локальной сети и равен nextbox.local. Знак not secure и предупреждение передают информацию о том, что ваше соединение не зашифровано, поэтому используется http вместо https. Подробнее вы можете прочитать: HTTP vs. HTTPS.

Очевидно, что доступ к NextBox должен быть безопасным, поэтому он шифруется с помощью https. В данном руководстве рассматриваются различные подходы для достижения этой цели, в зависимости от ваших конкретных потребностей.

Используйте обратный прокси-сервер Nitrokey#

Этот метод, безусловно, самый простой в настройке и использовании для получения зашифрованного доступа к вашему NextBox отовсюду, единственное, что нужно сделать, это перейти в Remote Access и Backwards Proxy внутри NextBox-App, вставить поддомен, который вы хотите использовать, и нажать Enable Quickstart Remote Access. С этого момента вы можете получить доступ к NextBox, используя URL-адрес, как показано ниже:

прокси

Замок есть - ваши данные (если вы используете свой [subdomain].nextbox.link URL) теперь зашифрованы!

Пока все хорошо, но подождите, это работает, но имеет два основных недостатка: Производительность и цепное сквозное шифрование.

Производительность#

Обратный прокси работает следующим образом: Ваш NextBox подключается к прокси-серверу Nitrokey и открывает (обратный) канал. Таким образом, даже если ваш NextBox стоит рядом с вашим компьютером, трафик проходит весь путь от вашего компьютера, в интернет, к серверу Nitrokey и обратно к вашему NextBox.

Упрощенно можно сказать, что весь трафик должен пройти долгий путь к NextBox, вместо того, чтобы обращаться непосредственно к NextBox. Это, по сути, является недостатком всех прокси-серверов. Для вас, как пользователя, это означает, что передача данных будет происходить медленнее, чем при прямом подключении.

Цепное сквозное шифрование#

Еще одним недостатком является то, что ваш трафик не шифруется полностью из конца в конец. Для ясности: ваши данные по-прежнему шифруются, но только на пути от вашего клиента (браузера) до сервера Nitrokey, где данные будут расшифрованы и снова зашифрованы для отправки на NextBox.

По сути, это означает, что вы должны доверять Nitrokey, поскольку технически тот, кто контролирует этот сервер, может читать трафик, проходящий через него с помощью этого прокси. Nitrokey никогда не сделает этого, но существует определенный риск, что кто-то может скомпрометировать этот сервер и прочитать ваш трафик.

Очевидно, что это можно сделать более эффективным способом, но все же этого может быть достаточно в зависимости от вашего личного сценария использования.

Приобретение собственного сертификата#

Это, безусловно, лучший и наиболее безопасный метод удаленного доступа к вашему NextBox, поскольку он обеспечивает наилучшую производительность и настоящее сквозное шифрование, но он сопровождается некоторыми дополнительными требованиями к конфигурации. Мы начнем с краткого введения, что означает шифрование с помощью собственного сертификата и что для этого необходимо.

Центр сертификации#

CA, как следует из названия, это кто-то, кто может предоставить вам цифровой сертификат, который позволит вам использовать TLS, таким образом шифруя ваш трафик, позволяя вам использовать https.

По определению, CA имеет право выдать сертификат, только если он может подтвердить, что вы являетесь владельцем публичного интернет-домена (поддомена). Это свойство является очень важным, поскольку, несмотря на шифрование, оно позволяет клиенту (браузеру) проверить, что трафик, посылаемый определенным веб-сайтом, действительно исходит из этого (под)домена, и никакой «человек посередине» не ввел некоторые данные, которые могут скомпрометировать вашего клиента.

При этом очевидно, что невозможно получить сертификат для nextbox.local или даже для локального IP, поскольку они не являются ни публичными, ни уникальными.

Приобретите публичный (под)домен для вашего NextBox#

NextBox поставляется с функцией (Настройка динамического DNS), которая позволяет вам легко зарегистрировать публичный субдомен для вашего NextBox, используя так называемый динамический DNS-провайдер, а именно deSEC. Эта конкретная служба является абсолютно бесплатной и некоммерческой организацией.

Это очень важный шаг перед получением сертификата, так как этот субдомен, зарегистрированный через deSEC, будет публичным и уникальным, что, как мы узнали, необходимо для получения сертификата.

Пошаговый DNS & TLS#

Это может показаться сложным, но NextBox поставляется со всем необходимым для прохождения этого процесса:

  1. Перейдите к приложению Nextcloud NextBox-App

  2. Нажмите на «Удаленный доступ» -> «Управляемый динамический DNS».

  3. Вставьте в первое поле ввода действующий адрес электронной почты, к которому у вас есть доступ

  4. Вставьте полный поддомен, через который будет доступен ваш NextBox. Поскольку здесь используется deSEC, ваш субдомен всегда должен заканчиваться на dedyn.io, поэтому что-то вроде: mynextbox.dedyn.io.

  5. Нажмите «Register at deSEC», и NextBox попытается зарегистрировать ваш домен и e-mail на deSEC. Это может не сработать, если выбранный вами субдомен уже занят, в этом случае выберите другой.

  6. Вы получите электронное письмо, в котором вам следует подтвердить, что это ваша электронная почта, нажав на указанную ссылку

  7. На втором шаге вам нужно будет ввести token, который вы получили после того, как перешли по ссылке проверки и заполнили капчу.

Теперь вы являетесь владельцем своего собственного поддомена. Вы можете попытаться посетить этот поддомен сейчас, но вы увидите, что он (в лучшем случае) окажется на вашем интернет-маршрутизаторе. Это происходит потому, что ваш маршрутизатор - это ваша дверь в интернет, и он должен быть осведомлен о том, что вы хотите, чтобы определенный трафик направлялся на ваш NextBox. Пожалуйста, настройте Port Forwarding & Конфигурация брандмауэра на вашем интернет-маршрутизаторе сейчас, как только это будет сделано, посетив ваш зарегистрированный субдомен в браузере, вы увидите ваш NextBox“ Nextcloud экземпляр.

Отсюда остается только один шаг:

  1. Перейдите к приложению Nextcloud NextBox-App

  2. Нажмите на «HTTPS / TLS»

  3. Нажмите кнопку «Включить TLS»

  4. Пожалуйста, подождите несколько минут, чтобы получить ваш сертификат

Вскоре после этого вы будете автоматически перенаправлены на ваш теперь уже зашифрованный субдомен NextBox, который может выглядеть примерно так:

dns-url

Вот и все, ваш собственный субдомен, сертификат и полностью сквозное шифрование Nextcloud.

Если у вас возникли проблемы, пожалуйста, прочитайте другие статьи в разделе Remote Access Section.