Priebeh vzdialeného prístupu#

Cieľom tejto dokumentácie je poskytnúť vám dôkladný úvod do témy vzdialeného prístupu vrátane pomocníka pri rozhodovaní prečo zvoliť konkrétnu metódu. Ak ste s touto témou oboznámení, možno budete chcieť prejsť priamo na Porovnanie metód (vzdialeného) prístupu.

Čo? Prečo?#

Chcete mať prístup k vášmu NextBoxu odkiaľkoľvek, to znamená, že chcete mať prístup k vášmu NextBoxu z internetu prostredníctvom vášho internetového smerovača.

Okrem toho chcete zabezpečiť, aby vaše údaje (prevádzku) nemohol čítať nikto iný. V súčasnosti sa to dosahuje pomocou HTTPS, ktorý je riadený TLS.

padlock-tls

Hneď vedľa adresy URL (nitrokey.com) sa nachádza malý zámok, ktorý znamená: Tento web poskytuje šifrované spojenie a celú vašu prevádzku medzi prehliadačom (klientom) a serverom Nitrokey nemôže nikto čítať.

Keď je NextBox správne nastavený a prvýkrát sa zobrazí ovládací panel, váš panel URL v prehliadači môže vyzerať takto:

bez blokovania

V tomto prípade bola použitá lokálna IP adresa (192.168.10.50), ktorá je špecifická pre vašu lokálnu sieť a rovná sa nextbox.local. Znak not secure a varovanie prenáša informáciu, že vaše spojenie nie je šifrované, a preto sa používa http namiesto https. Viac informácií si môžete prečítať: HTTP vs. HTTPS.

Prístup do NextBoxu by mal byť samozrejme zabezpečený, teda šifrovaný pomocou https. Táto príručka sa zaoberá rôznymi prístupmi na dosiahnutie tohto cieľa v závislosti od vašich konkrétnych potrieb.

Používanie spätného proxy servera Nitrokey#

Táto metóda je zďaleka najjednoduchšia na nastavenie a použitie na získanie šifrovaného do vášho NextBoxu odkiaľkoľvek, jediné, čo musíte urobiť, je prejsť na Diaľkový prístup a Zadný proxy server v aplikácii NextBox, vložiť subdoménu, ktorú chcete použiť, a kliknúť na Zapnúť rýchly vzdialený prístup. Odteraz môžete pristupovať k svojmu NextBoxu pomocou adresy URL, ako je táto:

proxy

Visiaci zámok je tam— vaše údaje (ak používate [subdomain].nextbox.link URL) sú teraz zašifrované!

Zatiaľ je to dobré, ale počkajte, funguje to, ale má to dve veľké nevýhody: Výkon a reťazové šifrovanie od konca do konca.

Výkon#

Spätné sprostredkovanie funguje takto: Váš NextBox sa pripojí k serveru Nitrokey Proxy a otvorí (spätný) kanál. Takže aj keď váš NextBox možno stojí hneď vedľa vášho počítača, prevádzka prechádza z vášho počítača do internetu, na server Nitrokey a späť do vášho NextBoxu.

Zjednodušene by sa dalo povedať, že všetka prevádzka musí prejsť dlhú cestu smerom k NextBoxu namiesto toho, aby komunikovala priamo s NextBoxom. To je v podstate nevýhoda všetkých proxy serverov. Výsledkom pre vás ako používateľa je, že prenosy údajov budú pomalšie ako pri priamom pripojení.

Reťazové šifrovanie od konca ku koncu#

Ďalšou nevýhodou je, že vaša prevádzka nie je úplne šifrovaná od konca do konca. Aby bolo jasné: vaše údaje sú stále šifrované, ale len na ceste od vášho klienta (prehliadača) na server Nitrokey, kde sa údaje dešifrujú a opäť zašifrujú, aby sa mohli odoslať do NextBoxu.

V podstate to znamená, že musíte dôverovať serveru Nitrokey, pretože technicky môže ten, kto tento server ovláda, čítať prevádzku, ktorá cez neho prechádza pomocou tohto proxy servera. Spoločnosť Nitrokey by nikdy nič také neurobila, ale stále existuje určité riziko, že by niekto mohol tento server kompromitovať a čítať vašu prevádzku.

Je zrejmé, že sa to dá urobiť aj lepšie, ale aj tak to môže stačiť v závislosti od vášho osobného scenára používania.

Získanie vlastného certifikátu#

Toto je jednoznačne najlepšia a najbezpečnejšia metóda vzdialeného prístupu k vášmu NextBoxu, pretože vám poskytne najlepší výkon a skutočné šifrovanie end-to-end, ale je spojená s určitými ďalšími konfiguračnými požiadavkami. Najprv začneme veľmi stručným úvodom, čo znamená šifrovanie s vlastným certifikátom a čo je potrebné.

Certifikačná autorita#

CA, ako už názov napovedá, je niekto, kto vám môže poskytnúť digitálny certifikát, ktorý vám umožní používať TLS, teda šifrovať vašu prevádzku, čo vám umožní používať https.

Podľa definície môže CA vydať certifikát, len ak môže overiť, že ste vlastníkom verejnej internetovej (sub)domény. Toto vlastníctvo je veľmi dôležitá vlastnosť, pretože napriek šifrovaniu dodatočne umožňuje klientovi (prehliadaču) overiť, že prevádzka, ktorú odosiela určitá webová lokalita, skutočne pochádza z tejto (sub)domény a žiadny man-in-the-middle do nej nevložil nejaké údaje, ktoré by mohli ohroziť vášho klienta.

Je zrejmé, že nie je možné získať certifikát pre nextbox.local alebo dokonca miestnu IP adresu, pretože tieto nie sú ani verejné, ani jedinečné.

Získanie verejnej (sub)domény pre váš NextBox#

NextBox je vybavený funkciou (Nastavenie dynamického DNS), ktorá vám umožňuje jednoducho zaregistrovať verejnú subdoménu pre váš NextBox pomocou takzvaného dynamického poskytovateľa DNS, konkrétne deSEC. Táto konkrétna služba je úplne bezplatná a ide o neziskovú organizáciu.

Toto je veľmi dôležitý krok pred získaním certifikátu, pretože táto subdoména registrovaná prostredníctvom deSEC bude verejná a jedinečná, čo, ako sme sa dozvedeli, je potrebné na získanie certifikátu.

Krok za krokom DNS & TLS#

Môže to znieť zložito, ale NextBox je vybavený všetkým, čo potrebujete na zvládnutie tohto procesu:

  1. Prejdite do aplikácie Nextcloud NextBox

  2. Kliknite na „Vzdialený prístup“ -> „Riadený dynamický DNS“

  3. Do prvého vstupného poľa vložte platnú e-mailovú adresu, ku ktorej máte prístup.

  4. Vložte celú subdoménu, prostredníctvom ktorej bude váš NextBox dostupný. Keďže sa tu používa deSEC, vaša subdoména musí vždy končiť dedyn.io, takže niečo také: mynextbox.dedyn.io

  5. Kliknite na „Registrovať na deSEC“ a NextBox sa pokúsi zaregistrovať vašu doménu a e-mail na deSEC. To sa môže nepodariť, ak je vami zvolená subdoména už obsadená, v tomto prípade vyberte inú.

  6. Dostanete e-mail, v ktorom by ste mali overiť, že ide o váš e-mail kliknutím na uvedené prepojenie.

  7. V druhom kroku musíte zadať token, ktorý ste dostali po kliknutí na overovacie prepojenie a vyplnení captcha.

Teraz ste vlastníkom vlastnej subdomény. Túto subdoménu môžete teraz skúsiť navštíviť, ale uvidíte, že skončí len (v lepšom prípade) na vašom internetovom smerovači. Je to preto, že váš smerovač je vašimi dverami do internetu a musí byť informovaný o tom, že chcete, aby sa konkrétna prevádzka presmerovala na váš NextBox. Nastavte teraz na svojom internetovom smerovači Presmerovanie portov & Konfigurácia brány firewall, akonáhle to urobíte, pri návšteve vašej zaregistrovanej subdomény v prehliadači sa vám zobrazí vaša inštancia NextBox‘ Nextcloud.

Odtiaľto zostáva už len jeden krok:

  1. Prejdite do aplikácie Nextcloud NextBox

  2. Kliknite na „HTTPS / TLS“

  3. Kliknite na tlačidlo „Povoliť TLS“

  4. Počkajte chvíľu, kým získate svoj certifikát

Krátko na to budete automaticky presmerovaní na svoju zašifrovanú subdoménu NextBox, ktorá môže vyzerať podobne ako táto:

dns-url

Tu je vaša vlastná subdoména, certifikát a plne end-to-end šifrovaný Nextcloud.

Ak narazíte na problémy, prečítajte si ďalšie články v Sekcia vzdialeného prístupu.