Genomgång av fjärråtkomst#

Syftet med den här dokumentationen är att ge dig en grundlig introduktion till ämnet Remote Access, inklusive en beslutshjälp varför du ska välja en viss metod. Om du är bekant med detta ämne kanske du vill hoppa direkt till Jämförelse av metoder för (fjärr)åtkomst.

Vad? Varför?#

Du vill komma åt din NextBox från alla håll, vilket innebär att du vill komma åt din NextBox från internet via din internetrouter.

Dessutom vill du försäkra dig om att dina data (trafik) inte kan läsas av någon annan än dig. Numera uppnås detta genom att använda HTTPS, som drivs av TLS.

padlock-tls

Precis bredvid URL:en (nitrokey.com) ser du ett litet hänglås, vilket betyder: Den här webbplatsen tillhandahåller en krypterad anslutning och all din trafik kan inte läsas av någon mellan din webbläsare (klient) och Nitrokey-servern.

När din NextBox är korrekt konfigurerad och du ser instrumentpanelen första gången kan URL-fältet i webbläsaren se ut så här:

utan låsning

I det här fallet har den lokala IP-adressen använts (192.168.10.50), som är specifik för ditt lokala nätverk och motsvarar nextbox.local. not secure och varningstecknet transporterar information om att din anslutning inte är krypterad och att du därför använder http i stället för https. Du kan läsa mer om detta: HTTP vs. HTTPS.

Självklart ska åtkomsten till NextBox vara säker, alltså krypterad med https. Den här guiden täcker de olika tillvägagångssätten för att nå detta mål, beroende på dina specifika behov.

Använd Nitrokey Backwards Proxy#

Den här metoden är överlägset enklast att installera och använda för att få en krypterad anslutning till din NextBox från var som helst.Det enda du behöver göra är att gå till Remote Access och Backwards Proxy i NextBox-appen, ange en subdomän som du vill använda och klicka på Enable Quickstart Remote Access. Från och med nu kan du komma åt din NextBox med hjälp av en URL som denna:

proxy

Hänglåset finns där - dina data (om du använder din [subdomain].nextbox.link URL) är nu krypterade!

Så långt så bra, men vänta, det fungerar, men har två stora nackdelar: Prestanda och en kedjad kryptering från början till slut.

Prestanda#

Den bakåtriktade proxyn fungerar så här: Din NextBox ansluter till Nitrokey Proxy-servern och öppnar en (bakåtriktad) kanal. Så även om din NextBox kanske står precis bredvid din dator går trafiken hela vägen från din dator, in på Internet, till Nitrokey-servern och hela vägen tillbaka till din NextBox.

Förenklat kan man säga att all trafik måste resa långt till NextBox i stället för att tala direkt till NextBox. Detta är i princip en nackdel med alla proxys. Effekten för dig som användare är att dataöverföringarna blir långsammare än vid en direkt anslutning.

Kedjavis kryptering från början till slut#

En annan nackdel är att din trafik inte är fullständigt krypterad från början till slut. För att vara tydlig: Dina data är fortfarande krypterade, men bara på vägen från din klient (webbläsare) till Nitrokey-servern, där data avkrypteras och krypteras igen för att skickas till NextBox.

Det betyder i princip att du måste lita på Nitrokey, eftersom den som kontrollerar servern tekniskt sett kan läsa trafiken som passerar genom den med hjälp av denna proxy. Nitrokey skulle aldrig göra något sådant, men det finns en viss kvarstående risk att någon kan äventyra denna server och läsa din trafik.

Detta kan naturligtvis göras på ett bättre sätt, men det kan ändå vara tillräckligt beroende på ditt personliga användningsscenario.

Skaffa ditt eget certifikat#

Detta är helt klart den bästa och säkraste metoden för fjärråtkomst till din NextBox, eftersom den ger dig bästa prestanda och verklig end-to-end-kryptering, men den kommer med några ytterligare konfigurationsbehov. Vi börjar först med en mycket snabb introduktion vad kryptering med ett eget certifikat innebär och vad som behövs.

Skapa en certifikatutfärdare#

En CA är, som namnet antyder, någon som kan förse dig med ett digitalt certifikat som gör det möjligt för dig att använda TLS, vilket innebär att din trafik krypteras och att du kan använda https.

Per definition får en CA endast utfärda ett certifikat om den kan verifiera att du är ägare av en offentlig internet(under)domän. Äganderätten är en mycket viktig egenskap, eftersom detta, trots krypteringen, dessutom gör det möjligt för klienten (webbläsaren) att kontrollera att trafiken som sänds från en viss webbplats verkligen kommer från denna (under)domän och att ingen man i mitten har lagt in data som kan äventyra din klient.

Med detta sagt är det naturligtvis inte möjligt att skaffa ett certifikat för nextbox.local eller ens en lokal IP, eftersom dessa varken är offentliga eller unika.

Skaffa en offentlig (sub)domän för din NextBox#

NextBox har en funktion (Inställning av dynamisk DNS) som gör att du enkelt kan registrera en offentlig underdomän för din NextBox med hjälp av en så kallad dynamisk DNS-leverantör, här nämligen deSEC. Denna särskilda tjänst är helt gratis och en ideell organisation.

Detta är ett mycket viktigt steg innan du skaffar ett certifikat, eftersom denna underdomän som registreras via deSEC kommer att vara offentlig och unik, vilket vi lärt oss behövs för att skaffa ett certifikat.

Steg-för-steg DNS & TLS#

Det kan låta komplicerat, men NextBox innehåller allt du behöver för att klara av den här processen:

  1. Navigera till Nextcloud NextBox-appen

  2. Klicka på ”Fjärråtkomst” -> ”Guidad dynamisk DNS”

  3. Ange en giltig e-postadress som du har tillgång till i det första inmatningsfältet.

  4. Ange hela underdomänen som din NextBox ska vara tillgänglig via. Eftersom deSEC används här måste din underdomän alltid sluta med dedyn.io, så något i stil med: mynextbox.dedyn.io.

  5. Klicka på ”Registrera hos deSEC” och NextBox kommer att försöka registrera din domän och e-post hos deSEC. Detta kan misslyckas om den underdomän du valt redan är upptagen, välj en annan i så fall.

  6. Du kommer att få ett e-postmeddelande där du ska bekräfta att det är din e-postadress genom att klicka på länken.

  7. I steg två måste du ange ett token som du fick när du klickade på verifieringslänken och slutförde captcha-analysen.

Nu är du ägare till din egen underdomän. Du kan försöka besöka denna underdomän nu, men du kommer att se att den bara (i bästa fall) hamnar på din internetrouter. Detta beror på att routern är din dörr till Internet och att den måste göras medveten om att du vill att viss trafik ska vidarebefordras till din NextBox. Ställ in Portforwarding & konfiguration av brandväggar på din internetrouter nu. När detta är gjort kommer du att se din NextBox’ Nextcloud-instans när du besöker din registrerade underdomän i webbläsaren.

Från och med nu är det bara ett steg kvar:

  1. Navigera till Nextcloud NextBox-appen

  2. Klicka på ”HTTPS/TLS”

  3. Klicka på knappen ”Aktivera TLS”

  4. Vänligen vänta en stund för att få ditt certifikat.

Kort därefter kommer du automatiskt att omdirigeras till din nu krypterade NextBox-underdomän, som kan se ut ungefär så här:

dns-url

Där har du din egen subdomän, ditt eget certifikat och ett helt sluten-krypterat Nextcloud.

Om du stöter på problem kan du läsa de andra artiklarna i Remote Access Section.