比较(远程)访问的方法#

基于DNS的#

提示

这显然是最好和最安全的方法,我们建议使用基于DNS的远程访问方法,包括你自己的TLS证书,以获得最佳的安全性。

这表示:doc:`dynamic-dns`和:doc:`static`方法。

  • 显然,这是*好的方法,但也需要对你的互联网路由器进行一些配置工作。

  • 你得到了你的**(子)域名和TLS证书,因此你的所有流量将始终是端到端加密的,你的流量保持最高的安全水平。

  • 在你的互联网路由器上打开正确的端口是必要的,见 here

  • 数据路径。[NextBox] ⟷ [Router] ⟷ [Client].

  • **优点:**性能最佳,安全性最高,完全端到端加密

  • **Contra:**需要(动态)DNS,需要在你的互联网路由器上进行配置。

非加密的#

警告

我们强烈建议不要使用非加密的设置,如果你打算让你的NextBox在你的局域网之外可用。

  • 简单(http)使用``nextbox.local``或你的本地IP(例如:``192.168.178.123`)。

  • 一般来说,这是一个坏主意,这不会以任何方式对传输的数据进行加密,只有在你不希望远程访问你的NextBox的情况下才有用(在你的局域网内有非加密的流量可能没有问题,只要你知道你在做什么。)

  • 数据路径。[NextBox] ⟷ [Router] ⟷ [Client].

  • **优点:**快速,无需配置

  • **Contra:**没有运输安全,没有远程访问(或只有未加密的)。

此外,一旦你设置了TLS和基于DNS的方法,你的NextBox的未加密连接将被禁用,反向代理则不是这样,因为代理的问题将锁定你的NextBox。

Nitrokey的反向代理#

这指的是:doc:`proxy`方法。

  • 在你的客户和你的NextBox之间提供传输加密。 但缺点是它不是端对端加密的,这意味着流量将在Nitrokey代理服务器上被解密,并以另一种加密方式传递下去。因此,一个被破坏的代理服务器可能允许潜在的攻击者访问你的流量。

  • 代理服务器是一个瓶颈,所有的流量都必须通过代理服务器,即使你和NextBox一起在本地网络中,流量也必须通过代理服务器。

  • 数据路径(本地客户端)。[NextBox] ⟷ [Router]⟷ [Proxy Server] ⟷ [Router] ⟷ [Client].

  • 数据路径(远程客户端)。[NextBox] ⟷ [Router]⟷ [Proxy Server] ⟷ [Client](客户)。

  • **优点:**容易设置,运输安全性好

  • **Contra:**不是严格的端对端加密,可能很慢(所有流量都通过代理)。

提示

非端到端加密仍然意味着您的所有流量确实是加密的,但在代理服务器内,为了转发,流量将被解密一次,并在传递给客户端或NextBox之前再次加密。