远程访问演练¶
本文档旨在向你全面介绍远程访问主题,包括一个决策助手**为什么要选择一个特定的方法**。如果你熟悉这个主题,你可能想直接跳到 比较(远程)访问的方法。
什么?为什么?¶
您想从任何地方访问您的NextBox,这意味着您想通过互联网路由器从互联网访问您的NextBox。
除此之外,你要确保你的数据(流量)不能被其他人读取,尽管你是这样。现在,这可以通过使用`HTTPS`_来实现,它由`TLS`_驱动。
就在URL(nitrokey.com)的旁边,你会看到这个小挂锁,它的意思是:。这个网站提供了一个加密的连接,在你的浏览器(客户端)和Nitrokey服务器之间,你的所有流量都不会被任何人读取。
一旦你的NextBox设置正确,你第一次看到仪表板,你的浏览器中的URL栏可能看起来像这样。
在这种情况下,使用了本地IP(192.168.10.50`
),这是特定于你的本地网络,等于``nextbox.local``。不安全*和警告标志传递的信息是,你的连接是**不加密的,因此使用*http*而不是*https*。更多内容你可以阅读。HTTP vs. HTTPS。
显然,对NextBox的访问应该是安全的,因此使用*https*进行加密。本指南涵盖了达到这一目标的不同方法,这取决于你的具体需求。
使用Nitrokey的反向代理¶
这种方法是目前最容易设置和使用的,可以从任何地方加密到你的NextBox,唯一要做的是在NextBox-App中的*远程访问*和*反向代理*,插入一个你想使用的子域,然后点击*启用快速启动远程访问*。从现在开始,你可以使用这样的URL访问你的NextBox。
挂锁在那里--你的数据(如果你使用你的``[subdomain].nextbox.link``网址)现在已经被加密了
到目前为止还不错,但等等,这很有效,但有两个主要缺点。性能和连锁的端到端加密。
业绩¶
逆向代理的工作方式是这样的。你的NextBox连接到Nitrokey代理服务器并打开一个(反向)通道。因此,尽管你的NextBox可能就站在你的电脑旁边,但流量从你的电脑一直到互联网,再到Nitrokey服务器,然后一直回到你的NextBox。
简而言之,可以说所有的流量都要长途跋涉到NextBox,而不是直接与NextBox对话。这基本上是所有代理的一个缺点。作为用户,你的影响是,数据传输将比直接连接慢。
链式端到端加密¶
另一个缺点是,你的流量不是完全端对端加密的。明确地说:你的数据仍然是加密的,但只是在从你的客户端(浏览器)到Nitrokey服务器的路径上,数据将在那里被解密并再次加密,然后被发送到NextBox。
从本质上讲,这意味着你必须信任Nitrokey,因为从技术上讲,控制这个服务器的人可能会读取通过这个代理服务器的流量。 Nitrokey不会做这样的事情,但仍有一定的风险,即有人可能破坏这个服务器并读取你的流量。
显然,这可以用更好的方式完成,但根据你的个人使用情况,这可能已经足够了。
获得你自己的证书¶
这显然是远程访问NextBox的最佳和最安全的方法,因为它将为您提供最好的性能和真正的端到端加密,但它也有一些额外的配置需求。我们首先快速介绍一下使用自有证书加密的含义和需要。
为你的NextBox获得一个公共(子)域名¶
NextBox有一个功能(动态DNS设置),它允许你使用所谓的*动态DNS提供商*,即`deSEC`_为你的NextBox轻松注册一个公共子域。这个特殊的服务是完全免费的,是一个非营利组织。
这是获取证书之前非常重要的一步,因为通过`deSEC`_注册的这个子域将是公开的和唯一的,正如我们所了解的那样,获取证书需要这些子域。
一步一步的DNS & TLS¶
这听起来可能很复杂,但NextBox配备了你完成这一过程所需的一切。
导航至Nextcloud NextBox-App
单击 "远程访问"->"指导动态 DNS
在第一个输入字段中插入一个你可以访问的有效电子邮件地址
插入你的NextBox可以使用的完整子域。由于这里使用了`deSEC`_,你的子域名必须以*dedyn.io*结尾,所以类似的东西。
mynextbox.dedyn.io
。点击"在deSEC注册",NextBox将尝试在`deSEC`_注册你的域名和电子邮件。这可能会失败,如果你选择的子域名已经被占用,在这种情况下请选择另一个。
你将收到一封电子邮件,你应该通过点击所提供的链接来确认这是你的电子邮件。
在第二步,你将不得不输入一个*token*,这是你点击验证链接并完成验证码后收到的。
现在你是你自己的子域的所有者。你现在可以尝试访问这个子域,但你会发现,它只会(最好的情况)在你的互联网路由器上结束。这是因为你的路由器是你通往互联网的大门,它必须知道你想把特定的流量转发到你的NextBox。请在您的互联网路由器上设置 端口转发& 防火墙配置,一旦完成,在浏览器中访问您的注册子域,将显示您的NextBox' Nextcloud实例。
很好,从这里开始,只剩下一个步骤。
导航至Nextcloud NextBox-App
点击"HTTPS / TLS"。
点击按钮"启用TLS"。
请稍等片刻以获得您的证书
不久之后,你会自动转到你现在加密的NextBox子域,它可能看起来类似于这样。
这就是我们,您自己的子域、证书和完全端到端加密的Nextcloud。
如果你遇到问题,请阅读 :doc:`远程访问部分<index>`里面的其他文章。