远程访问演练

本文档旨在向你全面介绍远程访问主题,包括一个决策助手**为什么要选择一个特定的方法**。如果你熟悉这个主题,你可能想直接跳到 比较(远程)访问的方法

什么?为什么?

您想从任何地方访问您的NextBox,这意味着您想通过互联网路由器从互联网访问您的NextBox。

除此之外,你要确保你的数据(流量)不能被其他人读取,尽管你是这样。现在,这可以通过使用`HTTPS`_来实现,它由`TLS`_驱动。

挂锁-tls

就在URL(nitrokey.com)的旁边,你会看到这个小挂锁,它的意思是:。这个网站提供了一个加密的连接,在你的浏览器(客户端)和Nitrokey服务器之间,你的所有流量都不会被任何人读取。

一旦你的NextBox设置正确,你第一次看到仪表板,你的浏览器中的URL栏可能看起来像这样。

无板锁

在这种情况下,使用了本地IP(192.168.10.50`),这是特定于你的本地网络,等于``nextbox.local``。不安全*和警告标志传递的信息是,你的连接是**不加密的,因此使用*http*而不是*https*。更多内容你可以阅读。HTTP vs. HTTPS

显然,对NextBox的访问应该是安全的,因此使用*https*进行加密。本指南涵盖了达到这一目标的不同方法,这取决于你的具体需求。

使用Nitrokey的反向代理

This method is by far the easiest to set up and use to get an encrypted to your NextBox from everywhere, the only thing to do is to go to Remote Access and Backwards Proxy inside the NextBox-App, insert a sub-domain you want to use and click Enable Quickstart Remote Access. From now on you can access your NextBox using a URL like this:

代表

挂锁在那里--你的数据(如果你使用你的``[subdomain].nextbox.link``网址)现在已经被加密了

到目前为止还不错,但等等,这很有效,但有两个主要缺点。性能和连锁的端到端加密。

业绩

逆向代理的工作方式是这样的。你的NextBox连接到Nitrokey代理服务器并打开一个(反向)通道。因此,尽管你的NextBox可能就站在你的电脑旁边,但流量从你的电脑一直到互联网,再到Nitrokey服务器,然后一直回到你的NextBox。

简而言之,可以说所有的流量都要长途跋涉到NextBox,而不是直接与NextBox对话。这基本上是所有代理的一个缺点。作为用户,你的影响是,数据传输将比直接连接慢。

链式端到端加密

另一个缺点是,你的流量不是完全端对端加密的。明确地说:你的数据仍然是加密的,但只是在从你的客户端(浏览器)到Nitrokey服务器的路径上,数据将在那里被解密并再次加密,然后被发送到NextBox。

从本质上讲,这意味着你必须信任Nitrokey,因为从技术上讲,控制这个服务器的人可能会读取通过这个代理服务器的流量。 Nitrokey不会做这样的事情,但仍有一定的风险,即有人可能破坏这个服务器并读取你的流量。

显然,这可以用更好的方式完成,但根据你的个人使用情况,这可能已经足够了。

获得你自己的证书

这显然是远程访问NextBox的最佳和最安全的方法,因为它将为您提供最好的性能和真正的端到端加密,但它也有一些额外的配置需求。我们首先快速介绍一下使用自有证书加密的含义和需要。

证书颁发机构

CA,顾名思义,是*个能够为你提供数字证书的人,这将使你能够使用`TLS`_,从而加密你的流量,使你能够使用*https*。

根据定义,`CA`_只被允许签发证书,如果他们能够验证你是一个公共互联网(子)域的**所有者。这个所有权是一个非常重要的属性,因为尽管有加密,还可以让客户(浏览器)验证某个网站发送的流量确实来自这个(子)域,没有中间人注入一些数据,从而损害你的客户。

既然如此,显然不可能获得*nextbox.local*或甚至是本地IP的证书,因为这些都不是公开的,也不是唯一的。

为你的NextBox获得一个公共(子)域名

NextBox有一个功能(动态DNS设置),它允许你使用所谓的*动态DNS提供商*,即`deSEC`_为你的NextBox轻松注册一个公共子域。这个特殊的服务是完全免费的,是一个非营利组织。

这是获取证书之前非常重要的一步,因为通过`deSEC`_注册的这个子域将是公开的和唯一的,正如我们所了解的那样,获取证书需要这些子域。

一步一步的DNS & TLS

这听起来可能很复杂,但NextBox配备了你完成这一过程所需的一切。

  1. 导航至Nextcloud NextBox-App

  2. 单击 "远程访问"->"指导动态 DNS

  3. 在第一个输入字段中插入一个你可以访问的有效电子邮件地址

  4. 插入你的NextBox可以使用的完整子域。由于这里使用了`deSEC`_,你的子域名必须以*dedyn.io*结尾,所以类似的东西。mynextbox.dedyn.io

  5. 点击"在deSEC注册",NextBox将尝试在`deSEC`_注册你的域名和电子邮件。这可能会失败,如果你选择的子域名已经被占用,在这种情况下请选择另一个。

  6. 你将收到一封电子邮件,你应该通过点击所提供的链接来确认这是你的电子邮件。

  7. 在第二步,你将不得不输入一个*token*,这是你点击验证链接并完成验证码后收到的。

现在你是你自己的子域的所有者。你现在可以尝试访问这个子域,但你会发现,它只会(最好的情况)在你的互联网路由器上结束。这是因为你的路由器是你通往互联网的大门,它必须知道你想把特定的流量转发到你的NextBox。请在您的互联网路由器上设置 端口转发& 防火墙配置,一旦完成,在浏览器中访问您的注册子域,将显示您的NextBox' Nextcloud实例。

很好,从这里开始,只剩下一个步骤。

  1. 导航至Nextcloud NextBox-App

  2. 点击"HTTPS / TLS"。

  3. 点击按钮"启用TLS"。

  4. 请稍等片刻以获得您的证书

不久之后,你会自动转到你现在加密的NextBox子域,它可能看起来类似于这样。

dns-url

这就是我们,您自己的子域、证书和完全端到端加密的Nextcloud。

如果你遇到问题,请阅读 :doc:`远程访问部分<index>`里面的其他文章。