远程访问演练#

本文档旨在向你全面介绍远程访问主题,包括一个决策助手**为什么要选择一个特定的方法**。如果你熟悉这个主题,你可能想直接跳到 比较(远程)访问的方法

什么?为什么?#

您想从任何地方访问您的NextBox,这意味着您想通过互联网路由器从互联网访问您的NextBox。

除此之外,你要确保你的数据(流量)不能被其他人读取,尽管你是这样。现在,这可以通过使用`HTTPS`_来实现,它由`TLS`_驱动。

挂锁-tls

就在URL(nitrokey.com)的旁边,你会看到这个小挂锁,它的意思是:。这个网站提供了一个加密的连接,在你的浏览器(客户端)和Nitrokey服务器之间,你的所有流量都不会被任何人读取。

一旦你的NextBox设置正确,你第一次看到仪表板,你的浏览器中的URL栏可能看起来像这样。

无板锁

在这种情况下,使用了本地IP(192.168.10.50`),这是特定于你的本地网络,等于``nextbox.local``。不安全*和警告标志传递的信息是,你的连接是**不加密的,因此使用*http*而不是*https*。更多内容你可以阅读。HTTP vs. HTTPS

显然,对NextBox的访问应该是安全的,因此使用*https*进行加密。本指南涵盖了达到这一目标的不同方法,这取决于你的具体需求。

使用Nitrokey的反向代理#

这种方法是目前最容易设置和使用的,可以从任何地方加密到你的NextBox,唯一要做的是在NextBox-App中的*远程访问*和*反向代理*,插入一个你想使用的子域,然后点击*启用快速启动远程访问*。从现在开始,你可以使用这样的URL访问你的NextBox。

代表

挂锁在那里–你的数据(如果你使用你的``[subdomain].nextbox.link``网址)现在已经被加密了

到目前为止还不错,但等等,这很有效,但有两个主要缺点。性能和连锁的端到端加密。

业绩#

反向代理的工作原理是这样的。你的NextBox连接到Nitrokey代理服务器并打开一个(反向)通道。因此,尽管你的NextBox可能就站在你的电脑旁边,但流量从你的电脑一直到互联网,再到Nitrokey服务器,然后一直回到你的NextBox。

简而言之,可以说所有的流量都要长途跋涉到NextBox,而不是直接与NextBox对话。这基本上是所有代理的一个缺点。作为用户,你的影响是,数据传输将比直接连接慢。

链式端到端加密#

另一个缺点是,你的流量不是完全端对端加密的。明确地说:你的数据仍然是加密的,但只是在从你的客户端(浏览器)到Nitrokey服务器的路径上,数据将在那里被解密并再次加密,然后被发送到NextBox。

从本质上讲,这意味着你必须信任Nitrokey,因为从技术上讲,控制这个服务器的人可能会读取通过这个代理服务器的流量。 Nitrokey不会做这样的事情,但仍有一定的风险,即有人可能破坏这个服务器并读取你的流量。

显然,这可以用更好的方式完成,但根据你的个人使用情况,这可能已经足够了。

获得你自己的证书#

这显然是远程访问NextBox的最佳和最安全的方法,因为它将为您提供最好的性能和真正的端到端加密,但它也有一些额外的配置需求。我们首先快速介绍一下使用自有证书加密的含义和需要。

证书颁发机构#

CA,顾名思义,是*个能够为你提供数字证书的人,这将使你能够使用`TLS`_,从而加密你的流量,使你能够使用*https*。

根据定义,`CA`_只被允许签发证书,如果他们能够验证你是一个公共互联网(子)域的**所有者。这个所有权是一个非常重要的属性,因为尽管有加密,还可以让客户(浏览器)验证某个网站发送的流量确实来自这个(子)域,没有中间人注入一些数据,从而损害你的客户。

既然如此,显然不可能获得*nextbox.local*或甚至是本地IP的证书,因为这些都不是公开的,也不是唯一的。

为你的NextBox获得一个公共(子)域名#

NextBox有一个功能(动态DNS设置),它允许你使用所谓的*动态DNS提供商*,即`deSEC`_为你的NextBox轻松注册一个公共子域。这个特殊的服务是完全免费的,是一个非营利组织。

这是获取证书之前非常重要的一步,因为通过`deSEC`_注册的这个子域将是公开的和唯一的,正如我们所了解的那样,获取证书需要这些子域。

一步一步的DNS & TLS#

这听起来可能很复杂,但NextBox配备了你完成这一过程所需的一切。

  1. 导航至Nextcloud NextBox-App

  2. 单击 “远程访问”->”指导动态 DNS

  3. 在第一个输入字段中插入一个你可以访问的有效电子邮件地址

  4. 插入你的NextBox可以使用的完整子域。由于这里使用了`deSEC`_,你的子域名必须以*dedyn.io*结尾,所以类似的东西。mynextbox.dedyn.io

  5. 点击”在deSEC注册”,NextBox将尝试在`deSEC`_注册你的域名和电子邮件。这可能会失败,如果你选择的子域名已经被占用,在这种情况下请选择另一个。

  6. 你将收到一封电子邮件,你应该通过点击所提供的链接来确认这是你的电子邮件。

  7. 在第二步,你将不得不输入一个*token*,这是你点击验证链接并完成验证码后收到的。

现在你是你自己的子域的所有者。你现在可以尝试访问这个子域,但你会发现,它只会(最好的情况)在你的互联网路由器上结束。这是因为你的路由器是你通往互联网的大门,它必须知道你想把特定的流量转发到你的NextBox。请在您的互联网路由器上设置 端口转发& 防火墙配置,一旦完成,在浏览器中访问您的注册子域,将显示您的NextBox’ Nextcloud实例。

很好,从这里开始,只剩下一个步骤。

  1. 导航至Nextcloud NextBox-App

  2. 点击”HTTPS / TLS”。

  3. 点击按钮”启用TLS”。

  4. 请稍等片刻以获得您的证书

不久之后,你会自动转到你现在加密的NextBox子域,它可能看起来类似于这样。

dns-url

这就是我们,您自己的子域、证书和完全端到端加密的Nextcloud。

如果你遇到问题,请阅读 :doc:`远程访问部分<index>`内的其他文章。