Nextbox lokal unbrauchbar?

Ja, es mag sein, dass ich etwas falsch halte - aber so wie sich es mir mittlerweile darstellt, ist die Verwendung der Nextbox lokal - ohne Zugriff aus dem Internet - schlicht nicht sinnvoll möglich. Nur was ist dann der Sinn der ganzen Geschichte - dann kann ich auch eine normale Nextcloud Installation auf einem ganz normalen Server laufen lassen?

Ich kann sie nicht als Ubuntu Account für Kontakte und Termine verwenden, ich kann nicht einmal das Nextcloud App auf dem Smartphone einrichten, weil das auch zwingend https:// erwartet, Zugriff vom Smartphone Browser (nextbox.local) funktioniert genau so wenig im eigenen Netz. DAVx5 funktioniert auch nicht.

Was mache ich falsch oder ist das wirklich nicht möglich und es wird nirgendwo beschrieben, dass (aus meiner Sicht) die wichtigste Eigenschaft einer lokalen Installation überhaupt nicht möglich ist?

Denn dann gehört (für mich) das Teil in die Tonne. Nur für Dateien kann ich auch ein ganz normales NAS verwenden …

Hey @moapp,

das ist leider eine Android Einschränkung, siehe dazu die FAQ: Remote Access FAQ — Nitrokey Documentation → 3. Punkt.

Diese Dinge sollten alle möglich sein, wenn man direkt die lokale IP benutzt, dann muss man aber sicherstellen, dass sich diese nicht ändert, sonst macht es wenig Sinn. (natürlich vorausgesetzt, dass die verwendete software mit einer http statt https Verbindung zusammenspielen möchte)

Ganz grundsätzlich sind das leider alles Probleme gegen die eine NextBox recht wenig ausrichten kann (wenn die Software zum Beispiel fordert, dass es https gibt). WebDAV könnte da noch eine Option sein, aber ja so richtig widersprechen kann ich der Argumentation kaum. Die NextBox soll ein “Cloud”-Ersatz sein, so eine Cloud möchte über das Internet verfügbar sein, dann kann man auch TLS einrichten und bekommt diese Probleme nicht.

Eine weitere mögliche Lösung wäre es die NextBox bis hin zur TLS Einrichtung mit dem Internet zu verbinden, danach kann man diese potentiell wieder vom Internet (Eingangstraffic) trennen. Dann müsste man noch die eine oder andere Verrenkung betreiben, dass die Internetadresse auch lokal vom DNS aufgelöst werden kann, dann wäre ein reiner Offlinebetrieb möglich (mit der Einschränkung, dass man alle 3 Monate das Zertifikat aktualisieren muss, also wieder den Internetverkehr kurzfristig freigeben muss).

(edit: ganz offline sollte die NextBox nie sein, sonst werden die Updates nicht geladen und falls dann doch irgendwann, könnte ein zu großer Update-sprung zu Problemen führen, insbesondere wegen Nextcloud)

Lange Rede kurzer Sinn: Prinzipiell ist das schon möglich aber durchaus mit Arbeit verbunden und momentan nicht so richtig von der NextBox unterstützt. Hauptsächlich auch weil dafür kein Bedarf an uns herangetragen wurde bis heute…

Gruß

Man kann auch eigene SSL-Zertifikate nutzen, um Apps mit “https-Zwang” zu verwenden.
Wo man da was einstellen muss, habe ich nach genug Probieren hier aufgeschrieben:

Die Nextcloud-App läuft damit bei mir problemlos.

Man muss natürlich eigene Zertifikate erstellen und in beispielsweise Android importieren.
Ich habe mit mit easy-rsa eine eigene CA auf einem Raspi1 aufgesetzt (der jetzt nie wieder Internetkontakt haben wird).

Mit NextBox hast Du einen zentralen Datenspeicher bei Dir Zuhause oder im Büro. Deine Daten sind von verschiedenen Geräten mit allen Betriebssystemen aus abrufbar; auch unterwegs. Natürlich sicher TLS-verschlüsselt.

Android Einschränkungen beim Browser mal zur Seite gelegt - aber dann kann das Teil doch so nicht beworben werden?

An deine Dateien kommst du - aber deine Termine, Kalender und Passwörter und all die anderen Dinge kannst du knicken - außer du machst deine ‘sichere’ Cloud dann doch wieder unsicher(er) - aber vor allem machst dein eigenes Netz unsicherer - somit ist die “Cloud in der Cloud” dann wieder sicherer für einen, als die NextBox :frowning:

Danke für den Link - aber wenn ich das lese:

Einfache Bedienung: Keine technischen Administratorfähigkeiten erforderlich.

Und dann so etwas - dann stimmt doch auf irgend einer Seite etwas nicht?

So wie ich das sehe, ist der Standardfall eben nicht, dass man keine Internetverbindung von außen haben möchte - selbst ich möchte eine haben, aber nur per VPN.
Aber ich weiß auch, dass meine Wünsche oft Sonderfälle sind. Und mit ein paar Tipps konnte ich das auch umsetzen.
Vielleicht wird das ja sogar implementiert.

Ja, ich muss auch ganz klar sagen, dass das aktuell einfach nicht das Haupteinsatz-Szenario ist. Wie @NC-Fan schon sagt, kann man das machen, aber es ist dann halt natürlich alles andere als frei von administrativen Aufgaben.

Grundsätzlich ist eine über Port 80 und 443 erreichbare Nextcloud nicht wirklich etwas was das eigene Netzwerk (nach meiner Einschätzung(!)) jetzt wesentlich unsicherer macht als sagen wir mal random WiFi Geräte (Lampen, Ofen, Waschmaschine, Kameras, etc…),Windows Rechner oder Smartphones, die Security Updates mit 1 Jahr Verzögerung bekommen. Nextcloud hat gute Anti-Brute-Force Mechanismen und generell ist Nextcloud stand heute schon mit das “beste” was OpenSource als Cloud-Lösung anzubieten hat. Am Ende muss aber natürlich jeder für sich selbst entscheiden, was sicher “genug” ist…

Mittels einem 2. Faktor oder einem FIDO2 basierten Login, ist die Brute-Force Gefahr faktisch nicht vorhanden und dass ein Nextcloud mit einem Bug daher kommt, der den Login-Mechanismus umgeht ist zwar theoretisch natürlich nicht ausgeschlossen, aber ja die Chance ist dann bei einem Router ebenso vorhanden.

Wir wollen hier auch transparent sein und versuchen grundsätzlich nichts zu versprechen was wir nicht einhalten können, ich glaube hier liegt einfach eine unterschiedliche Interpretation vom Begriff “cloud” vor. Hier gilt ganz klar: ohne nicht trivialen Aufwand kann man die NextBox nicht (vollständig mit allen Funktionen) ohne Zugang von außen betreiben.

@moapp sorry, wenn die NextBox also nicht die Erwartungen erfüllt gerne an shop@nitrokey.com schreiben und vom Widerrufsrecht Gebrauch machen.

Ja, ich denke auch, dass das Verständnis hier ein unterschiedliches ist. Ich hatte mich drauf gefreut, dass sie eben nicht mehr ‘im Internet’ liegt.

Mein größeres Problem ist tatsächlich auch das ‘Öffnen’ meines Netzes, an dem eben bewusst keines deiner genannten Geräte hängt.

Ich habe mir jetzt eine Fritzbox bestellt und tausche den Starlink Router aus und versuche es erst einmal mit einer festen IP und schaue dann weiter.

Danke schon mal für die Antworten :slight_smile:

Ja, ich bin auch des Öfteren ein Sonderfall - hier hatte ich das allerdings nicht gedacht :frowning:

Die ‘Tipps’ dazu übersteigen dann meine Fähigkeiten leider - vor allem, wenn es dann aus mir irgend einem Grund in ein paar Monaten auf einmal nicht mehr funktionieren sollte.

Dennoch Danke :slight_smile:

1 Like

Schade,

ich für meinen Teil werde natürlich daran arbeiten, dass es weiterläuft.

Also @moapp,

nach genauerem hinschauen haben wir uns dafür entschieden grundsätzlich den das beziehen des Zertifikats umzustellen so dass es auch für das offline setup funktioniert. Das wird aber leider noch ein wenig länger dauern (paar wochen…), weil hier aktuell viel für Nitrokey 3 zu tun ist und wir auch eine derartige Änderung nicht auf die leichte Schulter nehmen wollen.

Dann warte ich geduldig und sage schon mal danke :slight_smile: