Zum Hauptinhalt springen

Fernzugriff

Diese Seite gibt einige Hinweise, wie Sie auf Ihre Immich-Instanz von außerhalb Ihres lokalen Netzwerks (LAN) zugreifen können. Sie können die vollständige Diskussion im Discord lesen.

Gefahr

Leiten Sie niemals Port 2283 direkt ins Internet weiter, ohne zusätzliche Konfiguration. Dies würde die Weboberfläche über HTTP ins Internet freigeben und Sie anfällig für Man-in-the-Middle-Angriffe machen.

Option 1: VPN zum Heimnetzwerk

Sie können einen VPN-Dienst nutzen, um eine verschlüsselte Verbindung zu Ihrer Immich-Instanz herzustellen. OpenVPN und Wireguard sind zwei beliebte VPN-Lösungen. Hier ist eine Anleitung zur Einrichtung des VPN-Zugriffs auf Ihren Server – Pihole-Dokumentation.

Vorteile

  • Einfach einzurichten und sehr sicher.
  • Ein einziger potenzieller Fehlerpunkt, nämlich die VPN-Software selbst. Selbst wenn es bei Immich eine Zero-Day-Sicherheitslücke gibt, sind Sie nicht gefährdet.
  • Sowohl Wireguard als auch OpenVPN werden unabhängig sicherheitsgeprüft, sodass das Risiko schwerwiegender Zero-Day-Exploits minimal ist.

Nachteile

  • Wenn Sie keine statische IP-Adresse haben, müssen Sie ein Dynamic DNS einrichten. DuckDNS ist ein kostenloser DDNS-Anbieter.
  • VPN-Software muss sowohl auf der Server- als auch auf der Client-Seite installiert und aktiv sein.
  • Sie müssen einen Port an Ihrem Router zu Ihrem Server freigeben.

Option 2: Tailscale

Wenn Sie keinen Port an Ihrem Router für Wireguard oder OpenVPN zu Ihrem Server freigeben können, ist Tailscale eine gute Option. Tailscale vermittelt einen Peer-to-Peer-Wireguard-Tunnel zwischen Ihrem Server und Ihrem Remote-Gerät, selbst wenn eines oder beide hinter einer NAT-Firewall stehen.

Video-Anleitung

Lernen Sie, wie Sie Tailscale zusammen mit Immich einrichten können, mit dem von ihnen erstellten Video-Tutorial.

Vorteile

  • Minimale Konfiguration auf Server- und Client-Seite erforderlich.
  • Sie sind vor Zero-Day-Sicherheitslücken bei Immich geschützt.

Nachteile

  • Der Tailscale-Client muss in der Regel als root auf Ihren Geräten ausgeführt werden, was im Vergleich zu einem minimalen Wireguard-Server die Angriffsfläche leicht erhöht. Beispielsweise wurde im November 2022 eine RCE-Sicherheitslücke im Windows-Tailscale-Client entdeckt.
  • Tailscale ist ein kostenpflichtiger Dienst. Es gibt jedoch eine großzügige kostenlose Stufe, die bis zu 3 Benutzer und bis zu 100 Geräte erlaubt.
  • Tailscale muss sowohl auf der Server- als auch auf der Client-Seite installiert und aktiv sein.

Option 3: Reverse Proxy

Ein Reverse Proxy ist ein Dienst, der zwischen Webservern und Clients sitzt. Ein Reverse Proxy kann entweder direkt auf dem Server oder remote gehostet werden. Clients können über HTTPS mit dem Reverse Proxy verbinden, und der Proxy leitet die Daten an Immich weiter. Dieses Setup macht am meisten Sinn, wenn Sie eine eigene Domain haben und auf Ihre Immich-Instanz wie auf jede andere Website von außerhalb Ihres LAN zugreifen möchten. Sie können auch einen DDNS-Anbieter wie DuckDNS oder no-ip nutzen, wenn Sie keine eigene Domain haben. Diese Konfiguration ermöglicht es, dass die Android- und iPhone-Apps von Immich ohne VPN oder Tailscale-App auf der Client-Seite auf Ihren Server zugreifen können.

Wenn Sie Ihren eigenen Reverse Proxy hosten, ist Nginx eine großartige Option. Eine Beispielkonfiguration für Nginx finden Sie hier.

Sie benötigen auch ein eigenes Zertifikat, um HTTPS-Verbindungen zu authentifizieren. Wenn Sie Immich öffentlich zugänglich machen, kann Let's Encrypt ein kostenloses Zertifikat für Ihre Domain bereitstellen und ist die empfohlene Option. Alternativ ermöglicht ein selbstsigniertes Zertifikat Ihnen, Ihre Verbindung zu Immich zu verschlüsseln; es erzeugt jedoch eine Sicherheitswarnung im Browser des Clients.

Ein Remote-Reverse-Proxy wie Cloudflare erhöht die Sicherheit, indem er die Server-IP-Adresse verbirgt. Dadurch werden gezielte Angriffe wie DDoS erschwert.

Vorteile

  • Es muss keine zusätzliche Software auf der Client-Seite installiert werden.
  • Wenn Sie nur Zugriff auf die Weboberfläche remote benötigen, können Zugriffskontrollen eingerichtet werden, die Sie vor Zero-Day-Schwachstellen bei Immich schützen. Cloudflare Access bietet eine großzügige kostenlose Stufe.

Nachteile

  • Komplexe Konfiguration.
  • Abhängig von Ihrer Konfiguration können sowohl die Immich-Weboberfläche als auch API dem Internet ausgesetzt werden. Immich wird sehr aktiv entwickelt, und das Vorhandensein schwerwiegender Sicherheitslücken kann nicht ausgeschlossen werden.