Saltar al contenido principal

Acceso Remoto

Esta página ofrece algunos consejos sobre cómo acceder a tu instancia de Immich desde fuera de tu red local (LAN). Puedes leer la discusión completa en Discord

peligro

Nunca expongas directamente el puerto 2283 a Internet sin una configuración adicional. Esto expondrá la interfaz web a través de http a Internet, haciéndote vulnerable a ataques de tipo hombre en el medio.

Opción 1: VPN a la red doméstica

Puedes usar un servicio de VPN para establecer una conexión encriptada a tu instancia de Immich. OpenVPN y Wireguard son dos soluciones populares de VPN. Aquí hay una guía sobre cómo configurar el acceso VPN a tu servidor - Documentación de Pihole

Pros

  • Fácil de configurar y muy seguro.
  • Un único punto de posible fallo, es decir, el propio software VPN. Incluso si hay una vulnerabilidad de día cero en Immich, no estarás en riesgo.
  • Tanto Wireguard como OpenVPN han sido evaluados de forma independiente en cuanto a seguridad, por lo que el riesgo de exploits graves de día cero es mínimo.

Contras

  • Si no tienes una dirección IP estática, necesitarás configurar un DNS Dinámico. DuckDNS es un proveedor gratuito de DDNS.
  • Se necesita instalar y tener activo el software VPN tanto en el lado del servidor como en el cliente.
  • Requiere abrir un puerto en tu router hacia tu servidor.

Opción 2: Tailscale

Si no puedes abrir un puerto en tu router para Wireguard o OpenVPN hacia tu servidor, Tailscale es una buena opción. Tailscale media un túnel peer-to-peer de Wireguard entre tu servidor y tu dispositivo remoto, incluso si uno o ambos están detrás de un firewall NAT.

Videotutorial

Puedes aprender cómo configurar Tailscale junto con Immich con el video tutorial que crearon.

Pros

  • Configuración mínima necesaria tanto en el lado del servidor como en el cliente.
  • Estás protegido contra vulnerabilidades de día cero en Immich.

Contras

  • El cliente de Tailscale usualmente necesita ejecutarse como root en tus dispositivos, lo que aumenta ligeramente la superficie de ataque comparado con un servidor Wireguard mínimo. Por ejemplo, una vulnerabilidad RCE fue descubierta en el cliente Tailscale para Windows en noviembre de 2022.
  • Tailscale es un servicio de pago. Sin embargo, tiene un plan gratuito generoso que permite hasta 3 usuarios y hasta 100 dispositivos.
  • Tailscale necesita ser instalado y estar ejecutándose tanto en el lado del servidor como en el cliente.

Opción 3: Proxy Inverso

Un proxy inverso es un servicio que se encuentra entre los servidores web y los clientes. Un proxy inverso puede alojarse en el propio servidor o de manera remota. Los clientes pueden conectarse al proxy inverso a través de https, y el proxy retransmite datos hacia Immich. Esta configuración tiene sentido si tienes tu propio dominio y quieres acceder a tu instancia de Immich como cualquier otro sitio web desde fuera de tu LAN. También puedes usar un proveedor de DDNS como DuckDNS o no-ip si no tienes un dominio. Esta configuración permite que las aplicaciones de Immich para Android y iPhone se conecten a tu servidor sin la necesidad de una aplicación de VPN o Tailscale en el lado del cliente.

Si estás alojando tu propio proxy inverso, Nginx es una gran opción. Aquí se proporciona una configuración de ejemplo para Nginx aquí.

También necesitarás tu propio certificado para autenticar las conexiones https. Si estás haciendo que Immich sea accesible públicamente, Let's Encrypt puede proporcionarte un certificado gratuito para tu dominio y es la opción recomendada. Alternativamente, un certificado firmado por ti mismo te permite encriptar tu conexión a Immich, pero genera una advertencia de seguridad en el navegador del cliente.

Un proxy inverso remoto como Cloudflare aumenta la seguridad ocultando la dirección IP del servidor, lo que dificulta ataques dirigidos como los DDoS.

Pros

  • No se necesita instalar software adicional en el lado del cliente.
  • Si solo necesitas acceso remoto a la interfaz web, es posible configurar controles de acceso que te protejan contra vulnerabilidades de día cero en Immich. Cloudflare Access tiene un plan gratuito generoso.

Contras

  • Configuración compleja.
  • Dependiendo de tu configuración, tanto la interfaz web de Immich como la API pueden quedar expuestas a Internet. Immich está en desarrollo muy activo, y no se puede descartar la existencia de vulnerabilidades graves de seguridad.