Passer au contenu principal

Accès à distance

Cette page donne quelques conseils sur la façon d'accéder à votre instance Immich depuis l'extérieur de votre réseau local. Vous pouvez lire la discussion complète sur Discord

danger

Ne transférez jamais le port 2283 directement sur Internet sans configuration supplémentaire. Cela exposera l'interface web via HTTP sur Internet, vous rendant vulnérable aux attaques de l'homme du milieu (man-in-the-middle).

Option 1 : VPN vers le réseau domestique

Vous pouvez utiliser un service VPN pour établir une connexion cryptée à votre instance Immich. OpenVPN et Wireguard sont deux solutions VPN populaires. Voici un guide sur la configuration de l'accès VPN à votre serveur - Documentation Pihole

Avantages

  • Facile à configurer et très sécurisé.
  • Point de défaillance potentiel unique, c'est-à-dire, le logiciel VPN lui-même. Même s'il y a une vulnérabilité zero-day sur Immich, vous ne serez pas en danger.
  • Wireguard et OpenVPN ont tous deux été audités de manière indépendante en matière de sécurité, de sorte que le risque d'exploits zero-day graves est minimal.

Inconvénients

  • Si vous n'avez pas d'adresse IP fixe, vous devrez configurer un DNS dynamique. DuckDNS est un fournisseur DDNS gratuit.
  • Le logiciel VPN doit être installé et actif à la fois du côté du serveur et du client.
  • Nécessite d'ouvrir un port sur votre routeur vers votre serveur.

Option 2 : Tailscale

Si vous ne pouvez pas ouvrir un port sur votre routeur pour Wireguard ou OpenVPN vers votre serveur, Tailscale est une bonne option. Tailscale facilite un tunnel peer-to-peer Wireguard entre votre serveur et votre appareil distant, même si l'un ou les deux se trouvent derrière un pare-feu NAT.

Tutoriel vidéo

Vous pouvez apprendre à configurer Tailscale avec Immich grâce au tutoriel vidéo qu'ils ont créé.

Avantages

  • Configuration minimale nécessaire à la fois côté serveur et côté client.
  • Vous êtes protégé contre les vulnérabilités zero-day sur Immich.

Inconvénients

  • Le client Tailscale doit généralement s'exécuter en tant que root sur vos appareils, ce qui augmente légèrement la surface d'attaque par rapport à un serveur Wireguard minimal. Par exemple, une vulnérabilité RCE a été découverte sur le client Tailscale Windows en novembre 2022.
  • Tailscale est un service payant. Cependant, il existe une offre gratuite généreuse qui permet jusqu'à 3 utilisateurs et jusqu'à 100 appareils.
  • Tailscale doit être installé et en cours d'exécution à la fois côté serveur et côté client.

Option 3 : Proxy inversé

Un proxy inversé est un service qui agit entre les serveurs web et les clients. Un proxy inversé peut être hébergé sur le serveur lui-même ou à distance. Les clients peuvent se connecter au proxy inversé via HTTPS, et le proxy relaie les données à Immich. Cette configuration a du sens si vous avez votre propre domaine et souhaitez accéder à votre instance Immich comme à n'importe quel autre site web, depuis l'extérieur de votre réseau local. Vous pouvez également utiliser un fournisseur DDNS comme DuckDNS ou no-ip si vous n'avez pas de domaine. Cette configuration permet aux applications Android et iPhone Immich de se connecter à votre serveur sans une application VPN ou Tailscale côté client.

Si vous hébergez votre propre proxy inversé, Nginx est une excellente option. Une configuration exemple pour Nginx est fournie ici.

Vous aurez également besoin de votre propre certificat pour authentifier les connexions HTTPS. Si vous rendez Immich accessible publiquement, Let's Encrypt peut fournir un certificat gratuit pour votre domaine et c'est l'option recommandée. Sinon, un certificat auto-signé permet de crypter votre connexion à Immich, mais il génère un avertissement de sécurité sur le navigateur client.

Un proxy inversé distant comme Cloudflare augmente la sécurité en masquant l'adresse IP du serveur, ce qui rend les attaques ciblées comme DDoS plus difficiles.

Avantages

  • Aucun logiciel supplémentaire n'a besoin d'être installé côté client.
  • Si vous n'avez besoin d'accéder qu'à l'interface web à distance, il est possible de configurer des contrôles d'accès qui vous protègent des vulnérabilités zero-day sur Immich. Cloudflare Access offre une formule gratuite généreuse.

Inconvénients

  • Configuration complexe.
  • Selon votre configuration, à la fois l'interface web et l'API Immich peuvent être exposées à Internet. Immich est en développement très actif et l'existence de vulnérabilités de sécurité graves ne peut être exclue.