Ir para o conteúdo principal

Acesso Remoto

Esta página apresenta algumas dicas sobre como acessar sua instância do Immich fora de sua rede local (LAN). Você pode ler a discussão completa no Discord

perigo

Nunca encaminhe diretamente a porta 2283 para a internet sem configuração adicional. Isso exporá a interface web via http para a internet, tornando você vulnerável a ataques de homem no meio.

Opção 1: VPN para a rede doméstica

Você pode usar um serviço de VPN para abrir uma conexão criptografada com sua instância do Immich. OpenVPN e Wireguard são duas soluções populares de VPN. Aqui está um guia sobre como configurar acesso VPN ao seu servidor - Documentação do Pihole

Vantagens

  • Simples de configurar e muito seguro.
  • Único ponto de potencial falha, ou seja, o próprio software VPN. Mesmo que haja uma vulnerabilidade de dia zero no Immich, você não estará em risco.
  • Tanto o Wireguard quanto o OpenVPN são auditados independentemente em termos de segurança, reduzindo ao mínimo o risco de exploits graves de dia zero.

Desvantagens

  • Se você não tiver um endereço IP estático, será necessário configurar um DNS Dinâmico. O DuckDNS é um provedor gratuito de DDNS.
  • O software VPN precisa ser instalado e estar ativo tanto no servidor quanto no cliente.
  • Requer abrir uma porta no seu roteador para o seu servidor.

Opção 2: Tailscale

Se você não puder abrir uma porta no seu roteador para o Wireguard ou OpenVPN no seu servidor, Tailscale é uma boa opção. O Tailscale medeia um túnel Wireguard peer-to-peer entre seu servidor e dispositivo remoto, mesmo que um ou ambos estejam atrás de um firewall NAT.

Tutorial em vídeo

Você pode aprender como configurar o Tailscale junto com o Immich no vídeo tutorial que eles criaram.

Vantagens

  • Configuração mínima necessária no servidor e no cliente.
  • Você está protegido contra vulnerabilidades de dia zero no Immich.

Desvantagens

  • O cliente Tailscale geralmente precisa ser executado como root em seus dispositivos, o que aumenta ligeiramente a superfície de ataque em comparação a um servidor Wireguard minimalista. Por exemplo, uma vulnerabilidade de RCE foi descoberta no cliente Tailscale para Windows em novembro de 2022.
  • O Tailscale é um serviço pago. No entanto, há uma camada gratuita generosa que permite até 3 usuários e até 100 dispositivos.
  • O Tailscale precisa ser instalado e em execução tanto no servidor quanto no cliente.

Opção 3: Proxy Reverso

Um proxy reverso é um serviço que fica entre servidores web e clientes. Um proxy reverso pode ser hospedado no próprio servidor ou remotamente. Os clientes podem se conectar ao proxy reverso através de https, e o proxy retransmite os dados para o Immich. Este setup faz mais sentido se você possui seu próprio domínio e deseja acessar sua instância do Immich como qualquer outro site, fora de sua LAN. Você também pode usar um provedor de DDNS como DuckDNS ou no-ip se não tiver um domínio. Esta configuração permite que os aplicativos Android e iPhone do Immich se conectem ao seu servidor sem precisar de um aplicativo VPN ou Tailscale no cliente.

Se você estiver hospedando seu próprio proxy reverso, Nginx é uma ótima opção. Uma configuração de exemplo para o Nginx é fornecida aqui.

Você também precisará de seu próprio certificado para autenticar conexões https. Se você estiver tornando o Immich publicamente acessível, o Let's Encrypt pode fornecer um certificado gratuito para seu domínio e é a opção recomendada. Alternativamente, um certificado autoassinado permite criptografar sua conexão com o Immich, mas gera um alerta de segurança no navegador do cliente.

Um proxy reverso remoto como Cloudflare aumenta a segurança ao ocultar o endereço IP do servidor, dificultando ataques direcionados como DDoS.

Vantagens

  • Nenhum software adicional precisa ser instalado no lado do cliente
  • Se você só precisa de acesso à interface web remotamente, é possível configurar controles de acesso que protegem você de vulnerabilidades de dia zero no Immich. O Cloudflare Access possui uma camada gratuita generosa.

Desvantagens

  • Configuração complexa
  • Dependendo da sua configuração, tanto a interface web quanto a API do Immich podem ser expostas à internet. O Immich está em desenvolvimento muito ativo e a existência de vulnerabilidades graves de segurança não pode ser descartada.