auf vServer wechseln wg. schnellem Inet daheim?

[WDZaphod]

Hallo Leute,
ich habe seit ein paar Tagen die Möglichkeit, meinen Internetanschluß etwas aufzumöbeln, auf 100/7MBit mit zwei dynamischen IPs.
Nun bin ich am überlegen, mein Webhosting (3x vBulletin, 34 EMail Accounts, 30 Webseiten) nach Hause zu verlagern. Das mit den dynamischen IPs ist natürlich ehr blöd, daher die Idee:
Den dicken Rootserver kündigen, anstelle einen billigen vServer mieten (5 Eur?), VPN-Client drauf, und nach Hause (via Fritz-VPN) verbinden lassen. Daheim läuft dann mein Qnap-NAS mit mysql und nfs-Shares für wwwroot und Mailkonten. Das hätte auch den netten Effekt, daß ich sehr schnell mal ein paar Bilder "auf den Server" schaffen kann, weil es ja eh lokal liegt.
Hat damit jemand Erfahrung? Als VPN-Client würde ich Shrewsoft verwenden.
Alternative: Alles (außer den SSH-Zugang vom vServer) über das VPN tunneln, und alle Dienste daheim lokal laufen lassen. Hat das schonmal jemand gemacht? Was für Probleme gab es?

Grüße & danke!

 

[CentY]

Der Upload ist aber immer noch nicht berauschend. Stark besucht dürfen die Seiten net sein.

 

[Armadillo]

Ein Server schiebt in der Regel immer ein Vielfaches von dem was er reinbekommt wieder raus.

Sprich: Dumme Idee.

 

[d4f]

Des weiteren nicht zu vergessen
-niedrige QoS
-keine Uptimegarantie
-keine Bandbreitengarantie (wieviel von den 7Mb/s Upstream kriegst du wirklich?)
-kein Notstrom
-...

 

[matzewe01]

Allerdings liese sich das mit der Bandbreite und einem vorgeschaltenem Proxy etwas entschärfen.
Wenn die Bilder nur noch bzw. zum grössten Teil vom vServer (gecacht vor vorgelagerten Proxy) kommen, dann dürften die 7 Mbit weit reichen.

Zu meinen "Anfangszeiten" war die Netzwerkanbindung eines damals nicht unbedeutenden Provider (vor ca. 13 Jahren) gerade mal 1MBit. Mit etwas Hinrschmalz und einem Gespür Seiten wirklich zu optimieren und nicht mit Belibig grossen Bildern voll müllen, dürfte er das durchaus gut hosten können.

 

[d4f]

Vor zirka 13 Jahren nudelte ich auch noch mit einem 32kb/s Modem durch's Netzwerk, heutzutage werden Glasfaser- oder Kabelanschluss mit 100Mb/s (sowie entsprechende aDSL2+/vDSL-Angebote) immer verbreiteter.

Natuerlich liesse sich die Bandbreite mit einem Caching-Proxy verbessern, aber die Leistung, Erreichbarkeit und Bandbreitenqualitaet eines normalen Servers wird er nie einhalten.
Kommt darauf an was er braucht; fuer die eigene Webseite mit 5 Hits/Tag sollte es reichen, fuer ein halbwegs besuchtes Forum duerfte schon nur die Erreichbarkeit ein KO-Kriterium sein.

 

[matzewe01]

Vor zirka 13 Jahren nudelte ich auch noch mit einem 32kb/s Modem durch's Netzwerk, heutzutage werden Glasfaser- oder Kabelanschluss mit 100Mb/s (sowie entsprechende aDSL2+/vDSL-Angebote) immer verbreiteter.

Was letzendlich dazu geführt hat, dass Webseiten aufgeblasener werden.
-> Inhaltlich seltener aber die Faulheit leider stark dazu beiträgt keine max. 200k für eine Seite ein zu halten. Obwohl das auch heute in vielen Fällen locker möglich wäre.

Die "Verfügbarkeit" ist auch so eine Mähr.
Die Pingzeiten zwischen Server und DSL angebundem Host sind häufig auch nicht so viel schlechter als zwischen 2 RZ Standorten innerhalb D. oder teilweise sogar innerhalb eines Providernetzes.

Aus den Statistiken eines vBB Forums mit teilweise 100 Gleichzeitigen Benutzern welches viele bilder beinhaltete, kam ich selten über eine Bandbreite von 2Mbit.

-> Das wiederum ist noch keine 5 Monate her.

Die DSL Verbindungen welche wir Unternehmensintern (keine Business DSL) nutzen sind durchgängig einiger Provider, sehr stabil.
-> Die Werte wiederum nehme ich aus dem Inhous Monitoring.
Wobei Pingzeiten zwischen den per T-DSL angebunden Standorten z.B. München und Hamburg sowie auch im Hinterland Hindelang (1000er Leitung) bei durchnittlich 50 - 70 ms liegen.

Bei knapp 60 Leitungen und 25 Standorten können wir da ein passables durchnittliches Bild liefern.
Lediglich die Zwangstrennungen sind lästig.

Hast Du auch solche Erfahrungwerte auf die Du zurück greifen kannst?

 

[d4f]

Hast Du auch solche Erfahrungwerte auf die Du zurück greifen kannst?

Leider nur auf 5 Leitungen an 4 Standorten (3 Standorte privat, 1 kommerziell)
Einer davon ist in den letzten Monaten um den Faktor 3 langsamer geworden da ein DSLAM in der Gegend das Leitungssignal (5km Laenge) stark beeinflusst. In den Abendstunden geht das Signal verloren sobald zuviel Aktivitaet auf den Nachbarleitungen herrscht.
Eine andere hat in den Abendstunden ein Packetloss um 30%
Die dritte erhaelt Syncwerte zwiscehen 0.5Mb/s und 8Mb/s ohne ersichtliches Pattern in Uhrzeit und Signalwerten.
Eine der beiden gewerblichen Leitungen war fuer rund 2 Wochen ausser Betrieb da ein Lastwagen den DSLAM umgefahren hat. Laut Support sollte das Problem binnen 'Tagen' behoben sein.

Demnach, dass niedrigere Verfuegbarkeit eine Maehr sein soll bezweifele ich.
Meine Server bei HostEurope, Hetzner, OVH, Proplay, euServ, Dogado hatten nie vergleichbare Probleme. Zwar teilweise aergerliche Ausfaelle aber nie solche monatelang schleppende Probleme wo -laut Support- nichts gemacht wird da schlicht absolut keine SLA bestehen.

 

[WDZaphod]

Hallo,

erst mal Danke für die ganzen Rückmeldungen
Ich hatte schon einmal versucht, vom Rootie auf einen vServer umzuziehen, allerdings hatte der Provider damals arge Probleme mit der Last der Datenbank. Mittlerweile sind die Foren aber sehr ruhig, wenn da 10 User (pro Forum) gleichzeitig online sind, ist das schon viel. Ich habe ca. 1.5GB Traffic pro Monat, relativ konstant über den Tag/die Woche verteilt, d.h. kaum Peaks.
Da momentan auf dem Rootie eh VMWare-Server läuft, und darunter erst der eigentliche Webserver (hab 6 IPs für Gäste), werde ich das wohl einfach erst mal ausprobieren. Sozusagen meinen eigenen vServer bauen, und dann das VPN drauf. Ich berichte, sobald es läuft!

Hat jemand schon einmal versucht, den gesamten Netzwerkkartentraffic über ein VPN zu tunneln?

 

[Armadillo]

Hat jemand schon einmal versucht, den gesamten Netzwerkkartentraffic über ein VPN zu tunneln?

Default Gateway aufs VPN richten, also deinen vServer (bzw. dessen VPN-Adresse).

 

[d4f]

Ein solches Setup hatte ich auch schon mal (Server<->Server) in Betrieb, wuerde es aber in diesem Fall durch die oben beschriebenen Einschraenkungen NICHT empfehlen.
Spaetestens wenn ein Kiddie mit einer/paar 0815 16Mb/s-DSL-Leitung(en) deinen Server dos't ist Schluss mit lustig.

- Im Apache auf dem Backend musst du mit mod_proxy die IP korrigieren
- Auf dem vServer solltest du nginx mit Caching fuer nicht-dynamischen Inhalt konfigurieren
- Der vServer soll ausserdem die Anzahl der Verbindungen je IP drosseln
- mod_evasive auf dem Backend soll auf dem Frontend die IPtables-Regeln anlegen

Ein Tunnel kannst du bereits per "ssh -w" aufbauen, die entsprechende Konfig findest du im Internet.

Ich empfehle dieses Setup User->Server-[Dsl]->Server NICHT

 

[siradlib]

Lediglich die Zwangstrennungen sind lästig.

Und selbst die sind teilweise Vergangenheit: Ich habe zu Hause bei meinem Vodafone (ex. Arcor) DSL eine Connection Uptime von inzwischen 46 Tagen. (Router-Uptime sind 94 Tage.)
Vodafone behauptet, dass es sich um einen technischen Fehler handelt. Wenn der sich so äußert, ist mir das aber völlig egal.

LG siradlib

 

[WDZaphod]

Die Trennungen sind bei mir kein Problem, ich bekomme hier in der Schweiz monatlich die Warnung von dydns, daß seit einem Monat kein update kam. Die IPs halten monatelang, Zwangstrennungen gibt es bei Cable keine

 

[matzewe01]

Eine der beiden gewerblichen Leitungen war fuer rund 2 Wochen ausser Betrieb da ein Lastwagen den DSLAM umgefahren hat. Laut Support sollte das Problem binnen 'Tagen' behoben sein.

Das ist offen gestanden Schicksal.

Und natürlich gibt es keine SLA wie bei einem rootserver.
Schaut man sich aber einzelne Provider an, sind auch die nicht vor längeren ausfällen gefeit.

-> Deine Aussage hörte sich sehr nach "DSL ständig ausfälle und Probleme an".
Bei den 100MBit gehe ich davon aus, dass er keine 5 Kilometer vom nächsten ATM ist und eine besser ausgebaute Infrastruktur vorfindet, als auf dem "Land".

-> Etwaige Schwankungen büdelt der vorgeschaltete Proxy aus.
Unwichtig ist das nicht. Ganz Ausfälle natürlich nicht.

Die einzige Frage, die ich mir dabei Stelle:

-> würde er nicht bedeutend billiger fahren, wenn er dennoch einen "kleinen" Rootserver nimmt?
Allein die Stromkosten dürften hier schon deutlich höher werden.
Vom Ausfallrisiko weiterer Komponenten wie DSL Modem, Router, der Server selbst, Stromausfall mal abgesehn. Das wurde ja schon genannt.

 

[matzewe01]

- Im Apache auf dem Backend musst du mit mod_proxy die IP korrigieren

Muss er nicht. Wenn die IPs über den Tunnel geroutet werden, dann nimmt er die VPN (meinetwegen vlan) IPs.

- Der vServer soll ausserdem die Anzahl der Verbindungen je IP drosseln

Von aussen rein oder vom vServer über Proxy zum Zielhost?

- mod_evasive auf dem Backend soll auf dem Frontend die IPtables-Regeln anlegen

Ob das wohl notwendig ist, wenn der Proxy die nötigen Requests in den Tunnel zum Server weiter leitet?

 

[matzewe01]

Und selbst die sind teilweise Vergangenheit: Ich habe zu Hause bei meinem Vodafone (ex. Arcor) DSL eine Connection Uptime von inzwischen 46 Tagen. (Router-Uptime sind 94 Tage.)

Solche Erfahrungen habe ich teilweise auch.
Einzelne Provider die nicht trennen. Obwohl es in den Vertragvereinbarungen steht.

 

[d4f]

Muss er nicht. Wenn die IPs über den Tunnel geroutet werden, dann nimmt er die VPN (meinetwegen vlan) IPs.

Dann muss der Backend wieder alles machen ohne dass der Server cachen kann.

Von aussen rein oder vom vServer über Proxy zum Zielhost?

Von aussen rein. Das sollte zumindest Angriffsversuche wie slowloris (welches eh bei nginx ins leere geht) oder mit 'ab' eliminieren.

Ob das wohl notwendig ist, wenn der Proxy die nötigen Requests in den Tunnel zum Server weiter leitet?

Ich habe zumindest leider keine Logik fuer nginx gefunden welche den Request analysiert und blockiert. Eine Webapplication-Firewall ersetzt das natuerlich auch nicht - eine solche ( PHP-IDS ) laesst sich aber als auto_prepend in PHP einfach nachruesten.

Bei den 100MBit gehe ich davon aus, dass er keine 5 Kilometer vom nächsten ATM ist und eine besser ausgebaute Infrastruktur vorfindet, als auf dem "Land".

WIeviel von den 100Mb/s kriegt er ueberhaupt wirklich? Wir wissen weder Anchlussmethode (DSL, Kabel oder Glasfaser?) noch weitere Daten.
Uebrigens ist hier in Luxemburg selbst 16Mb/s in der Hauptstadt schon eher eine Ausnahme.

 

[matzewe01]

Punkt 1 hast Du falsch verstanden bzw. ich nicht klar verdeutlicht.
Der Proxy nimmt die Requests an.
Wenn er z.B. auf dem auf dem vHost einen apache mod_proxy verwendet könnte er mit Apache und mod_sec etc. einiges erschlagen.

Nginx kenne ich nicht gut genug. Alternativ wäre ggf. noch squid nutzbar.

-> Erst der Apache/ Proxy leitet dann in den Tunnel von daher kann er weiterhin auf statische Adressen bauen.

Für den von Ihm geschilderten Anwendungsfall, 6 Benutzer auf einem forum dürfte selbst eine 6000er ausreichend sein.
Sicherlich keine Geschwindigkeitrekord aber brauchbar.

 

[CentY]

Er darf dann aber die Leitung selbst weder zum Spielen noch zum Surfen nehmen, sonst ist sowieso Schicht im Schacht.

 

[matzewe01]

Ein DVD Image etc. sollte er wohl nicht darüber ziehen....

Wobei der Downstream ausreichend genug ist um mit dem "Upstream" der Forenbesucher nicht ins Gehege zu kommen.
Lediglich andersrum wird schwieriger.

Also grosse Daten versenden über diese Leitung.
Beim Rest, sofern eben der exteren Proxy die Datenmengen stark reduziert Speziell Bilder, warum soll er nicht darüber "normal" surfen können ohne gleich den Forenbetrieb lahm zu legen?
Die http Requests an für sich sind im Vergleich zu den antworten i.d.R. "klein". Sicherlich massive uploads bremsen das ganze aus.

Der Engpass ist ja von seinem Host zuhause nach Extern.
Wenn er diesen unnötig auslastet haben auch die Besucher keine Freude, die von extern die Daten abrufen.
Also einen Stream auf den max. 7MBit erzeugt.
Eine Entlastung bewirkt der Proxy auf dem vServer. Der statischen Content direkt ausliefert. Allerdings erzeugt auch ein VPN einen nicht unwesentlichen Overhead.