Anzeige:

Virtueller Server welcher nicht direkt über das Internet erreichbar ist

mad_moses

Member
Hi Leute,

ich würde gerne einen Linux Server im Internet haben welcher nicht direkt über das Internet erreichbar ist.

Ich möchte unter anderem selbst geschrieben Web-Anwendungen mit alten Bibliotheken laufen lassen, welch unter Umständen Sicherheitslücken aufweisen könnten.

Dieser Server soll daher aus Sicherheitsgründen nicht direkt aus dem Internet erreichbar sein. (Evtl. eine art Router/Firewall davor, welche alle ports dicht macht und mich nur über eine VPN oder einen SSH Tunnel rein lässt).

Habt ihr sowas schon mal gemacht und habt einen Tipp?
(Ich nutze zur Zeit AWS und die Hetzner Cloud falls die das abbilden können)

DAnke
 

d4f

Kaffee? Wo?
Abgesehen von der Möglichkeit es lokal zu betreiben:

Theoretisch kann jeder Server diese Kombination ermöglichen.
Je nach Wunsch gibt es mehrere Optionen, die schlicht einfachste wäre im wohl aktuellen Webserver den Zugriff zu passwortschützen (HTTP Basic Auth um es einfach zu halten) - das funktioniert sogar mit jedem schnöden 1€-Webhosting.

Natürlich kann man auch über iptables den gesamten Zugriff auf den Webserver droppen und nur die eigene IP erlauben oder gar ein VPN aufbauen, aber die primäre Frage ist da; brauchst du es und macht es nicht die Arbeit zu kompliziert?
 

mad_moses

Member
Was spricht gegen VirtualBox@home?
1) Die Anwendung soll für die Leute die Sie testen bzw. normal nutzen (Kleiner ausgewählter kreis) immer erreichbar sein. Da kommt schon die ersten Probleme ... 24h trennung ... dyndns spielerein
2) Ich müsste noch einen extra Rechner kaufen, warten, konfigurieren.
3) Ich nehme an das so ein Rechner mal locker Mindestens 50 Watt zieht (50watt * 24h = 1,2kw/h pro Tag => 1,2kw/h *30 = 36kw/h im Monat => 36kw/h *0,3€/kw/h = 10,80€ im Monat ). Für 10,80€ im Monat bekomme ich ja locker einen VServer im Internet. Und wie gesagt, ich glaube 50Watt sind schon sehr optimistisch geschätzt.
 

Joe User

Zentrum der Macht
Warum sollte man eine völlig veraltete Software testen wollen?
Warum sollte man eine völlig veraltete Software nutzen wollen?

Für VirtualBox braucht man keinen extra Rechner.
DynDNS einrichten dauert wenige Minuten.

Der durch die Nutzung von völlig veralteter Software verursachte Schaden beträgt ein Vielfaches der 10,80€/Monat...

Was spricht gegen aktuelle und supportete Software?
 

DeaD_EyE

Blog Benutzer
VServer für 5€ im Monat, bisschen Nginx + Datenbank + Wireguard.

Datenbank lauscht nur lokal. Webserver lauscht auf die interne IP von Wireguard.
Effekt: Webserver ist nur erreichbar, wenn die Clients sich mit Wireguard zum Server verbinden.
Der Traffic ist verschlüsselt.

Es gibt Wireguard-Clients für: Android, Windows, Linux (daher kommt das) und für Mac und IOs sicherlich auch.
Die Konfiguration von Wireguard ist einfacher als bei OpenVPN.


Ich hätte auch keine Lust so etwas zu Hause zu hosten.
 

Thunderbyte

Moderator
Staff member
Du wirst wohl für sowas einen VServer Anbieter brauchen, der Dir - neben SSH / RDP auf den Server direkt auch eine parallele Verwaltungsoberfläche bietet, damit Du den VServer auch noch erreichen kannst, wenn irgendwas mit der Firewalleinstellung nicht passt oder Du Dich verkonfiguriert hast.

Eine Option, das "ohne VPN" und trotzdem sicher zu betreiben könnte https://www.zerotier.com/ sein. Aller Traffic aus dem Internet ist dicht, relevante Ports werden nur aus dem ZT Netzwerk erlaubt. Über die ZT Verwaltung können Rechner / User erlaubt oder ausgeschlossen werden. Wenn die Verwendung der IPs für Websites nicht passt, kann man auch (Sub)Domains auf die privaten ZT Domains legen und darüber arbeiten.

Für den Nutzer der Services ist das bei laufendem ZT Client nahezu transparent, man muss nicht ständig VPN Verbindungen auf/abbauen, der normale Traffic geht ganz normal übers Internet und nicht den VServer.

Vorteil: man kann die Firewall schon ganz grundlegend, abhängig von der "Netzwerkkarte" konfigurieren.

Ansonsten finde ich auch, dass man sich lieber Gedanken über neuere Software machen sollte als solche Krücken zu basteln.
 

mad_moses

Member
1) Die Software soll auch Sicherheitsgründen einfach nicht aus dem Internet erreichbar sein. Unabhängig davon das Sie aktuell ist oder nicht. Aktuelle Software kann genauso Sicherheitsprobleme haben. Stellte einfach vor die Software steuert einen Atomreaktor :p
2) Ich möchte meinen Desktop Rechner nicht 24h laufen lassen. (Der verbrauch zuviel und es wird ständig was geändert)

a) Zerotier klingt interessant, ist aber für das was ich machen will etwas teuer wenn ich das richtig verstehen. 50€ im Monat?
b) VServer mit Wireguard klingt schon ganz gut.
 

Thunderbyte

Moderator
Staff member
Die MyZerotier Verwaltungsoberfläche ist für bis zu 50 Geräte und einen Admin kostenfrei (man braucht nicht für jeden Nutzer einen MyZT Account). Wenn das nicht reicht, wirds teuer. Alternativ kann man sich ein eigenes Managementinterface ( https://key-networks.com/ztncui/ ) installieren, dann verwaltet man das selbst, es gibt keine Begrenzung an Geräten oder Personen / Accounts. ZT kann trotzdem "federated" betrieben werden, d.h. ein Gerät, das eine ID von MyZerotier hat kann in ein Netzwerk eines selbstverwalteten Controllers eingebunden werden und anders herum.
 

Pfiffikus

Member
Kauf Dir einen RaspberryPi und lass den 24/7 laufen. Die paar Zugriffe von wenigen Leuten aus Deinem ausgewählten Personenkreis wird auch ein Raspi packen.


Pfiffikus,
der davon ausgeht, dass der allenfalls um die 10W verbraucht
 

DeaD_EyE

Blog Benutzer
Eine Zeit lang konnte man Raspberry PI auch in Rechenzentren betreiben. Mittlerweile sind die Angebote wieder verschwunden. Schade, da sich so eine Plattform ideal für IoT-Gedöns eignet. Ich denke mal, dass es für die Betreiber nicht wirtschaftlich war und zu viel Aufwand gewesen ist.
 

d4f

Kaffee? Wo?
Schade, da sich so eine Plattform ideal für IoT-Gedöns eignet.
Meines Erachtens gab es keinerlei Vorteile für einen gehosteten RPI verglichen mit einem gleich teuren paravirtualisierten x86_64 Server.
Ähnlich den OVH RPS Server (DIY Blades mit iSCSI Datenträger) ist es den Mehraufwand und die Mehrkosten von physischer Hardware schlicht nicht wert.
 

DeaD_EyE

Blog Benutzer
Meines Erachtens gab es keinerlei Vorteile für einen gehosteten RPI verglichen mit einem gleich teuren paravirtualisierten x86_64 Server.
Das ändert sich in den kommenden Jahren. Keine SoCs, sondern Server mit ARM und Risc V Prozessoren.

ARM wird für Server immer interessanter und an Risc V wird auch gearbeitet.

Sobald Risk V die gleiche Rechenleistung erzielen kann wie ein x86, wird man den x86 wie eine heiße Kartoffel fallen lassen.
Da der ISA des x86 proprietär ist, gibt es nur 2 Hersteller auf der Welt mit Lizenzen. Intel und AMD. Das wird sich auch nicht mehr ändern.

Niemand anderes darf x86 Prozessoren herstellen. Bei ARM ist es anders organisiert.
Diese Prozessoren kann/darf jeder herstellen, sobald die Lizenzgebühren bezahlt sind (es gibt unterschiedliche Bezahlmodelle).

In Zukunft werden Hersteller mit der Risc V Architektur viel Geld sparen.
Das wird aber noch dauern.
 

MadMakz

Member
Das wird aber noch dauern.
Mit dem Ampere Altra ist man eigentlich schon gut dabei. Muss man nur noch kaufen (können) und ins RZ stellen. Problem ist nur das TSMC ziemlich am permanenten Produktionslimit läuft mit AMD und nVidia.
 

d4f

Kaffee? Wo?
Das ändert sich in den kommenden Jahren. Keine SoCs, sondern Server mit ARM und Risc V Prozessoren.
Warum sollte sich das in den kommenden Jahren ändern? Auch bei ARM und anderen RISC-Systemen lohnen sich dedizierte Cores oder Paravirtualisierung auf einem hochskalierten System deutlich mehr, als lauter einzelne langsame und damit ineffiziente Systeme zu hosten.
Für Menschen und Server gilt gleichwohl; Appartments sind deutlich effizienter, platzsparender und luxeriöser beim gleichen Preis. Man hat aber eine Reihe Einschränkungen zum eigenen Häusle...


Da der ISA des x86 proprietär ist, gibt es nur 2 Hersteller auf der Welt mit Lizenzen. Intel und AMD. Das wird sich auch nicht mehr ändern.
Naja, aktuell gibt es 4 Hersteller von x64 Prozessoren, nicht 2. Das altehrwürdige VIA (Nr.3) sollte man nicht vergessen, auch wenn man von der VIA-Jointventure Zhaoxin (Nr.4) hier nichts hört. Die x86-Hardwareemulatoren (zumeinst 486) bleiben aussen vor, da doch etwas zu speziell.

Bei ARM ist es anders organisiert.
Diese Prozessoren kann/darf jeder herstellen, sobald die Lizenzgebühren bezahlt sind (es gibt unterschiedliche Bezahlmodelle).
Vollständigkeitshalber; allein die Lizenzebühr gibt dir nur Anrecht auf den "Sourcecode" und Referenzimplementierungen. Vorteil (und auch Krux!) von ARM ist die Erweiterbarkeit und Anpassbarkeit welche eben genau die Flexibilität bietet die man heute sieht, von Ampere über M1 zu Snapdragons.

In Zukunft werden Hersteller mit der Risc V Architektur viel Geld sparen.
Mit den gigantischen Patent-Archiven der etablierten Anbieter? Ich glaube nicht dran.
Ob eine Zerlegung der IT-Infrastruktur auf 100e vendor-lock-in proprietäre nicht-nutzererweiterbare Systeme mit closed-source Treiberblobs für die Kunde vorteilhafter sind als die recht flexible und gut bekannten etablierten Architekturen? M1 ist eine gute Indikation dafür wo es eher hingeht; der Hersteller spart Geld und lästige Kundenwartbarkeit. Der Kunde spart kein Geld und muss für jedes Detail die teure Herstellerreparatur nehmen.
 

DeaD_EyE

Blog Benutzer
Niemand investiert in etwas, dass völlig aussichtslos ist: https://riscv.org/members/
(paar Ausnahmen gibt es immer)

Ich bin da recht zuversichtlich, dass die Hersteller Geld sparen wollen.

Die Alternative: Sämtliche Patente weltweit abschaffen.
Kein Markenrecht, keine Patente und runde Ecken, schnelle bezahlbare Server.
 

mad_moses

Member
Ich hab jetzt mit jemanden Zufällig letztens telefoniert, der sich mit AWS auskennt und das aktuell bei vielen Firmen macht.

Man kann wohl einfach bei AWS ein VPC einrichten und in den ec2 policies festlegen, dass der Server nur über die VPC erreichbar ist.

Leider noch nicht getestet aber ich hoffe am Wochenende bekomme ich das hin.
 

marce

Well-Known Member
das gilt für jeden Hosting-Dienstleister.

... wie hier schon öfters gesagt: das gewünschte Feature ist mit jedem bel. (V)Server-Anbieter möglich.
 
Top