Virtueller Server welcher nicht direkt über das Internet erreichbar ist

mad_moses

Member
Hi Leute,

ich würde gerne einen Linux Server im Internet haben welcher nicht direkt über das Internet erreichbar ist.

Ich möchte unter anderem selbst geschrieben Web-Anwendungen mit alten Bibliotheken laufen lassen, welch unter Umständen Sicherheitslücken aufweisen könnten.

Dieser Server soll daher aus Sicherheitsgründen nicht direkt aus dem Internet erreichbar sein. (Evtl. eine art Router/Firewall davor, welche alle ports dicht macht und mich nur über eine VPN oder einen SSH Tunnel rein lässt).

Habt ihr sowas schon mal gemacht und habt einen Tipp?
(Ich nutze zur Zeit AWS und die Hetzner Cloud falls die das abbilden können)

DAnke
 

d4f

Kaffee? Wo?
Abgesehen von der Möglichkeit es lokal zu betreiben:

Theoretisch kann jeder Server diese Kombination ermöglichen.
Je nach Wunsch gibt es mehrere Optionen, die schlicht einfachste wäre im wohl aktuellen Webserver den Zugriff zu passwortschützen (HTTP Basic Auth um es einfach zu halten) - das funktioniert sogar mit jedem schnöden 1€-Webhosting.

Natürlich kann man auch über iptables den gesamten Zugriff auf den Webserver droppen und nur die eigene IP erlauben oder gar ein VPN aufbauen, aber die primäre Frage ist da; brauchst du es und macht es nicht die Arbeit zu kompliziert?
 

mad_moses

Member
Was spricht gegen VirtualBox@home?
1) Die Anwendung soll für die Leute die Sie testen bzw. normal nutzen (Kleiner ausgewählter kreis) immer erreichbar sein. Da kommt schon die ersten Probleme ... 24h trennung ... dyndns spielerein
2) Ich müsste noch einen extra Rechner kaufen, warten, konfigurieren.
3) Ich nehme an das so ein Rechner mal locker Mindestens 50 Watt zieht (50watt * 24h = 1,2kw/h pro Tag => 1,2kw/h *30 = 36kw/h im Monat => 36kw/h *0,3€/kw/h = 10,80€ im Monat ). Für 10,80€ im Monat bekomme ich ja locker einen VServer im Internet. Und wie gesagt, ich glaube 50Watt sind schon sehr optimistisch geschätzt.
 

Joe User

Zentrum der Macht
Warum sollte man eine völlig veraltete Software testen wollen?
Warum sollte man eine völlig veraltete Software nutzen wollen?

Für VirtualBox braucht man keinen extra Rechner.
DynDNS einrichten dauert wenige Minuten.

Der durch die Nutzung von völlig veralteter Software verursachte Schaden beträgt ein Vielfaches der 10,80€/Monat...

Was spricht gegen aktuelle und supportete Software?
 

DeaD_EyE

Blog Benutzer
VServer für 5€ im Monat, bisschen Nginx + Datenbank + Wireguard.

Datenbank lauscht nur lokal. Webserver lauscht auf die interne IP von Wireguard.
Effekt: Webserver ist nur erreichbar, wenn die Clients sich mit Wireguard zum Server verbinden.
Der Traffic ist verschlüsselt.

Es gibt Wireguard-Clients für: Android, Windows, Linux (daher kommt das) und für Mac und IOs sicherlich auch.
Die Konfiguration von Wireguard ist einfacher als bei OpenVPN.


Ich hätte auch keine Lust so etwas zu Hause zu hosten.
 

Thunderbyte

Moderator
Staff member
Du wirst wohl für sowas einen VServer Anbieter brauchen, der Dir - neben SSH / RDP auf den Server direkt auch eine parallele Verwaltungsoberfläche bietet, damit Du den VServer auch noch erreichen kannst, wenn irgendwas mit der Firewalleinstellung nicht passt oder Du Dich verkonfiguriert hast.

Eine Option, das "ohne VPN" und trotzdem sicher zu betreiben könnte https://www.zerotier.com/ sein. Aller Traffic aus dem Internet ist dicht, relevante Ports werden nur aus dem ZT Netzwerk erlaubt. Über die ZT Verwaltung können Rechner / User erlaubt oder ausgeschlossen werden. Wenn die Verwendung der IPs für Websites nicht passt, kann man auch (Sub)Domains auf die privaten ZT Domains legen und darüber arbeiten.

Für den Nutzer der Services ist das bei laufendem ZT Client nahezu transparent, man muss nicht ständig VPN Verbindungen auf/abbauen, der normale Traffic geht ganz normal übers Internet und nicht den VServer.

Vorteil: man kann die Firewall schon ganz grundlegend, abhängig von der "Netzwerkkarte" konfigurieren.

Ansonsten finde ich auch, dass man sich lieber Gedanken über neuere Software machen sollte als solche Krücken zu basteln.
 

mad_moses

Member
1) Die Software soll auch Sicherheitsgründen einfach nicht aus dem Internet erreichbar sein. Unabhängig davon das Sie aktuell ist oder nicht. Aktuelle Software kann genauso Sicherheitsprobleme haben. Stellte einfach vor die Software steuert einen Atomreaktor :p
2) Ich möchte meinen Desktop Rechner nicht 24h laufen lassen. (Der verbrauch zuviel und es wird ständig was geändert)

a) Zerotier klingt interessant, ist aber für das was ich machen will etwas teuer wenn ich das richtig verstehen. 50€ im Monat?
b) VServer mit Wireguard klingt schon ganz gut.
 

Thunderbyte

Moderator
Staff member
Die MyZerotier Verwaltungsoberfläche ist für bis zu 50 Geräte und einen Admin kostenfrei (man braucht nicht für jeden Nutzer einen MyZT Account). Wenn das nicht reicht, wirds teuer. Alternativ kann man sich ein eigenes Managementinterface ( https://key-networks.com/ztncui/ ) installieren, dann verwaltet man das selbst, es gibt keine Begrenzung an Geräten oder Personen / Accounts. ZT kann trotzdem "federated" betrieben werden, d.h. ein Gerät, das eine ID von MyZerotier hat kann in ein Netzwerk eines selbstverwalteten Controllers eingebunden werden und anders herum.
 

Pfiffikus

Member
Kauf Dir einen RaspberryPi und lass den 24/7 laufen. Die paar Zugriffe von wenigen Leuten aus Deinem ausgewählten Personenkreis wird auch ein Raspi packen.


Pfiffikus,
der davon ausgeht, dass der allenfalls um die 10W verbraucht
 

DeaD_EyE

Blog Benutzer
Eine Zeit lang konnte man Raspberry PI auch in Rechenzentren betreiben. Mittlerweile sind die Angebote wieder verschwunden. Schade, da sich so eine Plattform ideal für IoT-Gedöns eignet. Ich denke mal, dass es für die Betreiber nicht wirtschaftlich war und zu viel Aufwand gewesen ist.
 

d4f

Kaffee? Wo?
Schade, da sich so eine Plattform ideal für IoT-Gedöns eignet.
Meines Erachtens gab es keinerlei Vorteile für einen gehosteten RPI verglichen mit einem gleich teuren paravirtualisierten x86_64 Server.
Ähnlich den OVH RPS Server (DIY Blades mit iSCSI Datenträger) ist es den Mehraufwand und die Mehrkosten von physischer Hardware schlicht nicht wert.
 
Top