Moin *
Ich brauche mal etwas Beratung zu Netzwerkzeugs und muss dazu etwas ausholen:
Seit langem habe ich hier im internen LAN ein paar Services für den Hausgebrauch laufen: Mediawiki, Nextcloud, Icinga, FreshRSS, openHAB... Diese laufen auf unterschiedlicher (schmaler) Hardware (RasPi, APU, HardKernel) mit unterschiedlichen Distros, manche schon containered. Zugreifbar nur innerhalb des Netzes bzw. mit einer VPN-Verbindung von aussen.
Desweiteren habe ich eine kleine VM bei einem Cloudanbieter für ein paar Mark gebucht, auf welcher ein Matrix-Server (Apache, Synapse und PostgreSQL) läuft.
Jetzt würde ich gern ein paar der internen Dienste nach aussen verfügbar machen und später auf einheitlicher Hardware konsolidieren und vor allem nach dem Muster weitere Services anbieten. Was ich aber beibehalten möchte ist, dass ich weiterhin zumindest die Backendsysteme und die Daten auf eigener Hardware im Keller behalte.
Am Beispiel von FreshRSS habe ich zuletzt folgendes erfolgreich umgesetzt: Den schon vorhandenen Apache in der Cloud nutze ich zusätzlich als ReverseProxy. Hier schnell einen zusätzlichen VHOST mit Zugriffsbeschränkung konfiguriert, DNS für die Subdomain und Let's Encrypt sowie vom eigentlichen Backendserver (Raspian) einen SSH-Tunnel (remote) zur Cloud-VM aufgemacht und dort via ProxyPass/ProxyPassReverse lokal auf den Tunnel-Endpunkt konfiguriert.
Das war vergleichsweise einfach und funktioniert bislang sauber. Schön ist, dass der interne Traffic durch SSH verschlüsselt wird und ich daher auf dem Backendsystem mit http anstatt https auskomme. Ich muss keinen Port in der Firewall öffnen und habe im Backend die Kontrollle, ob der SSH-Tunnel offen ist oder nicht. Das gefällt mir bislang ganz gut.
Soweit der aktuelle Stand. Als nächsten Schritt möchte ich nun, dass das Backendsystem mit FreshRSS seinen ausgehenden Traffic (die Requests für die RSS-Feeds) über die VM in der Cloud routet. Die angefragten Zielsysteme sollen die IP in der Cloud sehen, nicht die IP meines heimischen Anschlusses. Interner Traffic muss natürlich weiterhin möglich sein für Monitoring oder Backup.
Wie kann ich das am besten erreichen? Eine erste Recherche zeigt Lösungsmöglichkeiten via openVPN oder sshuttle. Ich setzte pfSense als Firewall ein, falls das als Site-To-Site-Bestandteil relevant sein sollte.
Vielen Dank für Euren Input im Voraus. Bin leider kein guter Netzwerker - sorry.
Glückauf, gehrke
Ich brauche mal etwas Beratung zu Netzwerkzeugs und muss dazu etwas ausholen:
Seit langem habe ich hier im internen LAN ein paar Services für den Hausgebrauch laufen: Mediawiki, Nextcloud, Icinga, FreshRSS, openHAB... Diese laufen auf unterschiedlicher (schmaler) Hardware (RasPi, APU, HardKernel) mit unterschiedlichen Distros, manche schon containered. Zugreifbar nur innerhalb des Netzes bzw. mit einer VPN-Verbindung von aussen.
Desweiteren habe ich eine kleine VM bei einem Cloudanbieter für ein paar Mark gebucht, auf welcher ein Matrix-Server (Apache, Synapse und PostgreSQL) läuft.
Jetzt würde ich gern ein paar der internen Dienste nach aussen verfügbar machen und später auf einheitlicher Hardware konsolidieren und vor allem nach dem Muster weitere Services anbieten. Was ich aber beibehalten möchte ist, dass ich weiterhin zumindest die Backendsysteme und die Daten auf eigener Hardware im Keller behalte.
Am Beispiel von FreshRSS habe ich zuletzt folgendes erfolgreich umgesetzt: Den schon vorhandenen Apache in der Cloud nutze ich zusätzlich als ReverseProxy. Hier schnell einen zusätzlichen VHOST mit Zugriffsbeschränkung konfiguriert, DNS für die Subdomain und Let's Encrypt sowie vom eigentlichen Backendserver (Raspian) einen SSH-Tunnel (remote) zur Cloud-VM aufgemacht und dort via ProxyPass/ProxyPassReverse lokal auf den Tunnel-Endpunkt konfiguriert.
Das war vergleichsweise einfach und funktioniert bislang sauber. Schön ist, dass der interne Traffic durch SSH verschlüsselt wird und ich daher auf dem Backendsystem mit http anstatt https auskomme. Ich muss keinen Port in der Firewall öffnen und habe im Backend die Kontrollle, ob der SSH-Tunnel offen ist oder nicht. Das gefällt mir bislang ganz gut.
Soweit der aktuelle Stand. Als nächsten Schritt möchte ich nun, dass das Backendsystem mit FreshRSS seinen ausgehenden Traffic (die Requests für die RSS-Feeds) über die VM in der Cloud routet. Die angefragten Zielsysteme sollen die IP in der Cloud sehen, nicht die IP meines heimischen Anschlusses. Interner Traffic muss natürlich weiterhin möglich sein für Monitoring oder Backup.
Wie kann ich das am besten erreichen? Eine erste Recherche zeigt Lösungsmöglichkeiten via openVPN oder sshuttle. Ich setzte pfSense als Firewall ein, falls das als Site-To-Site-Bestandteil relevant sein sollte.
Vielen Dank für Euren Input im Voraus. Bin leider kein guter Netzwerker - sorry.
Glückauf, gehrke
Zuletzt bearbeitet: