[Traccar] hoe veilig toegang geven aan VPS

Achtergrond:
Ik een tijdje getest met traccar server. De server variant heb ik op dit moment op een VPS (Kubuntu) draaien. Om te voorkomen dat het grote boze internet hier toegang toe krijgt heb ik de firewall dicht gezet en kan ik via ssh tunnel de traccar server benaderen. Voor testen en mij persoonlijk werkt dit prima, maar nu wil ik mijn collega's hier ook toegang tot laten hebben.
Bijkomend gegevens is dat het ip-adres van het lokale kantoor met grote regelmaat veranderd (enkele malen per dag) en indien mogelijk ik mensen ook met mobiel internet toegang zou willen laten hebben.

Mijn vraag:
Wat is 'best practice' om veilig te laten verbinden met traccar?

Relevante software en hardware die ik gebruik
Kubuntu (VPS)
Traccar

Wat ik al gevonden of geprobeerd heb:
Ik heb al rondgekeken voor opties en kom ik de onderstaande optie tegen, maar omdat dit niet mijn vakgebied is vroeg ik mij af wat 'best practice' is. Zelf kan ik niet zo goed inschatten wat de gevolgen zijn

- SSH tunnel
- via VPN
- via proxy server
- wellicht heeft iemand andere suggestie?

SSH werkt inderdaad prima voor mijzelf, maar om een handvol collega's zo te verbinden lijkt mij niet ideaal.
Ik ben adv van je reactie even verder in OpenVPN gaan verdiepen.

Als ik het zo zie is het niet gemakkelijk mijn collega's alleen een inlog te geven van adres maar zal altijd wat instellingen lokaal aangepast moeten worden, correct?

Als ik het zo zie zou dan een logische opstelling zoiets zijn:
een handvol collega's die inlogt via vpn-app/instelling naar OpenVPN die ook op Kubuntu server draait en vanaf daar naar de 'lokale' traccar routen?
Voor certificaten is het dan handig let's encrypt oid of zelf maken?
Daarnaast zou mijn voorkeur zijn niet al het verkeer over de VPN laten gaan maar alleen deze traccar (en eventueel later nog andere website)

CB32 schreef op woensdag 3 april 2019 @ 10:53:

Volgens mij bypassed de VPN die firewall wel dus staan al je porten open via VPN tenzij je firewall anders configureert.

Mijn handvol collega's vertrouw ik hier mee, los van het feit dat ze uberhaupt niet zouden weten hoe ze dat moeten misbruiken. Het enige gevaar zou dan zijn als iemand anders hun inlog weet te krijgen?

Hero of Time schreef op woensdag 3 april 2019 @ 11:33:
Je kan bij OpenVPN aangeven of het standaard al het verkeer moet krijgen, of alleen het subnet wat erachter hangt.
Certificaten kunnen ook gewoon self-signed zijn. Voor initiële test wel zo handig, later kan je er Let's Encrypt van maken.

ok ik ga mij dan daar verder in verdiepen, dat zal waarschijnlijk niet voor het weekend zijn.

Iedereen bedankt voor meedenken. Heel even een updatevoor als iemand anders hier met de zoekfunctie terecht komt: Met het script hierboven is het inderdaad een makkie om openVPN te installeren.
Om te voorkomen dat al het verkeer over de VPN gaat ga ik ze de confirg bestanden delen met aanpassing zoals aangegeven in deze link