Zelf hosten of vps huren

maandag 18 maart 2024 15:21

Acties:

0 Henk 'm!

Jboy1991

Topicstarter

Beste Tweakers,

Ik zit met een aantal vragen mbt hosting die ikzelf moeilijk beantwoord krijg, dit omdat ik twijfel of het mogelijk is om zelf te hosten en daarbij de kennis niet denk te hebben met betrekking tot veiligheid bij het zelfkosten maar ditzelfde geldt bij het hosten op de vps. In dit topic hoop ik mijn situatie goed te kunnen beschrijven en hoop ik op een advies vanuit jullie de experts.

Onze thuis situatie is als volgt:

1 gig up en download glasvezel bij Odido
UniFi Dreammachine PRO als modem/router (zit geen modem tussen wel een glas -> utp media converter)
1 pc (genoemd server) met 8TB en 44 GB RAM
Zowel mij partner als ik werken veelal op een eigen laptop
Ik RDP vaak naar mijn server pc via Mremote (verschillende vm’s draaien hierop)

Waarom denk ik een VPS nodig te hebben:
Ik heb 2 domeinen geclaimd (alleen de naam, dus geen hosting). Dit omdat ik het doel had deze domeinnamen in te zetten als mailboxen maar ook met het idee om hier een webhosting aan te koppelen. Deze twee heb ik nooit uitgevoerd en ergens is dat best zonde.

Ik twijfel om dit thuis te hosten, dit omdat ik geen zakelijk klant ben en dus het risico loop dat mijn externe-ip aangepast kan worden, wanneer de lease verloopt bij Odido. Ook ben ik niet bekend met de gevaren die ik loop als ik publiekelijk zoiets host.

De projecten die ik maak, zijn dus hobbymatig en niet bedoeld voor het grote publiek. Dan rest de vraag: heb ik dan een publiek toegankelijke website nodig. Eigenlijk is het antwoord hierop nee, maar: ik ben wel bezig met voornamelijk ESP-projecten (denk aan simpele spelletjes) die data ophaalt uit een SQL database die ik host. Omdat mijn database niet buiten het interne netwerk bereikbaar is, zou ik dus de projecten/spelletjes bij andere kunnen spelen (hardware meenemen).

Veel tekst en mogelijk creeert dit tot aanvullende vragen. Maar samengevat: Heb ik een VPS nodig of kan ik dit het beste zelf thuis hosten met mogelijk het opzetten van een VPN die ik mee installeer op de ESP.

Update:
Ik stelde hierboven dat de projecten die ik maak een verbinding naar een database hebben, dit is onjuist. De ESP hebben zelf geen verbinding naar een database, maar wel naar een lokaal gehoste webserver. De ESP haalt daar data vandaan in JSON Format.

Mocht ik dit dus naar een VPS willen brengen dan zou die VPS de mogelijkheid moeten hebben voor het opzetten van een SQL database en een PHP server en als optioneel de mogelijkheid tot een mailserver.

[ Voor 9% gewijzigd door Jboy1991 op 18-03-2024 15:30 ]

maandag 18 maart 2024 15:25

Acties:

0 Henk 'm!

GarBaGe

Je kan bij een tent als Amazon AWS of MS Azure ook heel snel dit soort frutsels bij elkaar klikken.
Database nodig? Klik op: "voeg database toe".
Maar ja, tegen gemakt, staan dan weer de kosten.

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

maandag 18 maart 2024 15:28

Acties:

0 Henk 'm!

Jboy1991

Topicstarter

GarBaGe schreef op maandag 18 maart 2024 @ 15:25:
Je kan bij een tent als Amazon AWS of MS Azure ook heel snel dit soort frutsels bij elkaar klikken.
Database nodig? Klik op: "voeg database toe".
Maar ja, tegen gemakt, staan dan weer de kosten.

Nja zie al vps voor 5 euro pm. Geen idee of dit voldoet aan wat ik nodig denk te hebben. Ik heb m’n startpost ook even bijgewerkt, dit ivm aanvullen ontbrekende of onjuiste informatie.

[ Voor 11% gewijzigd door Jboy1991 op 18-03-2024 15:31 ]

maandag 18 maart 2024 15:31

Acties:

+2 Henk 'm!

Oon

Als je het acceptabel vindt dat je websites willekeurig offline kunnen zijn en je mail totaal onbezorgbaar dan is thuis hosten een optie, anders niet doen. Gewoon nooit.

Als je mail wil versturen vanaf een mailserver thuis zul je op z'n minst een relay ergens anders nodig hebben, anders ga je altijd lopen ruziën met mailservers van bijv. Google en Microsoft, want die houden niet van consumenten IP-adressen. Het kost heel veel moeite om een domeinnaam en IP-adres een goede reputatie te bezorgen, en als Odido een keer besluit je IP-adres te veranderen kun je opnieuw beginnen, met de kans dat het nieuwe adres dat je krijgt toegewezen al een permanent onherstelbare reputatie heeft.

Daarnaast is het gewoon niet rendabel; de stroomkosten van het hosten van een kleine website thuis met enige performance (dus op een echte server vergelijkbaar met een VPS, niet op een raspberry pi) zijn hoger dan wat een kleine VPS je kost.

maandag 18 maart 2024 15:36

Acties:

0 Henk 'm!

Jboy1991

Topicstarter

Oon schreef op maandag 18 maart 2024 @ 15:31:
Als je het acceptabel vindt dat je websites willekeurig offline kunnen zijn en je mail totaal onbezorgbaar dan is thuis hosten een optie, anders niet doen. Gewoon nooit.

Als je mail wil versturen vanaf een mailserver thuis zul je op z'n minst een relay ergens anders nodig hebben, anders ga je altijd lopen ruziën met mailservers van bijv. Google en Microsoft, want die houden niet van consumenten IP-adressen. Het kost heel veel moeite om een domeinnaam en IP-adres een goede reputatie te bezorgen, en als Odido een keer besluit je IP-adres te veranderen kun je opnieuw beginnen, met de kans dat het nieuwe adres dat je krijgt toegewezen al een permanent onherstelbare reputatie heeft.

Daarnaast is het gewoon niet rendabel; de stroomkosten van het hosten van een kleine website thuis met enige performance (dus op een echte server vergelijkbaar met een VPS, niet op een raspberry pi) zijn hoger dan wat een kleine VPS je kost.

Energiekosten speelt gek gezegd bij ons geen rol. We hebben zonnepanelen en wekken (helaas) meer op dan dat wij kunnen verbruiken.

Voor de rest ben ik het volledig met je eens en ik heb nog niet eens stilgestaan bij reputatie op ip-niveau.

Dat wordt dus onderzoek doen naar een VPS-provider die niet te duur is maar genoeg biedt voor waarvoor ik het denk nodig te hebben.

maandag 18 maart 2024 15:37

Acties:

+4 Henk 'm!

Andre_J

Mail kan je idd beter buiten de deur laten hosten, hobbymatig bv hier : https://purelymail.com

Thuis server heb ik ook, Proxmox d'r op en heb 90% via Cloudflare tunnels lopen (dus extra veilig)
en maar 1 port-forwarding voor m'n Wireguard achterdeurtje.

maandag 18 maart 2024 15:38

Acties:

+1 Henk 'm!

alex3305

Als je de kennis en ervaring op wilt doen zou ik het gewoon zelf hosten, met uitzondering van mail. Ik heb voor mijn thuishosting Cloudflare zitten (gratis) waarvan ik de WAF gebruik. Daarnaast heb ik ook de mogelijkheid om een VPN verbinding naar thuis op te zetten. Hosten op Windows vind ik, maar dat is persoonlijk, een no-go. Ik gebruik daarvoor Unraid en ben daar enorm over te spreken. Dat is relatief eenvoudig in gebruik en niet te prijzig.

Voor mail gebruik ik Google Workspaces, waarvan ik nog de oude, gratis variant mag gebruiken.. Maar er zijn ook andere gratis services waar je mee kunt mailen, maar dan beperkt tot een x-hoeveelheid mails per maand. Of betaald uiteraard.

maandag 18 maart 2024 15:39

Acties:

+2 Henk 'm!

HansMij

Ik zit bij Odido, en host gewoon thuis. De nameservers heb ik naar Cloudflare laten wijzen en daar de DNS ingesteld (gratis). Vervolgens draai ik een docker-container om mijn dns aan te passen in het geval mijn ip wijzigt.

Op die manier ben je dus eigenlijk nooit offline en host je toch gratis thuis.

maandag 18 maart 2024 15:42

Acties:

0 Henk 'm!

Groentjuh

Mailserver zou ik niet thuis doen; Sommige spam-filters hebben een IP-database met IPs, die "residential" zijn. Mails van dergelijke IPs worden daar al snel als spam gezien. Mailservers hebben een goede reputatie nodig om mail niet als spam te laten markeren.

Voor een webpagina is het echt afhankelijk of inderdaad downtime wel of niet mag. Bij een wisseling van IP zou de DNS even niet kloppen, waardoor bezoeker de pagina niet kunnen bezoeken totdat eventuele cache is hernieuwd. Bij webpagina's is minder probleem qua reputatie.

maandag 18 maart 2024 15:44

Acties:

0 Henk 'm!

Jboy1991

Topicstarter

Ik begrijp Cloudflare niet zo goed, hoezo is dit veiliger dan portforwarding?

Geen idee of onderstaand ook nog relevant is:
Ik heb een subdomein gebruik als Dynamic DNS (typ ik dit goed?) ingesteld op mijn UniFi modem. Dit omdat op de UniFi Modem ook een VPN heb draaien waarmee ik mijn telefoon heb verbonden, dit zodat ik Homeassistent buitenhuis kan benaderen.

maandag 18 maart 2024 15:50

Acties:

+1 Henk 'm!

_JGC_

Jboy1991 schreef op maandag 18 maart 2024 @ 15:44:
Ik begrijp Cloudflare niet zo goed, hoezo is dit veiliger dan portforwarding?

Geen idee of onderstaand ook nog relevant is:
Ik heb een subdomein gebruik als Dynamic DNS (typ ik dit goed?) ingesteld op mijn UniFi modem. Dit omdat op de UniFi Modem ook een VPN heb draaien waarmee ik mijn telefoon heb verbonden, dit zodat ik Homeassistent buitenhuis kan benaderen.

Cloudflare is een proxy tussen de bezoeker en je webserver.

Stel jij host je website met IIS en prikt een gaatje in de firewall voor poort 443. Vervolgens blijkt er een 0-day lek op het internet rond te zwerven waarmee een aanvaller bijvoorbeeld de HTTP/2 implementatie van IIS aanvalt en daarmee code kan injecteren. Met IIS zit je dan op kernel niveau want http.sys is een kerneldriver.

Bij verkeer tunnelen via Cloudflare kan niemand rechtstreeks bij je server. Alles gaat via een beveiligde tunnel en de client komt nooit rechtstreeks in verbinding met je webserver.

maandag 18 maart 2024 15:57

Acties:

0 Henk 'm!

alex3305

@HansMij Ik gebruik daarvoor ddclient. Die ondersteund ook nog andere providers. En ik zag dat jouw container gearchiveerd was.

@Jboy1991 Cloudflare is geen must, maar zorgt zoals @_JGC_ al aangeeft voor een extra stukje beveiliging. Ook heeft Cloudflare een API die eenvoudig in gebruik is. Daarbij kun je bijvoorbeeld de DNS automatisch laten updaten wanneer je thuis IP-adres update. Dan hoef je daar niet meer over na te denken. Zelf heb ik ook nog een WAF aan staan die alle verzoeken buiten de Benelux weert. Dan hoef ik mijzelf daar geen zorgen over te maken. Ook kun je zaken zoals SSO bij Cloudflare inregelen. Je kunt dat, uiteraard, ook allemaal zelf doen met zaken zoals fail2ban of CrowdSec, maar dat vergt weer aanvullend beheerlast.

maandag 18 maart 2024 15:59

Acties:

0 Henk 'm!

deHakkelaar

Ik ben het ook eens met de vele aanbevelingen hier.
Voor thuis hosten heb je best wat kennis nodig om dit goed, veilig en zonder problemen te doen.
En gaat al snel in de kosten lopen als je dit ook redundant wilt uitvoeren zoals bij de vele VPS/hosting providers het geval is.
Als daar wat fout gaat met de VPS hypervisor die je VPS host, dan migreert deze vaak automatisch naar een andere hypervisor en praktisch zonder enige down time.

There are only 10 types of people in the world: those who understand binary, and those who don't

maandag 18 maart 2024 15:59

Acties:

0 Henk 'm!

Jboy1991

Topicstarter

Dus vanuit de reacties samengevat. Ik zou dus thuis kunnen hosten als ik de mailhosting-wens laat varen.

Voorwaarden aan het thuis hosten zijn dan het volgende
Cloudfflare instellen op XAMMP
Up/Down-time niet relevant is
Dynamische DNS ingesteld voor het domain, zodat als IP wordt aangepast door Odido, de site alsnog bereikbaar is
ESP-projecten laten verbindingen via HTTPS verbinding ipv HTTP (ivm man-in-the-middle attack)

Klopt bovenstaande?

maandag 18 maart 2024 16:06

Acties:

0 Henk 'm!

deHakkelaar

Jboy1991 schreef op maandag 18 maart 2024 @ 15:59:
• Voorwaarden aan het thuis hosten zijn dan het volgende
• Cloudfflare instellen op XAMMP

Conflicteerd boven nu niet?
Een Cloudflare XAMMP is toch niet thuis hosten of begrijp ik dit verkeerd?

There are only 10 types of people in the world: those who understand binary, and those who don't

maandag 18 maart 2024 16:07

Acties:

0 Henk 'm!

Jboy1991

Topicstarter

deHakkelaar schreef op maandag 18 maart 2024 @ 16:06:
[...]

Conlficteerd boven nu niet?
Een Cloudflare XAMMP is toch niet thuis hosten of begrijp ik dit verkeerd?

Xammp heb ik thuis draaien. Is een apache en sql server
https://www.apachefriends.org/

maandag 18 maart 2024 16:09

Acties:

0 Henk 'm!

deHakkelaar

@Jboy1991 , ja maar niet bij Cloudflare hosten dus

EDIT: ow en HTTP moet je helemaal vermijden!

[ Voor 29% gewijzigd door deHakkelaar op 18-03-2024 16:10 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

maandag 18 maart 2024 16:12

Acties:

0 Henk 'm!

Jboy1991

Topicstarter

deHakkelaar schreef op maandag 18 maart 2024 @ 16:09:
@Jboy1991 , ja maar niet bij Cloudflare hosten dus
EDIT: ow en HTTP moet je helemaal vermijden!

Ik begrijp je niet. Mogelijk door mijn onwetendheid van cloudflare. Maar ik dacht dat cloudflare ingesteld zou moeten worden op de apache server in een configfile.

maandag 18 maart 2024 16:14

Acties:

0 Henk 'm!

deHakkelaar

Ik begrijp jou nu niet

Cloudflare, Inc. is an American company that provides content delivery network services, cloud cybersecurity, DDoS mitigation, and ICANN-accredited[3] domain registration services.

Wikipedia: Cloudflare

Kun je uitleggen wat Cloudflare ermee te maken heeft als alles thuis wordt gehost?

There are only 10 types of people in the world: those who understand binary, and those who don't

maandag 18 maart 2024 16:17

Acties:

0 Henk 'm!

Jboy1991

Topicstarter

deHakkelaar schreef op maandag 18 maart 2024 @ 16:14:
Ik begrijp jou nu niet

[...]

Wikipedia: Cloudflare

Kun je uitleggen wat Cloudflare ermee te maken heeft als alles thuis wordt gehost?

Ik vatte juist de reacties samen waarbij aangegeven is dat als je thuis gaat hosten en het moet buiten je interne netwerk bereikbaar zijn. Dat je als extra veiligheid cloudflare ertussen moet/kunt plaatsen.

Jouw reactie zorgt bij mij juist voor errors…. 😞

maandag 18 maart 2024 16:18

Acties:

0 Henk 'm!

deHakkelaar

Jboy1991 schreef op maandag 18 maart 2024 @ 16:17:
Dat je als extra veiligheid cloudflare ertussen moet/kunt plaatsen.

Boven kan idd weer wel

There are only 10 types of people in the world: those who understand binary, and those who don't

maandag 18 maart 2024 16:19

Acties:

0 Henk 'm!

Rannasha

Does not compute.

deHakkelaar schreef op maandag 18 maart 2024 @ 16:14:
Ik begrijp jou nu niet

[...]

Wikipedia: Cloudflare

Kun je uitleggen wat Cloudflare ermee te maken heeft als alles thuis wordt gehost?

Je kunt voor je eigen domein de nameservers van Cloudflare gebruiken. Hiermee kun je er voor kiezen dat alle verkeer geproxied wordt via een Cloudflare server in plaats van dat het direct naar jouw thuisserver gaat.

Daarnaast biedt Cloudflare een dienst waarmee je veilig met je thuisnetwerk verbinding kan maken (Cloudflare Tunnel) in situaties waar het opzetten van een VPN server niet handig of wenselijk is (bijvoorbeeld als je een provider hebt die CG-NAT toepast).

|| Vierkant voor Wiskunde ||

maandag 18 maart 2024 16:23

Acties:

0 Henk 'm!

deHakkelaar

@Rannasha , onder verwarde mij een beetje:

Jboy1991 schreef op maandag 18 maart 2024 @ 15:59:
Cloudfflare instellen op XAMMP

Beter verwoord was: "XAMMP met Cloudflare ervoor/tussen".

There are only 10 types of people in the world: those who understand binary, and those who don't

maandag 18 maart 2024 16:23

Acties:

+1 Henk 'm!

JackBol

Security is not an option!

Jboy1991 schreef op maandag 18 maart 2024 @ 16:17:
[...]

Ik vatte juist de reacties samen waarbij aangegeven is dat als je thuis gaat hosten en het moet buiten je interne netwerk bereikbaar zijn. Dat je als extra veiligheid cloudflare ertussen moet/kunt plaatsen.

Jouw reactie zorgt bij mij juist voor errors…. 😞

Cloudflare is een reverse proxy in de cloud. Ga naar hun website en maar een free account. Je kan vervolgens je eigen applicatie "publishen" via hun CDN. Er zijn twee opties:
1) je laat Cloudflare het verkeer doorsturen naar jouw webserver op je privé IP
2) je draait de cloudflared daemon op je eigen server, welke een outbound connectie opzet naar Cloudflare. Hierdoor hoeft je geen poortjes meer open te prikken op je firewall, aangezien er geen inbound verkeer meer is. Ik heb al jaren verschillende hobby projectjes draaien en werkt perfect. Docs: https://developers.cloudf...ted/create-remote-tunnel/

Mbt outbound mail, niet aan beginnen, dat is niet te doen. Ik heb mijn domein in Cloudflare geladen en laat mijn verkeer doorsturen naar mijn privé gmail, zodat ik de gmail smtp kan gebruiken voor outbound.

[ Voor 4% gewijzigd door JackBol op 18-03-2024 16:24 ]

De actuele opbrengst van mijn Tibber Homevolt

maandag 18 maart 2024 18:28

Acties:

0 Henk 'm!

Andre_J

@Jboy1991 als ik je verhalen zo lees ben je nog zo heel erg bekend met de dingen, dat geeft niet, alles is te leren.
Waar ik me wel zorgen over maak dat als je besluit thuis te hosten en je het niet goed aanpakt het gevaarlijk voor je thuisomgeving kan zijn (vreemden die binnen komen etc).
Dan is een vps wellicht weer veiliger

[ Voor 0% gewijzigd door Andre_J op 18-03-2024 18:35 . Reden: Typo ]

maandag 18 maart 2024 18:30

Acties:

0 Henk 'm!

deHakkelaar

Andre_J schreef op maandag 18 maart 2024 @ 18:28:
@Jboy1991 als ik je verhalen zo lees ben je nog zo heel erg bekend met de dingen, dat geeft niet, alles is te leren.
Waar ik me wel zorgen over maak dat als je besluit thuis te hosten en je het goed aanpakt het gevaarlijk voor je thuisomgeving kan zijn (vreemden die binnen komen etc).
Dan is een vps wellicht weer veiliger

@Jboy1991 , aan te raden valt dan om die setup in een soort DMZ te hangen en niet direct in je LAN.

[ Voor 6% gewijzigd door deHakkelaar op 18-03-2024 18:41 . Reden: plus linkje ]

There are only 10 types of people in the world: those who understand binary, and those who don't

maandag 18 maart 2024 19:39

Acties:

0 Henk 'm!

Jboy1991

Topicstarter

Andre_J schreef op maandag 18 maart 2024 @ 18:28:
@Jboy1991 als ik je verhalen zo lees ben je nog zo heel erg bekend met de dingen, dat geeft niet, alles is te leren.
Waar ik me wel zorgen over maak dat als je besluit thuis te hosten en je het niet goed aanpakt het gevaarlijk voor je thuisomgeving kan zijn (vreemden die binnen komen etc).
Dan is een vps wellicht weer veiliger

Klopt qua servers ben ik nogal redelijk onbekend. Vroeger kocht ik altijd een domein incl hosting. Ik was van plan om de “serverpc” in een aparte vlan te plaatsen als ik die pc extern benaderbaar laat zijn.

Het idee dat ik heb is om een 2e netwerkkaart in de pc te stoppen zodat ik het verkeerd van het lokale netwerk en het verkeer dat van buiten kom kan scheiden. Hier is vast wel het een en ander over te vinden op Google.

Maar een stemmetje in mijn achteraf zegt dat dit allemaal makkelijk te realiseren is, maar dat ik inderdaad het gevaar dat dit met zich mee kan brengen bagatelliseert.

Ik ga morgen op werk nog even in gesprek met onze netwerkbeheerders. Mogelijk zien zijn nog gevaren die ik niet zie en als je dat kunt “afkopen” met een vps voor 5 euro pm, dat dit mogelijk een veiliger keuze is.

maandag 18 maart 2024 20:24

Acties:

0 Henk 'm!

deHakkelaar

Jboy1991 schreef op maandag 18 maart 2024 @ 19:39:
Het idee dat ik heb is om een 2e netwerkkaart in de pc te stoppen ...

1 pootje.
Zie de plaatjes vd DMZ wiki die ik linkte:
https://commons.wikimedia...rk_diagram_1_firewall.svg
https://commons.wikimedia...rk_diagram_2_firewall.svg

EDIT: Maar eerlijk gezegt zou ik het je nu niet aanraden als je nog zoveel moet uitzoeken/uitpluizen.

[ Voor 9% gewijzigd door deHakkelaar op 18-03-2024 20:28 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

dinsdag 19 maart 2024 22:35

Acties:

0 Henk 'm!

Jboy1991

Topicstarter

Vanochtend mn idee voorgelegd bij de netwerkbeheerder op mn werk. Hij raad aan om een vpn op te zetten en de esp te verbinden met de vpn. Een vps is leuk maar vergt net als een server thuis, onderhoud en kennis.

Daarnaast gaf hij aan dat er ook webhosting bestaat waarbij een domein bij hen afnemen niet verplicht is.

Ik zit er dus aan te denken om te kiezen voor webhosting

woensdag 20 maart 2024 08:19

Acties:

0 Henk 'm!

i-chat

voor het lekker freubelen kun je natuurlijk prima thuishosten en zoals aangegeven wordt kun je daarvoor een Cloudflare tunnel voor inzetten dat is in weze een vpntunnel en dyndns en nattraversal in één

dan heb je dus in één klap dnshosting dyndns en portforwarding opgelost

wel lees ik in de TS nog iets over mailboxen en daar zou ik zonder voldoende kennis niet zo snel aan beginnen.

wat je eventueel misschien zou kunnen overwegen is ergens een goedkoop catch-all mailaccount te kopen en dan lokaal met getmail aan de slag te gaan voor volwaardige mailboxen maar ook dat is al een heel technisch dingetje maar op zijn minst zit je dan niet te kl*ten met mail reputatie e.d.

woensdag 20 maart 2024 08:43

Acties:

0 Henk 'm!

deHakkelaar

@Jboy1991 , wat is "ESP"?
Ik heb ff op DDgo gezocht maar dat geeft veel resultaten.

Als die "ESP" ook voor anderen buiten je netwerk via VPN beschikbaar moet zijn, dan valt het nog steeds aan te raden om deze in een DMZ te plaatsten.
Je wilt toch niet dat vreemden, bekenden of mogelijk familie in je LAN kunnen poken.

There are only 10 types of people in the world: those who understand binary, and those who don't

woensdag 20 maart 2024 09:38

Acties:

+1 Henk 'm!

Kalentum

Ik persoonlijk geef de voorkeur aan extern hosten. Hoe je het ook wendt of keert, een extern toegankelijk apparaat in je netwerk is een verhoogd risico. Mijn VPS (4 euro per maand, Contabo) is ook niet 100% veilig maar als er wat gebeurt dan is alleen die VPS de sjaak en niet mijn lokale netwerk. Minder impact dus.

En verder scheelt het weer wat hardware die stuk kan gaan en stroom verbruikt.

woensdag 20 maart 2024 09:40

Acties:

+2 Henk 'm!

Andre_J

deHakkelaar schreef op woensdag 20 maart 2024 @ 08:43:
@Jboy1991 , wat is "ESP"?
Ik heb ff op DDgo gezocht maar dat geeft veel resultaten.

Als die "ESP" ook voor anderen buiten je netwerk via VPN beschikbaar moet zijn, dan valt het nog steeds aan te raden om deze in een DMZ te plaatsten.
Je wilt toch niet dat vreemden, bekenden of mogelijk familie in je LAN kunnen poken.

Ik denk dat hier een ESP32 (Microcontroller bordje) mee bedoeld wordt.
Hou er echter rekening mee dat een ESP zeer zwak kan zijn om een VPN verbinding op te zetten....

woensdag 20 maart 2024 09:44

Acties:

+1 Henk 'm!

eric.1

deHakkelaar schreef op woensdag 20 maart 2024 @ 08:43:
@Jboy1991 , wat is "ESP"?
Ik heb ff op DDgo gezocht maar dat geeft veel resultaten.

Als die "ESP" ook voor anderen buiten je netwerk via VPN beschikbaar moet zijn, dan valt het nog steeds aan te raden om deze in een DMZ te plaatsten.
Je wilt toch niet dat vreemden, bekenden of mogelijk familie in je LAN kunnen poken.

Ik vind persoonlijk het advies om een device in een DMZ te plaatsen, in een thuis-context, altijd een beetje curieus. Veel meer dan -al- het inkomende verkeer naar de DMZ-host routeren doet het niet. En dat wil je eigenlijk nooit, alleen de poorten die van belang zijn (alleen verkeer bestemd voor 80/443 om maar iets te noemen).

In beide gevallen (port forward en DMZ) zal je maatregelen moeten nemen om het interne netwerk veilig te houden. Zoveel magisch doet een DMZ niet.

woensdag 20 maart 2024 10:27

Acties:

+2 Henk 'm!

eric.1

deHakkelaar schreef op woensdag 20 maart 2024 @ 09:49:
[...]

Netwerk verkeer isoleren;
gecompromitteerd apparaten kunnen niet op je LAN;
makkelijker te managen in bepaalde opzichten.

Het is niet voor niks dat professioneel meestal een DMZ wordt toegepast.

EDIT: Ow en je route/NAT natuurlijk niet al het verkeer naar je DMZ.

Het principe DMZ is prima, de invulling van DMZ in consumenten-routers niet.

We hebben het hier volgens mij gewoon over consumenten-spul? En daar werkt een "DMZ" heel simpel;

quote: asus
Virtual DMZ allows you to expose one computer to the Internet, so that all the inbounds packets will be redirected to the computer you set. It is useful while you run some applications that use uncertained incoming ports.

En dat is standaard gewoon een enorm slecht idee.

Uiteraard is een "echte" DMZ zeker wel goed om in te zetten, maar ook daar wil je alleen verkeer afhandelen welke je verwacht. De rest kan ook daar gewoon gedropped worden voordat het de host bereikt - specifieke port-fowarding dus.

En inderdaad, een dubbele NAT-situatie kan daar prima voor misbruikt worden:)

[ Voor 13% gewijzigd door eric.1 op 20-03-2024 10:32 ]

woensdag 20 maart 2024 10:32

Acties:

0 Henk 'm!

deHakkelaar

Virtual DMZ allows you to expose one computer to the Internet, so that all the inbounds packets will be redirected to the computer you set. It is useful while you run some applications that use uncertained incoming ports.

Voorbeeld 1 tov 2 bij mij thuis:

deHakkelaar schreef op maandag 18 maart 2024 @ 20:24:
https://commons.wikimedia...rk_diagram_1_firewall.svg
https://commons.wikimedia...rk_diagram_2_firewall.svg

There are only 10 types of people in the world: those who understand binary, and those who don't

woensdag 20 maart 2024 10:45

Acties:

0 Henk 'm!

i-chat

nat dmz

waarom niet gewoon een vpn

als je aan het andere uiteinde van je tunnel gewoon een vast ip hebt of een dns cluster zoals bij Cloudflare's zero trust oplossing

dan kun je gewoon één dockercontainer of vm aan die tunnel hangen en dus via dns bereikbaar houden terwijl de rest van jouw netwerk of zelfs de andere dockers of vmes gewoon lokaal kunnen blijven werken

woensdag 20 maart 2024 10:48

Acties:

0 Henk 'm!

deHakkelaar

@i-chat , Docker isolatie is prima in orde.
Niet zo sterk als VM's of een DMZ maar ruim voldoende.

EDIT:

Security

Because Docker containers share the kernel with the host operating system, for lightweight resource consumption, they’re at risk if there are vulnerabilities in the kernel. However, Docker also provides many advanced security controls.

Conversely, as a VM runs an entire operating system, there’s an added level of isolation when running applications. VMs offer higher security as long as the operating system has strict security measures in place.

https://aws.amazon.com/co...erence-between-docker-vm/

[ Voor 73% gewijzigd door deHakkelaar op 20-03-2024 10:57 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

woensdag 20 maart 2024 12:39

Acties:

0 Henk 'm!

Duke of Savage

Ik heb beide.

Een thuis server dat ook mijn web server is.

Een VPS voor de e-mail (ivm Reverse DNS, mijn ISP wilt hier niet aan mee werken dus moest uitwijken naar een VPS). Om een positieve score te hebben en de mail server als vertrouwelijk wordt behandeld, is een Reverse DNS belangrijk.

woensdag 20 maart 2024 13:48

Acties:

+1 Henk 'm!

jvdheuve

Als uptime belangrijk is dan is een VPS of iets dergelijks waarschijnlijk de beste oplossing. Maar zelf hosten kan leuk zijn.

Indien je Cloudflare als reverse proxy wilt gebruiken, maar bang bent voor wisselende IPs van Odido. Je kan Cloudflare tunnel gebruiken om het verkeer op jou machine thuis te krijgen. Cloudflared (de Cloudflare tunnel applicatie) opent de tunnel vanaf jouw machine thuis naar Cloudflare. Hierdoor hoef je geen port forwarding te doen en zal er bij een IP wissel opnieuw connectie gezocht worden met Cloudflare. Deze setup is veiliger omdat de DOS/DDOS beveiliging in Cloudflare zit en er vanaf internet op geen andere manier bij jou machine te komen is.

woensdag 20 maart 2024 14:43

Acties:

0 Henk 'm!

Rob vd Hoeven

Hier een video die Cloudflare Tunnels uitlegt.

woensdag 20 maart 2024 17:07

Acties:

0 Henk 'm!

Testdummy Crash

Hier een reactie van een buitenstaander die totaal geen idee heeft hoe dat internet nou eigenlijk werkt. Het opzetten van een server met domeinnamen, ik zou het niet weten. Toch heeft het mij niet tegengehouden om zelf een VPS te gaan beheren met verschillende domeinnamen en toepassingen.

Heb in het verleden al eens een VPS bij OpenBSD Amsterdam gehad maar die stond niets te doen door gebrek aan kennis van mijn kant. Terwijl ik ervaring op ga doen met BSD heb ik voor de tussenliggende periode een VPS met Debian en Yunohost. Het sympathieke aan Yunohost is dat het iedereen aanspoort om zelf een server te onderhouden. De basisinstallatie heeft al een werkende e-mail en XMPP server aan boord. Met Click & Cli kan je de machine eenvoudig onderhouden of nieuwe apps (meer dan 500) installeren.

Ook sympathiek is de doelstelling van Yunohost om het systeem betrouwbaar, veilig, en ethisch te houden, het heeft wel eens ondersteuning gehad van NLNET.

Na installatie moest er handmatig een ipv6-adres gekoppeld worden aan een interface maar dat had meer te maken met het beleid van het VPS-bedrijf dan mijn eigen domheid. "Even afkloppen": er draaien nu een aantal Apps op de server sinds een maand of drie waaronder zoekmachine SearXNG... so far so good!

Yunohost werkt ook prima als huisserver op een Raspberry Pi of een ouwe computer.
Tip: Verhuizen van e-mail met behulp van imapsync.

VPS
- cpu 1
- Mem 2048 MB
- Disk 20 GB
- ipv4
- ipv6 na aanvraag
- Reverse DNS
- € 17,91 per maand

woensdag 20 maart 2024 17:48

Acties:

+1 Henk 'm!

deHakkelaar

eric.1 schreef op woensdag 20 maart 2024 @ 10:27:
[...]

Het principe DMZ is prima, de invulling van DMZ in consumenten-routers niet.

We hebben het hier volgens mij gewoon over consumenten-spul? En daar werkt een "DMZ" heel simpel;

[...]

En dat is standaard gewoon een enorm slecht idee.

Uiteraard is een "echte" DMZ zeker wel goed om in te zetten, maar ook daar wil je alleen verkeer afhandelen welke je verwacht. De rest kan ook daar gewoon gedropped worden voordat het de host bereikt - specifieke port-fowarding dus.

En inderdaad, een dubbele NAT-situatie kan daar prima voor misbruikt worden:)

Altijd handig om de wiki goed door te lezen zoals ik net toevalig heb gedaan

DMZ host
Some home routers refer to a DMZ host, which—in many cases—is actually a misnomer. A home router DMZ host is a single address (e.g., IP address) on the internal network that has all traffic sent to it which is not otherwise forwarded to other LAN hosts. By definition, this is not a true DMZ (demilitarized zone), since the router alone does not separate the host from the internal network. That is, the DMZ host is able to connect to other hosts on the internal network, whereas hosts within a real DMZ are prevented from connecting with the internal network by a firewall that separates them unless the firewall permits the connection.

A firewall may allow this if a host on the internal network first requests a connection to the host within the DMZ. The DMZ host provides none of the security advantages that a subnet provides and is often used as an easy method of forwarding all ports to another firewall / NAT device. This tactic (establishing a DMZ host) is also used with systems which do not interact properly with normal firewalling rules or NAT. This can be because no forwarding rule can be formulated ahead of time (varying TCP or UDP port numbers for example, as opposed to a fixed number or fixed range). This is also used for network protocols for which the router has no programming to handle (6in4 or GRE tunnels are prototypical examples).

Wikipedia: DMZ (computing)

There are only 10 types of people in the world: those who understand binary, and those who don't

woensdag 20 maart 2024 18:21

Acties:

0 Henk 'm!

i-chat

deHakkelaar schreef op woensdag 20 maart 2024 @ 10:48:
@i-chat , Docker isolatie is prima in orde.
Niet zo sterk als VM's of een DMZ maar ruim voldoende.

EDIT:

[...]

https://aws.amazon.com/co...erence-between-docker-vm/

dat is ook wat ik zeg docker of een vm gebruiken om je systeem van het lokale te scheiden en een Cloudflare tunnel om én een fixed ip te krijgen en om portforwarding onnodig te maken

in deze is docker zelfs beter dan consumenten-DMZ

woensdag 20 maart 2024 18:28

Acties:

+1 Henk 'm!

Andre_J

i-chat schreef op woensdag 20 maart 2024 @ 18:21:
[...]

dat is ook wat ik zeg docker of een vm gebruiken om je systeem van het lokale te scheiden en een Cloudflare tunnel om én een fixed ip te krijgen en om portforwarding onnodig te maken

in deze is docker zelfs beter dan consumenten-DMZ

En als we dan toch bezig zijn kunnen we nog beter donker vervangen door podman.
Dat zijn rootless containers. 🤓

woensdag 20 maart 2024 18:31

Acties:

0 Henk 'm!

deHakkelaar

i-chat schreef op woensdag 20 maart 2024 @ 18:21:
in deze is docker zelfs beter dan consumenten-DMZ

Ik weet eerlijk gezegd niet wat veiliger is.
Met Cloudflare wordt natuurlijk veel meer afgevangen/gefilterd.
Maar onder blijft als je ook andere containers draait (EDIT: die verbonden moeten zijn met je LAN):

Because Docker containers share the kernel with the host operating system, for lightweight resource consumption, they’re at risk if there are vulnerabilities in the kernel.

EDIT: In de meer dan 15 jaar dat ik Xen Project servers draai is het maar 1 keer voorgekomen dan m'n hypervisor in gevaar was met een zero day waarna iedereen z'n software moest updaten om te fixen.
Met Docker zal het ook zo'n vaart niet lopen

EDIT2: Moest ff zoeken maar dat was Meltdown/Spectre:

$ lscpu
[..]
Virtualization features:
  Hypervisor vendor:     Xen
  Virtualization type:   full
[..]
Vulnerabilities:
  Gather data sampling:  Unknown: Dependent on hypervisor status
  Itlb multihit:         KVM: Mitigation: VMX unsupported
  L1tf:                  Mitigation; PTE Inversion
  Mds:                   Mitigation; Clear CPU buffers; SMT Host state unknown
  Meltdown:              Unknown (XEN PV detected, hypervisor mitigation required)
  Mmio stale data:       Vulnerable: Clear CPU buffers attempted, no microcode; SMT Host state unknown
  Retbleed:              Mitigation; IBRS
  Spec rstack overflow:  Not affected
  Spec store bypass:     Mitigation; Speculative Store Bypass disabled via prctl
  Spectre v1:            Mitigation; usercopy/swapgs barriers and __user pointer sanitization
  Spectre v2:            Mitigation; IBRS, IBPB conditional, STIBP conditional, RSB filling, PBRSB-eIBRS Not affected
  Srbds:                 Unknown: Dependent on hypervisor status
  Tsx async abort:       Mitigation; Clear CPU buffers; SMT Host state unknown

[ Voor 62% gewijzigd door deHakkelaar op 20-03-2024 19:01 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

woensdag 20 maart 2024 19:03

Acties:

+1 Henk 'm!

i-chat

wat imho veilig is is dat je je consumenten routertje lekker dicht laat en dus alleen outbound connecties laat

een deel zal dan afgevangen worden door een zero trust tunnel

een ander deel doordat je vanuit het internet gezien je odido ip niet bloot legt in iets als een nslookup

overigens host ik ook lokale services achter een self hosted vpn. dus geen van mijn vms of dockers krijgt een ip op mijn lokale netwerk
enige uitzondering is home assistant die heeft een eigen wifi waar vook ander iot spul op zit

Vraag

Alle reacties