= Een goedkope VPS opzetten om de thuisverbinding af te schermen? =
Ik stel momenteel services rechtstreeks vanaf mijn residentiële verbinding bloot (via een caddy reverse proxy), wat betekent dat ik poorten 80 en 443 heb geopend. Uiteraard geen goed idee. Ik hou echt van het idee om toegang te krijgen tot mijn diensten zonder verbinding te hoeven maken via een VPN, en ik ben bereid enig risico te nemen.
Dus ik heb geconcludeerd dat ik een goedkope VPS zou moeten krijgen die in feite alleen de verzoeken naar die 2 poorten naar mijn huis tunnelt via een wireguard-verbinding.
Kijkend naar het aanbod op lowendbox, lijken de meeste in de VS te zijn, terwijl ik in Europa ben. Het verschil tussen de Amerikaanse en Europese VPS-prijzen is ongeveer 15 tot 20 euro. Niet superveel maar als het goedkoper kan dan doe ik het. Denk je dat de latentie erg merkbaar zal zijn? Het is waarschijnlijk het geld waard om een VPS dichter bij huis te halen, toch?
Ionos heeft daarvoor het perfecte vps-niveau. 1 euro VPS S. Blijft voor altijd die prijs. 400Mbit/s waar onbeperkt verkeer. Geen redelijk gebruik bs. DC in Duitsland, de VS en enkele andere locaties iirc. Ik ben bij hen sinds 4 jaar denk ik en slechts één keer had ik een probleem dat na een paar uur vanzelf verdween. Ping was "hoog"rond de 40 ms met 2 procent pakketverlies. Ik kan ze aanbevelen. Gebruik anders de gratis laag van Oracle. Geldige optie ook.
Ik weet niet zeker of het je echt tegen iets beschermt, het kan het zelfs erger maken. Er zijn hoogstwaarschijnlijk meer bots die de IP-reeksen van VPS-providers scannen dan er zijn die residentiële IP's scannen. Daar ben ik niet zeker van.
Als u rechtstreekse poort doorstuurt, wordt de kwaadwillende activiteit naar uw VPS gewoon doorgestuurd naar uw thuisserver. Het enige verschil is het doel-IP.
Host een reverse proxy op de VPS, die de verzoeken via Wireguard verstuurt. Ik zou ook Crowdsec in de VPS toevoegen, het kan kwaadaardige activiteiten detecteren van b.v. Nginx registreert en blokkeert die IP's op de firewall. Dat geeft enige bescherming. Het blokkeert standaard ook een bekende lijst met slechte IP's, die regelmatig wordt bijgewerkt. Heel eenvoudig in te stellen, maar als ik iets zoek op mijn Nextcloud, lijkt het klikken op "meer weergeven"te worden gedetecteerd als HTTP-sondering, en ik word geblokkeerd als ik het te vaak achter elkaar doe.
Ik heb tot voor kort ook Cloudflare-proxy gebruikt om mijn thuis-IP te maskeren, maar nadat ik erover had gelezen, ben ik er vrij zeker van dat de voordelen zeer beperkt zijn voor een kleine self-hoster zoals wij. Voor de genoemde Nextcloud krijg ik betere prestaties met een directe verbinding zonder de CF-proxy, zo voelt het tenminste. Vanuit het oogpunt van privacy is dit ook beter, niet dat ik echt geloof dat CF om de inhoud van mijn verkeer geeft.
Kijk voor de VPS-provider naar Hetzner, ze hebben DC's in Europa met zeer goede prestaties en redelijk betaalbare prijzen, inclusief veel uitgaand verkeer. Een mooie web-UI ook. De kleinste optie is hiervoor voldoende. Ik zou zeggen dat het de moeite waard is om iets meer te betalen voor een provider die DC's bij u in de buurt heeft.
Ps. Ik ben niet aangesloten bij Crowdsec of Hetzner, gewoon een tevreden gebruiker.
Zou het zinvol zijn om de Wireguard over te slaan en je thuisfirewall zo te configureren dat alleen 80/443 vanaf je VPS wordt toegestaan?
Op die manier kunnen alleen verzoeken die via je proxy komen door je firewall komen en heb je geen volledige tunnel naar je thuisinfrastructuur als je VPS in gevaar komt. Het vereist natuurlijk dat je een statisch openbaar IP-adres op je VPS hebt, maar met de gratis laag van Oracle geven ze die ook gratis weg.
De kleinste gedeelde CPU-virtuele machine bij Linode kost $ 5 USD per maand, wordt per uur gefactureerd, en u kunt tegenwoordig een tegoed van $ 100 krijgen (het saldo vervalt binnen 60 dagen nadat u bent gestart).
httpswww.linode.com/pricing/
Digital Ocean heeft iets soortgelijks. Vultr ook, hoewel hun proces 14 dagen duurt IIRC.
Alle hebben datacenters in Europa. Een van hen gebruiken?
Ik weet niet zo zeker welke extra beveiliging je daarmee zou krijgen - als je bepaalde bezoekers wilt filteren, kun je net zo goed een firewall op je thuisserver draaien als op een VPS, en aangezien je gewoon verkeer door de VPS tunnelt, kan iedereen wie een kwetsbaarheid in uw server ziet, komt hoe dan ook binnen.
U kunt uw server net zo goed thuis in een DMZ of een apart VLAN laten draaien.
== Over de gemeenschap ==
Leden
Online
Reddit
