Veilige manier om lokale diensten vanaf internet te benaderen zonder VPN

VPN
1

Hoi, ik heb wat basis-intermediaire ervaring met Docker (en Traefik) en netwerken en ik heb het volgende probleem.

Ik heb enkele diensten gehost in een Docker-container op mijn lokale machine (eigenlijk iets zoals een Streamlit-webapp op poort 8080 bijvoorbeeld). Ik wil die diensten kunnen benaderen vanuit buiten mijn netwerk, maar met beperkte toegang.

Ik wil een VPN vermijden omdat dat betekent dat ik de verbinding op mijn clientapparaten moet configureren en elke keer dat ze de VPN moeten inschakelen om de webpagina te zien.

Ik weet niet zeker of dat is wat ik zoek, maar misschien zou een proxy hierbij van pas komen en al het verkeer dat naar een door mij eigendom domein (bijvoorbeeld streamlit.example.com) wordt gestuurd, doorverwijzen naar de container die op mijn lokale machine draait. Bijvoorbeeld, ik heb gezien dat je in Firefox een proxyserver kunt configureren en deze gewoon laten staan, dat voorkomt het gebruik van een VPN en ik hoef mijn andere onervaren gebruikers niet uit te leggen hoe ze dat moeten doen.

Weet je of dat mogelijk is? Zijn er betere alternatieven of is er iemand die al zo’n setup heeft nagebouwd en ervaring of setup deelt?

Dank je!

2

Als je volledig wilt afzien van VPN’s:

  1. Je moet A/AAAA-records voor je domein globaal configureren met je thuis-IP en deze bij IP-wijzigingen bijwerken
  2. Op je lokale DNS-server stel je deze records in met je lokale IP
  3. Configureer je router om al het externe verkeer naar je lokale IP te sturen. Consumentenrouters noemen dit ‘poort forwarding’ of ‘DMZ’. Prosumer-routers geven je volledige controle over firewallregels.

Let op: je krijgt veel geautomatiseerd kwaadaardig verkeer dat probeert je te hacken. Zorg dat je machine regelmatig wordt bijgewerkt; ideaal is een dedicated IP voor je reverse proxy Docker-container en deze alleen blootstellen.

Overweeg om mTLS-certificaten te gebruiken op je reverse proxy. Dit zal het aanvalsvlak bijna tot nul beperken. Maar je moet het nog steeds op elk apparaat dat toegang krijgt instellen. De certificaten werken zowel vanaf LAN als WAN.

OF:

  1. Huur een VPS, wijs A/AAAA-records naar het IP
  2. Op je lokale DNS-server stel je deze records in met je lokale IP
  3. Configureer een tunnel tussen je LAN en de VPS
  4. Configureer een reverse proxy op de VPS