Beste Lösung für Webdienste die ich lokal betreibe & nutze, aber auch von außerhalb

[der_angler]

Nabend,

ich habe da mal eine grundsätzliche Frage nach der besten Lösung.

Ich habe zuhause mehrere Raspberry Pi's , bzw. virtuelle Maschinen mit verschiedenen Webdiensten:

TeamSpeak-Server auf einer virtuellen Maschine (A) mit debian
mqtt-Broker auf einem Raspberry Pi
icinga2 auf einer virtuellen Maschine(B) mit centOS
apache Webserver auf einer virtuellen Maschine(C) mit centos

Ich nutze verschiedene vm's und Geräte um bei einem Ausfall/Update/etc.. die anderen Dienste nicht zu beeinflussen.
Aber sei's drum.

Ich nutze die oben genannten Dienste zu einem großen Teil in meinem lokalen Netz (sensoren über mqtt, hardware überwachung mit icinga, teamspeak beim spielen).
Es ist aber auch so, das ich gerne von extern darauf zugreifen möchte.

Z.Bsp. möchte ich gerne das Sensoren sich über das Internet mit meinem mqtt-Broker verbinden können, das gleiche gilt für den Icinga und Teamspeak-Server.

Gleichzeitig möchte ich aber das sowohl die interne, als logischerweise auch die externe Kommunikation über SSL läuft.

Wie baue ich das Netz jetzt sinnvollerweise auf?

Ich habe 2 x Fritzboxen zur Verfügung, damit könnte ich eine echte DMZ aufbauen.

[nopes]

Nun: Erstmal, was meinst du mit echte DMZ?

Dann, hängt die Umsetzung auch davon ab,ob du IPv4 oder IPv6 einsetzt. Bei IPv6 braucht man kein NAT mehr, dadurch braucht man dann auch nicht mehr Port Forwading. In der Praxis habe ich es noch nicht erlebt, dass die Leute wirklich IPv6 einsetzen, gibt zwar Pushs in die Richtung (ISPs usw). Ich glaube aber das wird sich nicht behaupten, so gut wie jeder kann IPv4 gut genug um damit was zu erreichen, aber so gut wie keiner kann IPv6 gut genug, um damit was zu erreichen. Das führt dazu, dass das Thema beim Entwicklen ebenfalls gemieden wird - Beispiel: Bus-System in Fahrzeugen erzeugen immer mehr Daten, da reichen die Kapaziäten nicht mehr, also wird von Can auf Ethernet umgebaut, aber mit IPv4; heute. Man wird also noch sehr sehr lange IPv4 nutzen können. Es spricht also nicht viel dagegen, weiter auf IPv4 zusetzen - hipp ist aber IPv6. Mit IPv6 löst sich dann übrigens auch das "doppelte" Port Problem, weil ja verschiedene Adressen vorhanden sind. Aber, die Home Router sind idR auch eine Firewall, mann müsste den irgendwie bei bringen, dass die doch bitte den Traffic von außen durchlassen, machen die aber nicht. Bei IPv6 ist alles total dynamisch, es gibt keine feste Adressen mehr, die kriegt man vom ISP und der darf sie beliebig oft verändern, Regeln dafür auf dem Router zu schreiben ist also nicht ganz ohne. Überhaupt ist das ein riesiger Bremsklotz, alles anders, total anderes bei IPv6, man müsste jede menge Menschen schulen, dass kostet jede Menge Geld, daher hat die Wirtschaft da kein Bock drauf, außer sie muss. Daher wird sich IPv6 auch nicht in absehbarer Zeit durchsetzten.

Klarer Fall, IPv4 + NAT

DMZ ist mMn ein veralteter Begriff, der so nicht mehr verwendet werden sollte, es ging mal um klares Trennen, aber heute hängt fast alles in einem Cluster an irgendwelchen tollen Netzwerkdingsis und wird per Software getrennt. Vielleicht kommt es aber wieder dahin, denn es stellt sich gerade in letzter Zeit immer wieder heraus, dass das mit dem trennen durch Software nicht so richtig klappt, könnte also passieren, dass das physikalische trennen, wieder an beudetung gewinnt, aber es kostet halt viel mehr, die Chancen sind also klein.