Webserver aus Intranet (temporär) global verfügbar.

[webtaz]

Hallo zusammen,

als ersten will ich versichern: Ich werde nichts tun ohne Rücksprache mit dem Netzwerkzuständigen hier
Ich suche nur Möglichkeiten um (zeitnah) den Zugang zu ermöglichen:

(Debian) VM im Intranet mit einem simplen Webserver mit einem Fragebogen und einer Testapplikation zur Auswertung läuft. VPN Zugang ist prinzipiell möglich, jedoch läuft das idR über ein Formular (keine sensiblen Daten) und eben personalisierte Zugänge.
Diese Webseite soll jetzt von ~10 Leuten über den Verlauf einer Woche getestet werden OHNE jedem einen VPN Zugang einzurichten

Und ich suche jetzt nach Möglichkeiten das umzusetzen

• 1 VPN Zugang einrichten und Zugangsdaten an alle Tester --> komplettes Intranet zugänglich für mehrere Leute, unerwünscht
• Portforwarding eines Ports des Gateway-Server mit öffentlicher IP --> wird vom übergeordneten angeblich auch nicht gerne gesehen

Komplizierter:

• seperates VPN aufsetzen, Host auf einer zweiten VM, und die beiden VM in ein VLAN werfen (zur Abgrenzung) --> Problem, wie VPN Verbindung herstellen, die VM müsste Client sein und was wäre der Host (der öffentlich zugänglich ist?) --> Sackgasse
• Ähnliche Ideen mit VNC, aber letztendlich müsste ich entweder

a) irgendwie eine VM öffentlich erreichbar machen (IP oder Port)
b) ich bräuchte einen öffentlichen Server/Service, zu dem sich meine VM verbindet, und der als (Reverse?) proxy dient... (das könnte ich theoretisch auf privater Hardware / IP erledigen, aber ein halbwegs vertrauenswürdiger Service wäre evtl. besser)


Irgendwelche Ideen?

 

[SaxnPaule]

Mal ganz naiv: Was spricht gegen eine Cloud App mit Restriktion des Zugriffs auf eure Firmen-IP Adresse? Wenn die App so klein ist und nur eine Woche laufen soll, dann sind das nur Kleinstbeträge die da anfallen. Wenn überhaupt.

 

[revx]

Wofür habt ihr nochmal einen Netzwerkzuständigen? Der sollte die für eure IT-Infrastruktur passende Lösung doch vorschlagen können.

 

[spcqike]

Ich sag mal, frag eure IT und Vorgesetzte(n).
Viele Ideen, die hier kommen, könnten wieder abgelehnt werden.

Machen kann man vieles...

angefangen von einer eigenen VM in einer DMZ, die nur dafür öffentlich gemacht wird, über ein externen Relay Server (VPN nach drinnen oder von der VM zum relay), über VPN für alle und externen Server, der die Seite temporär hostet.

du könntest sogar eine lokale VM erstellen und sie per email verschicken, sodass jeder lokal den den Server selbst betreibt, oder auch per Docker oder apache installieren ... oder oder oder ...

 

[kamanu]

Halbwegs gescheite VPN-Lösungen die in einer Firewall realisiert sind können auch für bestimmte User den Zugriff auf bestimmte IPs freigeben und den Rest sperren. Aber wie schon die beiden vor mir schrieben: Das kann nur euer IT-Verantwortlicher beantworten.

 

[der_eismann]

Habt ihr euch mal ngrok angeschaut? Damit kann man ratzfatz von überall auf lokal erreichbare Seiten zugreifen.

 

[foo_1337]

Wenn das bei euch intern so kompliziert ist, würde ich es in dem Fall wie @SaxnPaule sagt machen: EC2 Instanz oder Lightsail bei AWS und fertig. Wenn der Webservice wirklich so simpel ist, reicht vermutlich sogar Lambda dafür

 

[Phrasendreher]

Alternative zu VPN, wenn nur Zugang zum Webserver (Port 80 oder 443) benötigt wird:
SSH-Tunnel.

 

[foo_1337]

Und du stellst dann ne 2. Kiste als ssh Jump Host daneben, forwardest dahin port 22 und erklärst jedem Mitarbeiter, wie sie ssh benutzen?

 

[Phrasendreher]

Ich? Garnix. Aber nen Forward und 1-10 Accounts, wo ist das Problem?
Damit sollte der "Netzwerkverantwortliche" wohl nicht überfordert sein. Ist m.E. weniger Thermik als ein fully fledged VPN.

 

[jb_alvarado]

Ich schließe mich @SaxnPaule an, bei Hetzner bezahlst du für eine Woche ca. einen Euro. Das ist um Welten billiger als das über die Netzwerkabteilung regeln zu lassen.

Kannst dir auch ein Script schreiben, was deine Cloud Instanz aufzieht. Jedes mal wenn du die Instanz nicht mehr brauchst, löschst du sie einfach, und wenn wieder benötigt steht sie in ein paar Sekunden.

 

[Raijin]

Vor allem muss man sich bei einem temporär gemieteten Server keine großen Gedanken um die Sicherheit machen - ein bischen natürlich schon - aber es besteht keine ernsthafte Bedrohung für das Firmennetzwerk während des kurzen Tests. Webserver, Applikation, Dummy-Daten, Logins, testen, canceln.

 

[webtaz]

Ich habe hier vor allem aus Interesse gefragt - ich bin durchaus davon ausgegangen dass von "higher up" eine Lösung kommt - aber ich hatte selbst nichts weiteres parat und wollte ein bisschen Brainstorming / Ideen zum weiterschauen / mich weiterbilden


Ich hatte so etwas wie ngrok im Hinterkopf, konnte aber nichts mehr finden (bzw. mich an den Namen erinnern).

Auch E2C / Lightsail klingt ist definitiv auch interessant, ich bin bisher immer etwas davor zurückgeschreckt, zumal "Abokosten" (über Kreditkarte dann meistens?) kompliziert abzurechnen sind (Universität...).
Das ist auch die Sache warum ich mich umgeschaut habe, "der Netzwerkzuständige" hat eben auch noch einige weitere Aufgaben

Wenn ich dort bei Amazon direkt einsteige, fühle ich mich etwas überwältigt, kann dazu jemand auf einen guten Einstieg (Artikel oder so?) verweisen?