Wie Sie Webdienste per Tunnel veröffentlichen

Mit ngrok, Cloudflare und Traefik Hub veröffentlichen Sie lokale Webdienste ohne öffentliche IP-Adresse im Netz, ohne VPN oder offene Ports in Ihrer Firewall.

Lesezeit: 18 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge
, Thorsten Hübner

(Bild: Thorsten Hübner)

Von
  • Niklas Dierking
Inhaltsverzeichnis

Manch einer, der Gefallen daran gefunden hat, Webanwendungen in Eigenregie zu hosten, will früher oder später diese Dienste auch außerhalb des eigenen Netzwerks erreichbar machen. Denn was nutzen die selbst gehostete Nextcloud, der Web-Markdown-Editor oder das Wiki, wenn man nicht von unterwegs darauf zugreifen kann? Vielleicht möchten Sie auch einen persönlichen Blog auf einem Raspberry Pi hosten und der Außenwelt zugänglich machen?

Ein naheliegender Weg besteht in der Konfiguration einer Portweiterleitung in der Weboberfläche des Routers. Diese Methode kommt jedoch mit einigen Einschränkungen. Sie bohren ein kleines Löchlein in Ihre Firewall, was ein potenzielles Risiko darstellt. Für viele Szenarien kommt sicher auch ein VPN-Zugang oder Port-Forwarding via SSH infrage. Diese Methoden erfordern jedoch in der Regel Zusatzsoftware oder Zertifikate auf den Clients.Hakelig wird es auch, wenn Ihr Internetprovider Carrier-Grade-NAT oder DS-Lite für Privatkunden einsetzt und womöglich gar keine öffentliche IP-Adresse vergibt, an die sich Anfragen aus dem Netz richten könnten. Auch bei einer regulären IP-Adresse erfordert Hosting in den eigenen vier Wänden zusätzliche Schritte, denn es handelt sich oft um dynamische Adressen, die sich regelmäßig ändern. Dann muss eine DynDNS-Lösung her, damit Anfragen auch die richtige Zieladresse erreichen.

Mehr zu: VPN

Cloudanbieter wie Cloudflare, Traefik Hub und ngrok lösen mit Ihren Tunneln dieses Problem. Damit machen Sie einen Webserver, der auf Ihrem System vielleicht unter localhost:8080 erreichbar ist, im Netz unter einer Domain wie blog.example.com zugänglich. Eine öffentliche IP-Adresse brauchen Sie dafür nicht, und wenn Sie eine haben, dann bleibt sie verborgen. Sie benötigen dafür einen Account und müssen einen Dienst in Ihrer Infrastruktur konfigurieren, der sich um die Tunnelverbindung kümmert, meist "Agent" genannt.