Wie würde ich einen dedizierten Server konfigurieren, der nur über vpn erreichbar ist

Ich habe einen Server in meinem LAN. Es führt owncloud und einige Anwendungen für Entwicklungszwecke: Docker, Wildfly, Tomcat, Samba ... Mein Workflow: Ich verwende eine openvpn-Appliance, um in mein LAN zu gelangen und dann auf dem Server zu entwickeln.

Ich entferne den Server wirklich gerne aus meiner Wohnung. Also überlegte ich mir, einen dedizierten Server zu mieten. Wie würden Sie eine solche Maschine einrichten? Ich möchte nicht, dass andere Anwendungen von außen zugänglich sind, mit Ausnahme von openvpn und ssh.

Es ist äußerst wichtig, dass niemand außer mir auf Anwendungen / Dateien auf dem Server zugreift. Leider habe ich nicht die Mittel, um für einen separaten VPN / Firefall-Server und eine dedizierte Maschine zu zahlen. Ich kann mir nur einen einzigen Server leisten.

Würden Sie eine VM auf dem Server ausführen? Ich weiß einfach nicht, was die beste Vorgehensweise für ein solches Szenario ist.

Server: 16 GB Ram, Quadcore und viel Platz

Mein Wissen: Linux als Server und Desktop. Ubuntu Server wäre meine erste Wahl als Host OS.

Edit 1:

Ich habe zu Hause folgendes Setup: Ich habe einen Router, der einen einzelnen Port an die openvpn-Appliance weiterleitet. Wenn ich mich damit verbinde, habe ich vollen Zugriff auf mein Netzwerk zu Hause und auf den Server, auf dem ich entwickle. Ich brauche mir keine Sorgen um offene Ports auf dem Server zu machen, da außer meinem LAN ohnehin niemand darauf zugreifen kann.

Wenn ich einen einzelnen Server im Internet anmiete, kann jeder darauf zugreifen. Als Produktionsmaschine würde ich einfach alle Ports außer (in einem Webserver) 80 und 443 schließen. Dann konnte jeder nur auf den http-Server zugreifen und das wars.

Mein Hauptproblem: Ich möchte auf alle Ports der Entwicklungsmaschine zugreifen, die sich im Internet befindet, aber ich möchte nicht, dass andere Ports darauf zugreifen können. Vielleicht denke ich nur falsch darüber nach ...