jiggylee
Goto Top

Docker Container hinter der VPN Brücke nicht mehr erreichbar

Hallöchen.

man hatte mir hier vor kurzem softether empfohlen. ich habe jetzt openvpn durch softether ersetzt. Auf dem selben Server wo OpenVPN lief, ist ein Docker Container am laufen, der einen Password-Manager am laufen hat. Dieser war ursprünglich über Port 80 und die lokale VPN Adresse des Servers verfügbar (10.150.0.1)
Nun aber tut sich nichts, wenn ich den über SoftEther erreichen will. Ich kann die 10.150.0.1 pingen, aber bei Traceroute hängt der sich auf. Die lokale Bridge auf dem Server hat im gegensatz zu der von OpenVPN keine IP zugewiesen, aber das Routing selbstständig gesetzt. Der Server sollte öffentlich erreichbar sein, aber der Docker nur über VPN. Hat da jemand ne Ahnung wie man das ermöglichen könnte? Ich bin bei den ganzen einstell Möglichkeiten von Softether etwas überfragt. Ich bin mir da etwas unsicher wie ich Dienste erreiche die hinter dem VPN-Dienst stehen.

Die routing tabelle vom Server

default via 176.9.200.241 dev eth0
10.150.0.0/24 via 10.150.0.2 dev tun0
10.150.0.2 dev tun0 proto kernel scope link src 10.150.0.1
x.17.0.0/16 dev docker0 proto kernel scope link src x.17.42.1
x.9.200.240/28 dev eth0 proto kernel scope link src x.9.200.253

Einer ne idee?

Content-ID: 282396

Url: https://administrator.de/forum/docker-container-hinter-der-vpn-bruecke-nicht-mehr-erreichbar-282396.html

Ausgedruckt am: 27.12.2024 um 10:12 Uhr

aqui
aqui 09.09.2015 um 15:33:38 Uhr
Goto Top
Der Ausdruck "lokale Bridge" verwirrt hier etwas.
Wie, in welchem Modus rennt denn dein VPN Tunnel ??? Als Bridge oder als geroutete Verbindung wie es gemeinhin üblich ist ?
Für die Erreichbarkeit nicht unwichtig zu wissen ?
Wenn du den Docker allerdings pingen kannst bedeutet das ganz klar das er IP technisch erreichbar ist. IP und Routingtechnisch ist damit alles OK.
Wenn dann bestimmte Anwendungen nicht klappen wie HTTP (TCP 80), dann ist das zu 98% meist ein Firewall Problem.
JiggyLee
JiggyLee 09.09.2015 aktualisiert um 16:18:36 Uhr
Goto Top
sorry für die verwirrung. ich bin mir da gerade selber im unklaren, ob das über die bridge, oder über einen tunnel läuft, da ja der server eine bridge erstellt hat, jedoch ohne eine ip. den docker selber habe ich nicht versucht zu pingen. dieser sollte auch nicht von public aus erreichbar sein, sondern ausschließlich über die 10.150.0.1, was vorher ja auch ganz gut geklappt hat.
wir haben testhalber mal neben dem vpn dienst, apache gestartet und der typische begrüßungsbildschirm war auch nur über den FQDN erreichbar und nicht über die 10.150.. daher meine ich, dass es weniger an der firewall liegt.

edit: das sind die einstellungen vom docker container

"Bridge": "docker0",
"Gateway": "172.17.42.1",
"IPAddress": "172.17.0.5",
"IPPrefixLen": 16,
"PortMapping": null,
"Ports": {
"22/tcp": [
{
"HostIp": "0.0.0.0",
"HostPort": "2333"
}
],
"80/tcp": [
{
"HostIp": "10.150.0.1",
"HostPort": "80"
}
]
}
aqui
aqui 09.09.2015 aktualisiert um 16:47:07 Uhr
Goto Top
Deine Shift Taste ist übrigens defekt und solltest du mal reparieren. Ist nicht gerade sehr angenehm solche Texte lesen zu müssen face-sad
ich bin mir da gerade selber im unklaren, ob das über die bridge, oder über einen tunnel läuft
Per se erstmal schlecht, denn mit raten oder Unklarheiten kommen wir nicht weiter hier...!
Zum Zweiten technischer Blödsinn, sorry aber wenn dann wäre die richtige Formulierung ob du im VPN Tunnel ein Bridging:
https://openvpn.net/index.php/open-source/documentation/miscellaneous/76 ...
und
http://www.heise.de/netze/artikel/Bridge-Modus-224072.html
machst. Oder....
wie es sinnigerweise im Default gemacht wird: Ein Routing ! Bridging sollte man niemals machen wegen des Broad- und Multicast Overheads beider Netze die man koppelt die dann den Tunnel unsinnigerweise belasten und die Verbindung lahm machen.
OpenVPN rät ebenfalls von einer Bridge Konfig ab wenn man nicht aus Protokollzwang es machen muss.
JiggyLee
JiggyLee 09.09.2015 um 17:04:05 Uhr
Goto Top
Meine Shift Taste funktioniert. Das ist nur umständlicher auf die Schnelle mit dem Handy so eine Rückmeldung zu geben...

Ich kenne Softether so noch nicht. Die Einstellungsmöglichkeiten sind sehr vielfältig. Das einzige das ich manuell gemacht habe, war im DHCP zu bestimmen welche IP das tap device hat und welche range an die Clients vergeben werden. Über die GUI für Windows zum administrieren des Servers hab ich ein Tap device erstellt. Ob der jetzt als eine art Bridge fungiert, oder nur zum tunneln dient, ist mir so nicht ersichtlich.

Wenn es Default so gemacht wird, dann wird Softether garantiert auch nur ein Routing gemacht haben. Denn normalerweise hat eine Bridge die IP vom physischen public interface und gibt dem pub-int die 0.0.0.0 ... Hier ist das scheinbar nicht der fall. Ich dachte darauf hättest du auch kommen können ;)
JiggyLee
JiggyLee 13.09.2015 um 23:02:40 Uhr
Goto Top
Die seite spinnt ... ich sehe zwar das 3 Beiträge reingekommen sind, allerdings kann ich die nicht sehen? Seit meiner letzten Nachricht vom 09.09 seh ich hier nichts.
Vllt gelöscht?