5
Dockercontainer kann nicht auf LAN zugreifen
Hi,
ich habe Docker, Portainer und WGEasy auf meinem RPI installiert. Wenn ich nun eine VPN Verbindung aufbaue komme ich nur auf WGEasy und den Router.
Habe schon bridge Modus sowie eine eigene IP mit Net und Netconfig wie in vielen Anleitungen beschrieben ausprobiert.
Hat jemand eine Idee was ich falsch mache. Der RPI-Host kann auf alles zugreifen, aber nur wenn ich lokal im LAN bin. Über das VPN leider nicht.
Danke
ich habe Docker, Portainer und WGEasy auf meinem RPI installiert. Wenn ich nun eine VPN Verbindung aufbaue komme ich nur auf WGEasy und den Router.
Habe schon bridge Modus sowie eine eigene IP mit Net und Netconfig wie in vielen Anleitungen beschrieben ausprobiert.
Hat jemand eine Idee was ich falsch mache. Der RPI-Host kann auf alles zugreifen, aber nur wenn ich lokal im LAN bin. Über das VPN leider nicht.
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668882
Url: https://administrator.de/contentid/668882
Ausgedruckt am: 21.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Statische Route auf dem Default GW des LANs für das VPN Subnetz vergessen ...
1
Hi,
habe nun schon zwei von VPN Servern eingerichtet.
docker run --detach
--name wg-easy
--env LANG=de
--env WG_HOST=mydnsdnsadress
--env PASSWORD_HASH=mypw
--env PORT=51821
--env WG_PORT=51820
--volume ~/.wg-easy:/etc/wireguard
--publish 51820:51820/udp
--publish 51821:51821/tcp
--cap-add NET_ADMIN
--cap-add SYS_MODULE
--sysctl 'net.ipv4.conf.all.src_valid_mark=1'
--sysctl 'net.ipv4.ip_forward=1'
--restart unless-stopped
ghcr.io/wg-easy/wg-easy
Warum es diesem mal nicht funktioniert ist schon komisch
habe nun schon zwei von VPN Servern eingerichtet.
docker run --detach
--name wg-easy
--env LANG=de
--env WG_HOST=mydnsdnsadress
--env PASSWORD_HASH=mypw
--env PORT=51821
--env WG_PORT=51820
--volume ~/.wg-easy:/etc/wireguard
--publish 51820:51820/udp
--publish 51821:51821/tcp
--cap-add NET_ADMIN
--cap-add SYS_MODULE
--sysctl 'net.ipv4.conf.all.src_valid_mark=1'
--sysctl 'net.ipv4.ip_forward=1'
--restart unless-stopped
ghcr.io/wg-easy/wg-easy
Warum es diesem mal nicht funktioniert ist schon komisch
Nö, einfach nur die Pakete per Trace oder Wireshark verfolgen folgen und schon siehst du schwarz auf weiß wo es hängen bleibt. 🙂. Also entweder statische Route auf dem Default GW anlegen (bevorzugt weil Route where you can und NAT only when you must) oder das VPN Netz ausgehend NATen.
AllowedIPs müssen natürlich passen, und Firewalls im LAN gecustomized werden damit das fremde Netz auch zugelassen wird, vor allem bei Winblows das per Default ICMP und SMB aus fremden Netzen blockt.
Besser ist es immer man setzt sowas mal von Hand selbst auf statt sich nur auf fremden Container-Kruscht zu verlassen, dann lernt man auch handfestes Netzwerk- und Troubleshooting-Wissen das man immer gebrauchen kann, statt nur zu Copy n Pasten und Trial&Error zu stöpseln 😋.
AllowedIPs müssen natürlich passen, und Firewalls im LAN gecustomized werden damit das fremde Netz auch zugelassen wird, vor allem bei Winblows das per Default ICMP und SMB aus fremden Netzen blockt.
Besser ist es immer man setzt sowas mal von Hand selbst auf statt sich nur auf fremden Container-Kruscht zu verlassen, dann lernt man auch handfestes Netzwerk- und Troubleshooting-Wissen das man immer gebrauchen kann, statt nur zu Copy n Pasten und Trial&Error zu stöpseln 😋.
2
Hi,
so habe heute den RPI in meinem Test-VLAN (gleicher IP-Bereich wie bei meinem Sohn - mit meiner UNIFI Anlage nur ein paar Klicks) eingerichtet und getestet - alles hat funktioniert. Konnte auf mein komplettes LAN zugreifen (habe zum Testen die Firewall auf alle Netzwerke zum Testnetzwerk geöffnet), sogar über mehrere IP Bereiche hinweg (192.168.0.0, 192.168.10.0, 192.168.1.1 und im LAN in welchem der RPI ist 192.168.2.0). Testnetzwerk habe ich wieder gelöscht und den RPI bei meinem Sohn aufgebaut.
Nun habe ich den RPI bei meinem Sohn hochgefahren und wieder das gleiche Problem. Kann nur auf den Wireguard Client und die FritzBox zugreifen. Auf den Rest kann ich nicht zugreifen.
Einziger Unterschied damit der RPI an einer FritzBox7390 angeschlossen ist, welche an einer FritzBox7490 per LAN angeschlossen ist. Auf der Host-FritzBox habe ich alle Ports zur FritzBox meines Sohns freigeschaltet. Da er das Internet von seinem Vermieter nutzt, hat er ein eigenes LAN damit der Vermieter nicht auf sein und er nicht auf das Netzwerk des Vermieters zugreifen kann.
Bei der FritzBox meines Sohns ist unter Zugangsdaten folgendes eingestellt:
- weiterer Internetanbieter
- Anschluss an externes Modem oder Router
- Internetverbindung selbst aufbauen
- Werden Zugangsdaten benötigt? NEIN
IP: IP im IP-Bereich des Vermieters
Subnetz: 255.255.255.0
Gateway und DNS: IP der Fritz!Box des Vermieters
- Angeschlossene Netzwerkgeräte dürfen zusätzlich ihre eigene Internetverbindung aufbauen (nicht empfohlen) - AUS
Liegt es eventuell daran und gibt es dazu eine Lösung?
Danke
so habe heute den RPI in meinem Test-VLAN (gleicher IP-Bereich wie bei meinem Sohn - mit meiner UNIFI Anlage nur ein paar Klicks) eingerichtet und getestet - alles hat funktioniert. Konnte auf mein komplettes LAN zugreifen (habe zum Testen die Firewall auf alle Netzwerke zum Testnetzwerk geöffnet), sogar über mehrere IP Bereiche hinweg (192.168.0.0, 192.168.10.0, 192.168.1.1 und im LAN in welchem der RPI ist 192.168.2.0). Testnetzwerk habe ich wieder gelöscht und den RPI bei meinem Sohn aufgebaut.
Nun habe ich den RPI bei meinem Sohn hochgefahren und wieder das gleiche Problem. Kann nur auf den Wireguard Client und die FritzBox zugreifen. Auf den Rest kann ich nicht zugreifen.
Einziger Unterschied damit der RPI an einer FritzBox7390 angeschlossen ist, welche an einer FritzBox7490 per LAN angeschlossen ist. Auf der Host-FritzBox habe ich alle Ports zur FritzBox meines Sohns freigeschaltet. Da er das Internet von seinem Vermieter nutzt, hat er ein eigenes LAN damit der Vermieter nicht auf sein und er nicht auf das Netzwerk des Vermieters zugreifen kann.
Bei der FritzBox meines Sohns ist unter Zugangsdaten folgendes eingestellt:
- weiterer Internetanbieter
- Anschluss an externes Modem oder Router
- Internetverbindung selbst aufbauen
- Werden Zugangsdaten benötigt? NEIN
IP: IP im IP-Bereich des Vermieters
Subnetz: 255.255.255.0
Gateway und DNS: IP der Fritz!Box des Vermieters
- Angeschlossene Netzwerkgeräte dürfen zusätzlich ihre eigene Internetverbindung aufbauen (nicht empfohlen) - AUS
Liegt es eventuell daran und gibt es dazu eine Lösung?
Danke
Hi,
habe noch ein wenig herumgespielt und auf dem NAS eine OpenVPN Verbindung eingerichtet. Hier habe ich das gleiche Problem. Kann nur auf den VPN Server und dem Router zugreifen.
Muss an dem doppelten Nat liegen denke ich. Da beide Geräte RPI und NAS mit der Konfiguration in meinem Test-LAN funktionieren.
Hat jemand eine Idee was ich falsch mache bzw. was ich einstellen muss damit das VPN funktionert?
habe noch ein wenig herumgespielt und auf dem NAS eine OpenVPN Verbindung eingerichtet. Hier habe ich das gleiche Problem. Kann nur auf den VPN Server und dem Router zugreifen.
Muss an dem doppelten Nat liegen denke ich. Da beide Geräte RPI und NAS mit der Konfiguration in meinem Test-LAN funktionieren.
Hat jemand eine Idee was ich falsch mache bzw. was ich einstellen muss damit das VPN funktionert?
