Heimserver mit 2 Nics und Docker einrichten
Hallo zusammen,
vorab: ich weiß, dass das hier ein Experten-Forum ist. Ich habe leider keine Lösung für meine Fragen gefunden, weshalb ich mich - trotz der wahrscheinlich eher schlichten Natur der Probleme - sehr über eine Antwort freuen würde.
Ich habe einen Heimserver mit Ubuntu 18.4 und 2 Nics. Beide sind mit der Fritzbox verbunden, Nic1 mit dem Heimnetz, Nic2 mit dem Gastnetz. Auf dem Server laufen einige Docker-Container (z.B. pihole, openhab, vsftpd).
Ziel soll sein, dass einzelne Container nur aus dem Heimnetz erreichbar sind, andere (z.B. vsftpd) aber zusätzlich auch aus dem Gastnetz. Das Gastnetz möchte ich per VPN einem entfernten Rechner zur Verfügung stellen. Das Angriffsrisiko durch die Nutzer des entfernten Recher ist gleich null, ich möchte mein Heimnetz allerdings vor versehentlich eingeschleppten Sachen wie WannaCry etc. schützen.
Ich habe ein Docker-Netzwerk im bridge-mode erstellt und dieses an die IP von Nic1 (Heimnetz) gebunden. Das hat auch gut funktioniert, die Container, die mit dieser bridge verbunden sind, sind aus dem Gastnetzwerk nicht erreichbar.
Ich habe aber auch einen Container, der mit der Option gestartet werden muss, da er ansonsten nicht richtig funktioniert (die Freigabe der Ports mit -p führt nicht zu dem gewünschten Ergebnis). Durch die Angabe von "--net=host" ist der Container auch aus dem Gastnetzwerk erreichbar.
Ein für diesen Container erstelltes docker-macvlan hat nicht funktioniert. Das kann aber durchaus an meinen beschränkten Kenntnissen liegen. Zudem nutzt Ubuntu netplan, das mit macvlan nicht funktioniert. Ein Umstieg auf die Datei interfaces wollte ich zunächst (wenn möglich) vermeiden.
Folgende Fragen stellen sich mir:
1. Ist das grundsätzliche Setup so in Ordnung?
2. Wie bekomme ich den Container mit "--net=host" raus aus dem Gastnetzwerk?
Vielen Dank!
vorab: ich weiß, dass das hier ein Experten-Forum ist. Ich habe leider keine Lösung für meine Fragen gefunden, weshalb ich mich - trotz der wahrscheinlich eher schlichten Natur der Probleme - sehr über eine Antwort freuen würde.
Ich habe einen Heimserver mit Ubuntu 18.4 und 2 Nics. Beide sind mit der Fritzbox verbunden, Nic1 mit dem Heimnetz, Nic2 mit dem Gastnetz. Auf dem Server laufen einige Docker-Container (z.B. pihole, openhab, vsftpd).
Ziel soll sein, dass einzelne Container nur aus dem Heimnetz erreichbar sind, andere (z.B. vsftpd) aber zusätzlich auch aus dem Gastnetz. Das Gastnetz möchte ich per VPN einem entfernten Rechner zur Verfügung stellen. Das Angriffsrisiko durch die Nutzer des entfernten Recher ist gleich null, ich möchte mein Heimnetz allerdings vor versehentlich eingeschleppten Sachen wie WannaCry etc. schützen.
Ich habe ein Docker-Netzwerk im bridge-mode erstellt und dieses an die IP von Nic1 (Heimnetz) gebunden. Das hat auch gut funktioniert, die Container, die mit dieser bridge verbunden sind, sind aus dem Gastnetzwerk nicht erreichbar.
Ich habe aber auch einen Container, der mit der Option
--net=host
Ein für diesen Container erstelltes docker-macvlan hat nicht funktioniert. Das kann aber durchaus an meinen beschränkten Kenntnissen liegen. Zudem nutzt Ubuntu netplan, das mit macvlan nicht funktioniert. Ein Umstieg auf die Datei interfaces wollte ich zunächst (wenn möglich) vermeiden.
Folgende Fragen stellen sich mir:
1. Ist das grundsätzliche Setup so in Ordnung?
2. Wie bekomme ich den Container mit "--net=host" raus aus dem Gastnetzwerk?
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 527864
Url: https://administrator.de/forum/heimserver-mit-2-nics-und-docker-einrichten-527864.html
Ausgedruckt am: 22.12.2024 um 04:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
in dem Moment wo du Dienste hast die auf demselben Rechner laufen aber von beiden Netzen aus direkt erreichbar sind - warum sollte da ein entsprechender Virus sich nicht an beiden Netzen auch bedienen dürfen?
Die Möglichkeiten die du hast hängen aber jetzt in erster Linie von deinen Anforderungen und dem Geld ab was du möchtest. Ich würde sowas z.B. nicht über die Fritte abbilden sondern über Accesspoints mit Mgmt-Funktion (sei es jetzt Microtik, Ubiquitiy,...). Dort landen erst mal alle SSIDs - und dahinter ne Firewall entscheidet dann schon welche Geräte wer sehen darf. Für die Server würde ich entweder wirklich mit simplen IP-Filtern arbeiten ODER eben eine DMZ aufbauen in der "öffentliche" Server stehen und eine "interne Server"-Zone in der nur das aus deinem Arbeits-WLAN kommen darf.
Aber wie gesagt - das hängt jetzt von deiner Umgebung ab. ist es nur mal nen Kumpel der bei dir zuhause ins WLAN will wäre das ggf. nen Overkill. Dann mag auch das Fritten-Geraffel hinhauen. Ist es in ner Firma bei der üblicherweise auch div. Spielkinder mit ihrem WLAN-Kram drin sind wäre die Lösung vermutlich eher besser weil dich die Fritte sonst eh nur von einem Problem ins nächste haut...
in dem Moment wo du Dienste hast die auf demselben Rechner laufen aber von beiden Netzen aus direkt erreichbar sind - warum sollte da ein entsprechender Virus sich nicht an beiden Netzen auch bedienen dürfen?
Die Möglichkeiten die du hast hängen aber jetzt in erster Linie von deinen Anforderungen und dem Geld ab was du möchtest. Ich würde sowas z.B. nicht über die Fritte abbilden sondern über Accesspoints mit Mgmt-Funktion (sei es jetzt Microtik, Ubiquitiy,...). Dort landen erst mal alle SSIDs - und dahinter ne Firewall entscheidet dann schon welche Geräte wer sehen darf. Für die Server würde ich entweder wirklich mit simplen IP-Filtern arbeiten ODER eben eine DMZ aufbauen in der "öffentliche" Server stehen und eine "interne Server"-Zone in der nur das aus deinem Arbeits-WLAN kommen darf.
Aber wie gesagt - das hängt jetzt von deiner Umgebung ab. ist es nur mal nen Kumpel der bei dir zuhause ins WLAN will wäre das ggf. nen Overkill. Dann mag auch das Fritten-Geraffel hinhauen. Ist es in ner Firma bei der üblicherweise auch div. Spielkinder mit ihrem WLAN-Kram drin sind wäre die Lösung vermutlich eher besser weil dich die Fritte sonst eh nur von einem Problem ins nächste haut...
Moin keule,
also: So lange alles auf einem physischen Host läuft, hast du immer die Gefahr, dass ein Virus ausbricht und sich über das gesamte System
verteilt.
Ich habe leider keine Erfahrung mit Docker, da ich einen Proxmox-Host einsetze. Dort kann man den Maschinen recht einfach einzelne NICs zuweisen.
Wo terminiert denn dein VPN? Auf der Fritte oder in einem Container?
VG
also: So lange alles auf einem physischen Host läuft, hast du immer die Gefahr, dass ein Virus ausbricht und sich über das gesamte System
verteilt.
Ich habe leider keine Erfahrung mit Docker, da ich einen Proxmox-Host einsetze. Dort kann man den Maschinen recht einfach einzelne NICs zuweisen.
Wo terminiert denn dein VPN? Auf der Fritte oder in einem Container?
VG