keule3000
Goto Top

Heimserver mit 2 Nics und Docker einrichten

Hallo zusammen,

vorab: ich weiß, dass das hier ein Experten-Forum ist. Ich habe leider keine Lösung für meine Fragen gefunden, weshalb ich mich - trotz der wahrscheinlich eher schlichten Natur der Probleme - sehr über eine Antwort freuen würde.

Ich habe einen Heimserver mit Ubuntu 18.4 und 2 Nics. Beide sind mit der Fritzbox verbunden, Nic1 mit dem Heimnetz, Nic2 mit dem Gastnetz. Auf dem Server laufen einige Docker-Container (z.B. pihole, openhab, vsftpd).

Ziel soll sein, dass einzelne Container nur aus dem Heimnetz erreichbar sind, andere (z.B. vsftpd) aber zusätzlich auch aus dem Gastnetz. Das Gastnetz möchte ich per VPN einem entfernten Rechner zur Verfügung stellen. Das Angriffsrisiko durch die Nutzer des entfernten Recher ist gleich null, ich möchte mein Heimnetz allerdings vor versehentlich eingeschleppten Sachen wie WannaCry etc. schützen.

Ich habe ein Docker-Netzwerk im bridge-mode erstellt und dieses an die IP von Nic1 (Heimnetz) gebunden. Das hat auch gut funktioniert, die Container, die mit dieser bridge verbunden sind, sind aus dem Gastnetzwerk nicht erreichbar.

Ich habe aber auch einen Container, der mit der Option
--net=host
gestartet werden muss, da er ansonsten nicht richtig funktioniert (die Freigabe der Ports mit -p führt nicht zu dem gewünschten Ergebnis). Durch die Angabe von "--net=host" ist der Container auch aus dem Gastnetzwerk erreichbar.

Ein für diesen Container erstelltes docker-macvlan hat nicht funktioniert. Das kann aber durchaus an meinen beschränkten Kenntnissen liegen. Zudem nutzt Ubuntu netplan, das mit macvlan nicht funktioniert. Ein Umstieg auf die Datei interfaces wollte ich zunächst (wenn möglich) vermeiden.

Folgende Fragen stellen sich mir:

1. Ist das grundsätzliche Setup so in Ordnung?

2. Wie bekomme ich den Container mit "--net=host" raus aus dem Gastnetzwerk?

Vielen Dank!

Content-Key: 527864

Url: https://administrator.de/contentid/527864

Printed on: July 17, 2024 at 19:07 o'clock

Member: maretz
maretz Dec 20, 2019 at 08:19:14 (UTC)
Goto Top
Moin,

in dem Moment wo du Dienste hast die auf demselben Rechner laufen aber von beiden Netzen aus direkt erreichbar sind - warum sollte da ein entsprechender Virus sich nicht an beiden Netzen auch bedienen dürfen?

Die Möglichkeiten die du hast hängen aber jetzt in erster Linie von deinen Anforderungen und dem Geld ab was du möchtest. Ich würde sowas z.B. nicht über die Fritte abbilden sondern über Accesspoints mit Mgmt-Funktion (sei es jetzt Microtik, Ubiquitiy,...). Dort landen erst mal alle SSIDs - und dahinter ne Firewall entscheidet dann schon welche Geräte wer sehen darf. Für die Server würde ich entweder wirklich mit simplen IP-Filtern arbeiten ODER eben eine DMZ aufbauen in der "öffentliche" Server stehen und eine "interne Server"-Zone in der nur das aus deinem Arbeits-WLAN kommen darf.

Aber wie gesagt - das hängt jetzt von deiner Umgebung ab. ist es nur mal nen Kumpel der bei dir zuhause ins WLAN will wäre das ggf. nen Overkill. Dann mag auch das Fritten-Geraffel hinhauen. Ist es in ner Firma bei der üblicherweise auch div. Spielkinder mit ihrem WLAN-Kram drin sind wäre die Lösung vermutlich eher besser weil dich die Fritte sonst eh nur von einem Problem ins nächste haut...
Member: keule3000
keule3000 Dec 20, 2019 updated at 11:41:48 (UTC)
Goto Top
Vielen Dank für die Hinweise. Es ist tatsächlich ein ausschließlich privat genutztes Netzwerk, auch auf der Gastseite. Perspektivisch sollen ein Switch und ein Router mit VLAN-Fähigkeiten zum Einsatz kommen, separate WLAN-Access-points etc. aber das ist noch ein bisschen hin. Bis dahin wird das Netzwerk von 4 Personen genutzt, die ausschließlich ihr Backup auf dem FTP-Server ablegen wollen.

Wäre eine VM pro Nic mit Blick auf mögliche Viren eine bessere Lösung?

Edit: Ich dachte, ich könnte in der Fritzbox den VPN-Zugriff auf einen Netzwerkanschluss beschränken. Das scheint auch grundsätzlich zu funktionieren. Wenn ich aber den Gastzugang für Lan 4 aktiviere, kann ich diesen Port nicht mehr für die VPN-Verbindung auswählen... Dann funktioniert das alles möglicherweise sowie nicht so, wie ich es mir gedacht hatte...
Member: BirdyB
BirdyB Dec 20, 2019 at 11:45:45 (UTC)
Goto Top
Moin keule,

also: So lange alles auf einem physischen Host läuft, hast du immer die Gefahr, dass ein Virus ausbricht und sich über das gesamte System
verteilt.
Ich habe leider keine Erfahrung mit Docker, da ich einen Proxmox-Host einsetze. Dort kann man den Maschinen recht einfach einzelne NICs zuweisen.
Wo terminiert denn dein VPN? Auf der Fritte oder in einem Container?

VG
Member: keule3000
keule3000 Dec 20, 2019 updated at 13:00:38 (UTC)
Goto Top
Moin,

das VPN wird unmittelbar auf und zwischen den Fritzboxen eingerichtet. Ich habe jetzt das Gastnetzwerk abgeschaltet und konnte für die VPN-Verbindung über Lan4 ein eigenen IP4-Adressbereich anlegen. Somit hängt jetzt Nic1 (angeschlossen an Lan1) im Bereich 192.168.10.X und Nic2 (angeschlossen an Lan4) im Bereich 192.168.20.X.

Dass sich ein Virus grundsätzlich auf dem gesamten System ausbreiten kann, habe ich in Betracht gezogen. Aktuell halte ich das Risiko für gering, da es sich bei den Nutzern um Erwachsene handelt, die eben tatsächlich nur ein automatisiertes Backup per ftp überspielen wollen.

Laufwerksfreigaben habe ich bewusst nicht eingerichtet. In der Hoffnung, dass dann zumindest der Standard-Verschlüsselungs-Trojaner am Zugang über den ftp-server scheitert. Sollten mal Kinder dazukommen mit ihren Virenschleudern, sähe das wohl anders aus.

Viele Grüße