7
Wireguard-Subnet zu DHCP 2. Nic
Moin Zusammen,
Ich hab mal eine allgemeine "Wie mache ich das Frage" ;)
Und zwar: Ich hab mir mittels eines Wireguards-VPN einen IPv6-Block (2a01:xxx:xxxx:xx61:200::/96) und einen IPv4-Block (192.168.101.2/19) nach hause auf meinen Server getunnelt. Im Moment funktioniert es auch so, dass die beiden Blöcke auf den Server geroutet werden und dort auch ankommen.
Jetzt aber zur Frage: Der Server (Debian 10) läuft virtuell auf Proxmox 6.4 mit 2 Netzwerkinterfaces (1x Normales Nic mit Internetverbindung und 1x ein Nic, an dem ein komplett leeres VX-Lan hängt). Mein "Träumchen" wär es, wenn ich es jetzt so schaffen könnte, dass ich einen neue vm in Proxmox erstell und als deren Netzwerkkarte einfach das VXLan auswähle und ich ihr dann per z.b. netplan eine Statische IP-Adresse aus einem oder beiden der Blöcke gebe.
Ich hab auch schon probiert den Debian-10 Server einfach mal als Gateway aufzusetzen, dass hat aber irgendwie nie so richtig geklappt (Am Client kam immer Network unrechable)
Ich hoffe ihr versteht was ich mein und vielleicht hat ja hier jemand einen Trick für mich, wie ich das hinbekomme.
Grüße
Finn
Ich hab mal eine allgemeine "Wie mache ich das Frage" ;)
Und zwar: Ich hab mir mittels eines Wireguards-VPN einen IPv6-Block (2a01:xxx:xxxx:xx61:200::/96) und einen IPv4-Block (192.168.101.2/19) nach hause auf meinen Server getunnelt. Im Moment funktioniert es auch so, dass die beiden Blöcke auf den Server geroutet werden und dort auch ankommen.
Jetzt aber zur Frage: Der Server (Debian 10) läuft virtuell auf Proxmox 6.4 mit 2 Netzwerkinterfaces (1x Normales Nic mit Internetverbindung und 1x ein Nic, an dem ein komplett leeres VX-Lan hängt). Mein "Träumchen" wär es, wenn ich es jetzt so schaffen könnte, dass ich einen neue vm in Proxmox erstell und als deren Netzwerkkarte einfach das VXLan auswähle und ich ihr dann per z.b. netplan eine Statische IP-Adresse aus einem oder beiden der Blöcke gebe.
Ich hab auch schon probiert den Debian-10 Server einfach mal als Gateway aufzusetzen, dass hat aber irgendwie nie so richtig geklappt (Am Client kam immer Network unrechable)
Ich hoffe ihr versteht was ich mein und vielleicht hat ja hier jemand einen Trick für mich, wie ich das hinbekomme.
Grüße
Finn
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666295
Url: https://administrator.de/forum/wireguard-subnet-zu-dhcp-2-nic-666295.html
Ausgedruckt am: 17.04.2025 um 08:04 Uhr
7 Kommentare
Neuester Kommentar
Irgendwas stimmt mit dem IPv4 Block nicht. Das ist keine Netzwerkangabe und das Netz gibt es so auch nicht. 
Etwas verwirrend ist auch was du mit "VX-LAN" meinst. Im Netzwerk Umfeld ist das ein Tunneling Protokoll:
https://de.wikipedia.org/wiki/Virtual_Extensible_LAN
Hast du damit deine VLAN Segmentierung gemacht oder ist das nur eine nicht konforme Nutzung dieser Bezeichnung ?
Nur so viel:
Wenn du die beiden Adressblöcke auf einem virtuellen WG Tunnelinterface hast musst du ja entscheiden wie du diese weiterreichen willst. Normal ist der WG VPN Server ein Router aus Netzwerk Sicht, was dann bedeuten würde das du das Netz weiter segmentieren musst um routen zu können. Eine Prefix Length von 96 Bit ist aber nicht mehr Standard konform und damit ist keine SLAAC Autokonfig mehr möglich nur statische Adressierung. SLAAC erfordert eine Minimum Length von 64 Bit.
Alternative ist das du ein Bridging machst. Dann musst du aber das Tunnelinterface und deine 2te NIC in einem Bridging Interface zusammenfassen. SLAAC ist dann aber auch wegen der Prefix Length ausgeschlossen.
Etwas mehr Input zum Setup wäre also hilfreich.
Etwas verwirrend ist auch was du mit "VX-LAN" meinst. Im Netzwerk Umfeld ist das ein Tunneling Protokoll:
https://de.wikipedia.org/wiki/Virtual_Extensible_LAN
Hast du damit deine VLAN Segmentierung gemacht oder ist das nur eine nicht konforme Nutzung dieser Bezeichnung ?
Nur so viel:
Wenn du die beiden Adressblöcke auf einem virtuellen WG Tunnelinterface hast musst du ja entscheiden wie du diese weiterreichen willst. Normal ist der WG VPN Server ein Router aus Netzwerk Sicht, was dann bedeuten würde das du das Netz weiter segmentieren musst um routen zu können. Eine Prefix Length von 96 Bit ist aber nicht mehr Standard konform und damit ist keine SLAAC Autokonfig mehr möglich nur statische Adressierung. SLAAC erfordert eine Minimum Length von 64 Bit.
Alternative ist das du ein Bridging machst. Dann musst du aber das Tunnelinterface und deine 2te NIC in einem Bridging Interface zusammenfassen. SLAAC ist dann aber auch wegen der Prefix Length ausgeschlossen.
Etwas mehr Input zum Setup wäre also hilfreich.
1
Moin,
Sorry, mir ist gerade aufgefallen, dass ich mich da nen bisschen "verkopiert" hab. Der IPv4-Block ist intern und lautet: 192.168.96.0/19
VXLan habe ich so verstanden, dass das eigentlich eine Art virtueller Switch ist, an den ich die Nics virtuell anschließe (Und dann halt z.b. ein Client/Nic als Gateway zum WG-Server läuft).
Ob Slaac funktioniert oder nicht ist mir im Moment eigentlich egal. Mein Ziel wäre es, dass ich einen Client an das VX-Lan hänge und diesem dann aus beiden Blöcken eine Fixe ip geben kann.
Sorry falls die Frage komplett einfach ist, ich bin nur im Thema Netzwer/Routing ziemlich frisch und brauch manchmal nen bisschen Hilfe.
Grüße und Danke
Finn
Sorry, mir ist gerade aufgefallen, dass ich mich da nen bisschen "verkopiert" hab. Der IPv4-Block ist intern und lautet: 192.168.96.0/19
VXLan habe ich so verstanden, dass das eigentlich eine Art virtueller Switch ist, an den ich die Nics virtuell anschließe (Und dann halt z.b. ein Client/Nic als Gateway zum WG-Server läuft).
Ob Slaac funktioniert oder nicht ist mir im Moment eigentlich egal. Mein Ziel wäre es, dass ich einen Client an das VX-Lan hänge und diesem dann aus beiden Blöcken eine Fixe ip geben kann.
Sorry falls die Frage komplett einfach ist, ich bin nur im Thema Netzwer/Routing ziemlich frisch und brauch manchmal nen bisschen Hilfe.
Grüße und Danke
Finn
OK, dein Vxlan hat dann mit dem eigentlichen Vxlan wie Netzwerker es kennen nichts zu tun. Was du da meinst ist der stinknormale vSwitch innerhalb des Hypervisors. Mit dem standartisierten Vxlan Tunneling Protokoll hat das nichts zu tun. Hier musst du aufpassen das du mit solchen falschen und irreführenden Beschreibungen die Community hier nicht völlig verwirrst und in die falsche Richtung bzw. eine Sackgasse schickst !
Wenn das v6 Netz und das v4 Netz an deinem virtuellen WG Interface anliegen ("ip addr show" wäre hier hilfreich) bleibt dann die Frage wie du das jetzt auf deine weiteren Interfaces verteilen willst ?! Bridging oder Routing ??
Normal macht man das mit Routing, da dein WG Server ja primär ein Router ist und zudem auch kein Bridging supportet !
In der Systemkonfig Datei /etc/sysctl.conf muss also vor dem Eintrag net.ipv4.ip_forward=1 das "#" entfernt werden um IPv4 Forwarding zu aktivieren.
Analog auch bei IPv6: net.ipv6.conf.all.forwarding=1
Dann Reboot und der Server routet danach dann alle an ihn angeschlossenen IP Netze.
Das bedeutet dann aber auch das du deine v4 und v6 Netze entsprechend subnetten musst.
Ein ip route show bzw. ip -6 route show zeigt dir dann immer die aktuelle Routing Tabelle des Debian.
Wenn das v6 Netz und das v4 Netz an deinem virtuellen WG Interface anliegen ("ip addr show" wäre hier hilfreich) bleibt dann die Frage wie du das jetzt auf deine weiteren Interfaces verteilen willst ?! Bridging oder Routing ??
Normal macht man das mit Routing, da dein WG Server ja primär ein Router ist und zudem auch kein Bridging supportet !
In der Systemkonfig Datei /etc/sysctl.conf muss also vor dem Eintrag net.ipv4.ip_forward=1 das "#" entfernt werden um IPv4 Forwarding zu aktivieren.
Analog auch bei IPv6: net.ipv6.conf.all.forwarding=1
Dann Reboot und der Server routet danach dann alle an ihn angeschlossenen IP Netze.
Das bedeutet dann aber auch das du deine v4 und v6 Netze entsprechend subnetten musst.
Ein ip route show bzw. ip -6 route show zeigt dir dann immer die aktuelle Routing Tabelle des Debian.
Zitat von @aqui:
Hier musst du aufpassen das du mit solchen falschen und irreführenden Beschreibungen die Community hier nicht völlig verwirrst und in die > falsche Richtung bzw. eine Sackgasse schickst !
Ich dachte wirklich das ich das nur so richtig über ein VX-Lan hinbekomme. Danke für die Aufklärung!Hier musst du aufpassen das du mit solchen falschen und irreführenden Beschreibungen die Community hier nicht völlig verwirrst und in die > falsche Richtung bzw. eine Sackgasse schickst !
Wie genau muss ich dann nach dem IP-Forwarding aktivieren vorgehen? Hast du da vielleicht nen Link zu ner Anleitung für mich?
Wie gesagt blutiger Routing-Anfänger :|
Edit: Hier noch ip a (Nicht wundern, hab das Subnet nochmal verändert):
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 3a:12:17:f6:0c:8f brd ff:ff:ff:ff:ff:ff
inet 10.1.10.139/11 brd 10.31.255.255 scope global ens18
valid_lft forever preferred_lft forever
inet6 2003:xx:xxxx:xx58:3812:17ff:fef6:c8f/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 86399sec preferred_lft 14399sec
inet6 fe80::3812:17ff:fef6:c8f/64 scope link
valid_lft forever preferred_lft forever
3: ens19: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether 6a:d2:bd:4a:4d:c8 brd ff:ff:ff:ff:ff:ff
7: wg0-client: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 192.168.101.1/19 scope global wg0-client
valid_lft forever preferred_lft forever
inet6 2a01:xxx:xxxx:xx61:200::1/96 scope global
valid_lft forever preferred_lft foreverHast du da vielleicht nen Link zu ner Anleitung für mich?
Alle Grundlagen dazu findest du hier:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Bzw. was WireGuard angeht hier:
Merkzettel: VPN Installation mit Wireguard
1
Danke, dank deiner Anleitung und nen bisschen Gehirnschmalz läufts jetzt ohne Probleme.
Grüße
Finn
Grüße
Finn
👍
