@FordPrefect
So, ich habe nun mein LAN versucht auf VLAN umzustellen. Das meiste hat geklappt. Bis auf das eigentliche Problem des Threats...
Ich habe nun folgende Vlans im RouterOS von Mikrotik:
Vlan 1 (weiß nicht so recht wofür ich das nutzen sollte)
Vlan 10: 10.10.0.0/16 (Port 1 am Router) für die Fritzbox
Vlan 20: 10.20.0.0/16 (Port 2+3 am Router) fürs LAN
Vlan 40: 10.40.0.0/16 (Port 4 am Router) fürs WLAN
Vlan 50: 10.50.0.0/16 (Port 5 am Router) für den Unraid Server, allerdings konnte ich dem Unraid eth0/br0 kein VLAN Tag konfigurieren.
Vlan 60: 10.60.0.0/16 (ohne direkten Anschluß, sollte über Port 5 aus dem Unraid Server kommen) für das Wireguard-Netz. Allerdings weiß ich nicht wie ich das VLAN Tag für Wireguard in Unraid konfigurieren kann.
Vlan 70: 10.70.0.0./16 (ohne direkten Anschluß, sollte über Port 5 aus dem Unraid Server kommen) für die Docker-Container.
Ich kann nun von meinem LAN aus auf die Docker zugreifen (was vorher auch schon ging). Die Firewall regeln scheinen zu funktionieren.
Ich kann mich mit meinem Handy über Mobilfunk per Wireguard einwählen. Vom Handy aus geht aber nur der Ping zur Unraid IP durch. Alles andere erreiche ich nicht. Ich habe nach Stunden probieren und lesen immer noch keine Ahnung warum.
Das Paket geht vom Wireguard Tunnel zum Ziel durch und die Antwort geht verloren.
Hier mal der tcpdump auf dem Unraidserver wenn ich einen Ping vom Handy (10.60.0.2) zum Dockercontaier (10.70.0.125) absetze:
# tcpdump -i any -v -v -n 'icmp and host 10.60.0.2'
tcpdump: data link type LINUX_SLL2
tcpdump: listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
13:35:55.571869 wg0 In IP (tos 0x0, ttl 64, id 28613, offset 0, flags [DF], proto ICMP (1), length 84)
10.60.0.2 > 10.70.0.125: ICMP echo request, id 27, seq 1, length 64
13:35:55.571962 shim-br0.70 Out IP (tos 0x0, ttl 63, id 28613, offset 0, flags [DF], proto ICMP (1), length 84)
10.60.0.2 > 10.70.0.125: ICMP echo request, id 27, seq 1, length 64
13:35:55.571963 br0.70 P IP (tos 0x0, ttl 63, id 28613, offset 0, flags [DF], proto ICMP (1), length 84)
10.60.0.2 > 10.70.0.125: ICMP echo request, id 27, seq 1, length 64
13:35:55.571988 br0.70 Out IP (tos 0x0, ttl 64, id 6275, offset 0, flags [none], proto ICMP (1), length 84)
10.70.0.125 > 10.60.0.2: ICMP echo reply, id 27, seq 1, length 64
13:35:55.571990 eth0.70 Out IP (tos 0x0, ttl 64, id 6275, offset 0, flags [none], proto ICMP (1), length 84)
10.70.0.125 > 10.60.0.2: ICMP echo reply, id 27, seq 1, length 64
13:35:55.571992 eth0 Out IP0 (invalid)
Hier die Routen auf dem Unraid-Server:
Protocol Route Gateway Metric
IPv4 default 10.50.0.100 via br0 1
IPv4 10.50.0.0/16 br0 1
IPv4 10.60.0.0/24 10.50.0.90 1
IPv4 10.60.0.2 wg0 1
IPv4 10.70.0.0/17 shim-br0.70 1
IPv4 10.70.128.0/17 shim-br0.70 1
IPv4 172.17.0.0/16 docker0 1
Wenn ich nun vom PC aus auf den Docker-Container pinge bekomme ich eine Antwort, obwohl der tcpdump ähnlich aussieht:
# tcpdump -i any -v -v -n 'icmp and host 10.20.0.101'
tcpdump: data link type LINUX_SLL2
tcpdump: listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
15:17:12.434078 eth0 P IP6, wrong link-layer encapsulation (invalid)
15:17:12.434078 eth0.70 P IP (tos 0x0, ttl 127, id 56729, offset 0, flags [none], proto ICMP (1), length 60)
10.20.0.101 > 10.70.0.125: ICMP echo request, id 1, seq 232, length 40
15:17:12.434078 br0.70 P IP (tos 0x0, ttl 127, id 56729, offset 0, flags [none], proto ICMP (1), length 60)
10.20.0.101 > 10.70.0.125: ICMP echo request, id 1, seq 232, length 40
15:17:12.434121 br0.70 Out IP (tos 0x0, ttl 64, id 10367, offset 0, flags [none], proto ICMP (1), length 60)
10.70.0.125 > 10.20.0.101: ICMP echo reply, id 1, seq 232, length 40
15:17:12.434123 eth0.70 Out IP (tos 0x0, ttl 64, id 10367, offset 0, flags [none], proto ICMP (1), length 60)
10.70.0.125 > 10.20.0.101: ICMP echo reply, id 1, seq 232, length 40
15:17:12.434127 eth0 Out IP0 (invalid)
Wenn ich den Packetsniffer auf dem Mikrotik Router laufen lasse, sieht das alles gut aus:
Hat noch jemand einen Hinweis was konfiguriert sein müsste, damit Wireguard auch zu den Dockern im vlan70 durchkommt?