Zugriff auf Container wenn Netzwerk über Wireguard


Go to solution Solved by Kai2,

Recommended Posts

Hallo,

 

sorry für den ungelenkten Titel. Ich versuche mal meine Situation verständlich darzustellen.

Mein Setup sieht aktuell folgendermaßen aus.

 

Unifi Router, Switches, APs

Wan - Statische IP

Lan - 192.168.1.0

VLAN 20 IoT - 192.168.20.0

VLAN 40 DMZ - 192.168.40.0

 

Unraid Server

2x NIC

1 - br0 LAN - 192.168.1.200

1.2 - br0.20 VLAN 20

2 - br1 VLAN 40

 

wg0 Wireguard über ProtonVPN - VPN tunneled access for Docker

 

Ich habe verschiende Container am laufen.

Ich nutze das VLAN40 für Container die ich im Internet exposen möchte.

Portweiterleitungen 80/443 laufen auf den Nginx Proxy Manager mit der IP 40.200.

Von dort verteile ich auf die anderen Container im selben VLAN u.A. Emby, Baikal etc.. Läuft alles ohne Probleme.

Ich habe jetzt einen Container den ich auch gern über das Internet erreichbar machen möchte, der aber über wg0 ins Internet gehen soll.

 

Das Problem ist, wie schaffe ich es das ich den Container per Reverse Proxy erreiche obwohl er VPN nutzt. Ist das überhaupt möglich?

Wenn ich das Webinterface des Containers lokal aufrufe, kann ich das über die IP des Unraid Servers (192.168.1.200) mit dazugehörigem Port.

Ich habe es schon mit einer Firewallregel probiert NPM -> Unraid erlauben. Hat aber nicht funktioniert.

 

Das gleiche Problem habe ich mit der kommunikation der Container untereinander. Sobald ich das Netzwerk wg0 auswähle funktioniert der Zugang zum Internet über VPN und lokal über die IP vom Unraid Server aber sonst nichts.

 

Ich bin mit meinem Latein echt am ende und für jeden Tipp dankbar.

 

Grüße

Link to comment
50 minutes ago, Kai2 said:

Das Problem ist, wie schaffe ich es das ich den Container per Reverse Proxy erreiche obwohl er VPN nutzt. Ist das überhaupt möglich?

 

das ist mal grundsätzlich möglich, dein Thema wird eher deine "kreuz und quer" config sein weil die docker in verschiedenen Netzwerken laufen.

 

50 minutes ago, Kai2 said:

Wenn ich das Webinterface des Containers lokal aufrufe, kann ich das über die IP des Unraid Servers (192.168.1.200) mit dazugehörigem Port.

 

ich gehe jetzt mal davon aus du meinst auch damit deinen per VPN verbundenen container ...

 

ich kenne jetzt die eingebaute wg0 Variante nicht, aber bin mir ziemlich sicher es hängt an der grundsätzlichen Einrichtung und damit der Verbindung NPN <> Docker im anderen Netz, da der Zugriff im LAN ja geht ... wenn ich es richtig verstanden habe.

 

@Ford Prefect wüsste jetzt wahrscheinlich direkt woran das liegen könnte ... ;)

Link to comment
7 hours ago, alturismo said:

@Ford Prefect wüsste jetzt wahrscheinlich direkt woran das liegen könnte ... ;)

Neeee, leider nicht ;-) ich nutze weder Wireguard / Proton-VPN auf unraid, noch NPM.

 

8 hours ago, Kai2 said:

Unraid Server

2x NIC

1 - br0 LAN - 192.168.1.200

1.2 - br0.20 VLAN 20

2 - br1 VLAN 40

OK, ich nehme mal an, br1 auf unraid ist gar kein VLAN, sondern nur ein LAN mit der IP aus dem VLAN40?

 

8 hours ago, Kai2 said:

Ich habe jetzt einen Container den ich auch gern über das Internet erreichbar machen möchte, der aber über wg0 ins Internet gehen soll.

...und welches IP-Segment läuft auf den Endpunkten des Tunnel?

Welche Access-Listen sind in den wireguard Peers jeweils definiert? Welche IP-Segmente/(V)LANs kannst Du über den Tunnel erreichen/pingen?

 

8 hours ago, Kai2 said:

Wenn ich das Webinterface des Containers lokal aufrufe, kann ich das über die IP des Unraid Servers (192.168.1.200) mit dazugehörigem Port.

...also läuft er im Bridge/Host-Mode? Hast Du ihn mal in custom-bridge (br0) und dedizierter IP aus dem LAN Segment konfiguriert? Geht es dann?

 

8 hours ago, Kai2 said:

Ich nutze das VLAN40 für Container die ich im Internet exposen möchte.

Portweiterleitungen 80/443 laufen auf den Nginx Proxy Manager mit der IP 40.200.

Hast Du in der UDM das Routing und die Firewall korrekt eingestellt? 

VLAN40 als DMZ sollte ja von innen, zB aus LAN noch erreichbar sein, aber nicht andersrum.

Bedenke, dass da auch die Tunnel IPs konfiguriert werden müssen, die auf die DMZ gelangen dürfen....oder macht das wg0 Interface NAT?

  • Thanks 1
Link to comment

Hallo Ford Prefect,

 

danke das du dich mir annimmst.

 

9 hours ago, Ford Prefect said:

OK, ich nehme mal an, br1 auf unraid ist gar kein VLAN, sondern nur ein LAN mit der IP aus dem VLAN40?

br1 hängt an tagged VLAN40 am Unifi Switch. Das VLAN ist nicht in Unraid konfiguriert. IPs werden nur in den Containern eingetragen

 

9 hours ago, Ford Prefect said:

...und welches IP-Segment läuft auf den Endpunkten des Tunnel?

Welche Access-Listen sind in den wireguard Peers jeweils definiert? Welche IP-Segmente/(V)LANs kannst Du über den Tunnel erreichen/pingen?

 

Ich weiß nicht ob ich die Frage richtig verstanden habe. Ich hänge hier mal ein paar Screenshots an in der Hoffnung das es die richtigen Einstellungen anzeigt.

 

grafik.png.1645dd0ef7fbbcc0fd163cf066db6061.png

 

grafik.png.7101aff3349303bd643e45c4f2d49ff9.png

 

Aus dem Firefox Container kann ich den Unraid Server anpingen. VLAN40 nicht. Das möchte ich aber auch garnicht.

Im Router habe ich, nach dieser Anleitung, eine statische route für 10.2.0.0/24 eingetragen mit 192.168.1.200 als Gateway. (192.168.1.230 ist Adguard)

 

12 hours ago, Ford Prefect said:

...also läuft er im Bridge/Host-Mode? Hast Du ihn mal in custom-bridge (br0) und dedizierter IP aus dem LAN Segment konfiguriert? Geht es dann?

 

Nein der Container läuft im wg0. Unraid macht anscheinend ein Portmapping. Deswgen dachte ich ich könnte einfach den npm auf 192.168.1.200:Port zeigen lassen. Geht aber nicht. Wenn ich den Container im Bridgemode betreibe bekomme ich sofort zugriff per npm.

 

12 hours ago, Ford Prefect said:

Hast Du in der UDM das Routing und die Firewall korrekt eingestellt? 

VLAN40 als DMZ sollte ja von innen, zB aus LAN noch erreichbar sein, aber nicht andersrum.

Bedenke, dass da auch die Tunnel IPs konfiguriert werden müssen, die auf die DMZ gelangen dürfen....oder macht das wg0 Interface NAT?

 

Ich denke schon.

Zugriff von DMZ auf LAN ist gesperrt

LAN auf DMZ ist frei.

NPM habe ich testweise den zugriff auf LAN freigegeben, funktioniert.

 

Was bedeutet die Tunnel IPs konfigurieren? Muss ich in der Firewall ein weiteres Netzwerk erstellen und die Regeln definieren?

Wenn ich es richtig interpretiere macht wg0 kein Nat.

 

Vielen Dank für deine Mühe.

 

Grüße

 

Link to comment
6 hours ago, Kai2 said:

br1 hängt an tagged VLAN40 am Unifi Switch. Das VLAN ist nicht in Unraid konfiguriert. IPs werden nur in den Containern eingetragen

Das ist schonmal ein Fehler. Wenn der Port am Unifi das 40er als tagged VLAN führt, der Port in unraid aber dies nicht als VLAN kennt, sind die Pakete von unraid mit der .40er IP un-tagged. Du musst diesen unifi-Port also auch bei untagged auf ID=40 forcieren, damit die Pakete im VLAN40 bleiben.

So wie Du es schildert landen sie wohl in Deinem default VLAN, also in Deinem LAN Segment - aber mit ne IP aus dem 40er.

 

6 hours ago, Kai2 said:

Ich weiß nicht ob ich die Frage richtig verstanden habe. Ich hänge hier mal ein paar Screenshots an in der Hoffnung das es die richtigen Einstellungen anzeigt.

Also deine Peers auf der anderen Seite des wg0 Interfaces bekommen eine IP aus dem wg-Pool (10.2.0.x)

Dieses IP-Segment musst Du auch in der Unifi bekannt machen...mit ner Gateway IP des unRaid Servers...da hast Du jetzt mehrere LAN, V20, V40....such Dir die passende aus.

Wenn Du zwischen Hosts/Dockern/VMs in unterschiedlichen VLANs kommunizieren willst, muss das durch die Unifi-Firewall. Daher muss diese auch alle IPs kennen.

6 hours ago, Kai2 said:

Im Router habe ich, nach dieser Anleitung, eine statische route für 10.2.0.0/24 eingetragen mit 192.168.1.200 als Gateway

gut. Siehe oben.

 

6 hours ago, Kai2 said:

Aus dem Firefox Container kann ich den Unraid Server anpingen. VLAN40 nicht. Das möchte ich aber auch garnicht.

Siehe das erste tagged/untagged problem. Der Firefox Container ist im LAN...der VL40-Port des unraid ist nicht im VL40.

Egal ob Du es eigentlich willst oder nicht. Vielleicht solltest Du mal ausprobiren, welche Route die Pakete nehmen.

Es funktioniert ja normalerweise so, dass Du in der Firewall alles verbietest, was nicht explizt erlaubt ist.

Evtl. hast Du es andersrum designed? Alles erlauben, was nicht verboten ist?

Stell den Firefox container mal auf custom bridge und vergib eine passende IP...LAN, VL20, VL40...und versuche dan zwischen den Segmenten zu pingen.

Dann enable das Routing zwischen Segmenten, Schritt für Schritt.

 

6 hours ago, Kai2 said:

Ich denke schon.

Zugriff von DMZ auf LAN ist gesperrt

LAN auf DMZ ist frei.

NPM habe ich testweise den zugriff auf LAN freigegeben, funktioniert.

Ich vermute halt, dass Du im LAN Segment das originäre .1.XXX und das .40.xxx Segment fährst und keine VLANs (tagged/untagged "Problem").

Ist von hier aus schwer zu sagen, wo das Problem sonst noch sein könnte.

Ohne VLANs in unraid, wird Traffic zwischen Dockern/VMS/unraid host lokal geroutet, wenn es Interfaces in den jeweiligen Segmenten gibt.

Nur bei VLANs nicht; da muss es an den Unifi, wenn man zwischen IP-Segmenten kommunizieren will....alles über die jeweilige Default route.

 

 

Link to comment
19 minutes ago, Kai2 said:

Sorry ich meinte untagged. Habe mich verschrieben. Der Port ist passend konfiguriert. 

OK, dann zurück ans Reissbrett....nochmal zum mitschreiben...

 

- Du hast einen Tuunnel zum VPN-Anbieter, via wg0. Die IP des lokalen Peer ist 10.2.0.2

- Du hast einen Container, der ein Peer im Tunnel ist, mit ner 10.2.0.xxx IP - der Container geht mit dieser IP über den VPN-Tunnel ins Internet

- Du möchtest, dass eine App/ein Prozess in dem Container auf Deine anderen, im .40.xxx gehosteten Container verbindet. Diese Container sind über den NPM .40.200  erreichbar; der NPM ist über eine Portweiterleitung für Ports80/443 aus dem I-Net erreichbar. 

 

Stellen wir uns also die Frage, ob

A) der wg-container überhaupt den NPM erreichen kann (Edit: überhaupt über den Tunnel ins I-net zu Dener WAN-IP geht - die ja auch die WAN IP ist, die Dein VPN Anbieter sieht) und

B) welchen Rückweg die Pakete zur IP 10.2.0.xxx des Containers nehmen (würden)....

Hilf mir mal mit dem NPM, ich nutze sowas nicht...welche IP sehen die angesprungenen Container im .40.xxx...die IP des unifi, des NPM odder was?

Edited by Ford Prefect
Link to comment

Puh, das ist kompliziert. Ich versuche es mal…

 

Also Firefox Container in wg0.

Aufruf einer subdomain die auf einen Container in vlan40 weiterleitet funktioniert.

Aufruf des gleichen Containers direkt über die IP funktioniert nicht.

Aufruf von Unraid Web Inteface funktioniert.

 

Wo kommt das Netz 172.31.200.0 eigentlich her? Was mache ich damit?

Wenn ich die Routen erstelle nehme ich immer 192.168.1.200 als GW richtig?

Dann brauche ich aber doch keine Netze mehr im Router zu erstellen oder liege ich da falsch?

 

Soweit ich weiß werden die Anfragen vom NPM mit der IP des NPM durchgeführt.

 

Bin dir sehr dankbar.

Kann man hier eigentlich nen Bier spendieren?

 

Grüße

 

Link to comment
11 hours ago, Kai2 said:

Aufruf einer subdomain die auf einen Container in vlan40 weiterleitet funktioniert.

Aufruf des gleichen Containers direkt über die IP funktioniert nicht.

...und die IP, die im DNS liegt ist die gleiche IP wie im 2ten Versuch?

Probier mal das - aus dem FF-Container und auch von einem lokalen Browser im LAN: https://ping.eu/traceroute/ mit DNS-Namen und IP ... welche IP wird Dir oben als "Deine" angezeigt? Die vom VPN-Provider oder Deine eigne WAN-IP oder gar eine Andere?

 

12 hours ago, Kai2 said:

Aufruf von Unraid Web Interface funktioniert.

...und da ist der Browser auf einem lokalen LAN-Client, nicht im FF-Container, richtig?

 

12 hours ago, Kai2 said:

Wo kommt das Netz 172.31.200.0 eigentlich her? Was mache ich damit?

...ist das unraid interne Docker Netzwerk.

Wenn Du die Docker nicht da dran binden willst, verwende custom.bridge und siche Dir die passende Bridge + IP aus.

12 hours ago, Kai2 said:

Wenn ich die Routen erstelle nehme ich immer 192.168.1.200 als GW richtig?

Nur für Docker im LAN...im VL20 und VL40 natürlich das jeweilige GW verwenden.

 

12 hours ago, Kai2 said:

Dann brauche ich aber doch keine Netze mehr im Router zu erstellen oder liege ich da falsch?

Nicht für wg0, weil das Netz nur zwischen unraid-wg0-Interface und VPN-provider und Deinen wg-Peers verwendet wird. ich nehme an, der VPN-Provider macht natürlich NAT.

Ansonsten musst Du bei VLANs alles über den unifi routen und die Netze inkl. GW und regeln konfigurieren.

Link to comment
25 minutes ago, Ford Prefect said:

...und die IP, die im DNS liegt ist die gleiche IP wie im 2ten Versuch?

Probier mal das - aus dem FF-Container und auch von einem lokalen Browser im LAN: https://ping.eu/traceroute/ mit DNS-Namen und IP ... welche IP wird Dir oben als "Deine" angezeigt? Die vom VPN-Provider oder Deine eigne WAN-IP oder gar eine Andere?

Ja.

Firefox im wg0 = IP vom VPN Provider

Browser Lokal = IP vom ISP

 

27 minutes ago, Ford Prefect said:

...und da ist der Browser auf einem lokalen LAN-Client, nicht im FF-Container, richtig?

Nein, ich kann aus dem Firefox im Container mit wg0 auf das Webif zugreifen.

 

28 minutes ago, Ford Prefect said:

...ist das unraid interne Docker Netzwerk.

 

Als Docker Netzwerk habe ich auch 172.17.0.0. Das 172.32.200.0 ist nur für wg0.

37 minutes ago, Ford Prefect said:

Nur für Docker im LAN...im VL20 und VL40 natürlich das jeweilige GW verwenden.

 

Dann habe ich das richtig verstanden. Route 172.32.200.0/24 GW: 192.168.1.200

39 minutes ago, Ford Prefect said:

Nicht für wg0, weil das Netz nur zwischen unraid-wg0-Interface und VPN-provider und Deinen wg-Peers verwendet wird. ich nehme an, der VPN-Provider macht natürlich NAT.

Ansonsten musst Du bei VLANs alles über den unifi routen und die Netze inkl. GW und regeln konfigurieren.

Das habe ich, meiner ansicht nach, gemacht. Ich habe für 172.31.200.0 und 10.2.0.0 Routen mit 192.168.1.200 als GW eingetragen. Wenn ich jetzt z.B. aus dem NPM Container nen traceroute auf z.B. 172.31.200.2 mache (Firefox Container in wg0) dann bekomme ich das:

 

traceroute 172.31.200.2
traceroute to 172.31.200.2 (172.31.200.2), 30 hops max, 46 byte packets
 1  192.168.40.1 (192.168.40.1)  0.702 ms  2.171 ms  1.628 ms
 2  unifi (192.168.1.200)  2.802 ms  3.083 ms  2.215 ms
 3  *  *  *
 4  *  *  *
 5  *  *  *

 

usw...

Link to comment
2 hours ago, Kai2 said:

Ja.

Firefox im wg0 = IP vom VPN Provider

Browser Lokal = IP vom ISP

OK...und was sagt das Web-Tool (traceroute, mit DNS-Namen und IP - im Container)?

 

2 hours ago, Kai2 said:

Nein, ich kann aus dem Firefox im Container mit wg0 auf das Webif zugreifen.

..das WebUI von unraid? OK, klar...diese Route kennt unraid ja lokal.

 

2 hours ago, Kai2 said:

 

Dann habe ich das richtig verstanden. Route 172.32.200.0/24 GW: 192.168.1.200

...sollte so sein, denke ich.

 

2 hours ago, Kai2 said:

Als Docker Netzwerk habe ich auch 172.17.0.0. Das 172.32.200.0 ist nur für wg0.

Ah, ok dann hat der VPN Container dieses Netz erstellt, auf dem unraid Host.

 

2 hours ago, Kai2 said:

Das habe ich, meiner ansicht nach, gemacht. Ich habe für 172.31.200.0 und 10.2.0.0 Routen mit 192.168.1.200 als GW eingetragen. Wenn ich jetzt z.B. aus dem NPM Container nen traceroute auf z.B. 172.31.200.2 mache (Firefox Container in wg0) dann bekomme ich das:

....mach das mal mit "-n" als Parameter, dann versucht er die IPs nicht zu Namen aufzulösen.

So wie es aussieht, hängt der Pfad beim unifi.....

 

Aber der Pfad auf 172.31.x.x vom VL40 sollte ja auch garnicht gehen bzw. übers I-Net zuück...der Container verbindet doch übers VPN (und dort mit der VPN-Provider-IP)

Dein Versuch ist also nicht realistisch.

 

Link to comment
  • Solution

Ich habe die Lösung anscheinend gefunden.

Habe mir die Routing Tabellen auf dem Unraid Server nochmal angeguckt weil es eigentlich nur daran liegen konnte.

 

root@UNRAID:~# ip rule
0:      from all lookup local
32763:  from all lookup main suppress_prefixlength 0
32764:  not from all fwmark 0xca6c lookup 51820
32765:  from 172.31.200.0/24 lookup 200
32766:  from all lookup main
32767:  from all lookup default

 

Über ip rule habe ich herausgefunden dass wg0 die tabelle 200 nutzt.

 

root@UNRAID:~# ip route show table 200
default via 10.2.0.2 dev wg0 
192.168.1.0/24 via 192.168.1.1 dev br0 
192.168.40.0/24 via 192.168.40.1 dev wg0

 

In der table ist mir aufgefallen das 192.168.40.0 (VLAN40 in meinem Fall) versucht über das GW 40.1 über wg0 raus will. Kann ja nicht funktionieren.

Ich frage mich nur wie diese route dahin gekommen ist.

 

root@UNRAID:~# ip route del 192.168.40.0/24 via 192.168.40.1 dev wg0 table 200
root@UNRAID:~# ip route show table 200
default via 10.2.0.2 dev wg0 
192.168.1.0/24 via 192.168.1.1 dev br0 
root@UNRAID:~# ip route add 192.168.40.0/24 via 192.168.1.1 dev br0 table 200
root@UNRAID:~# ip route show table 200

 

Wie dem auch sei. Habe die Route gelöscht und durch 40.0/24 via 1.1 über br0 ersetzt.

 

Jetzt kann ich über den NPM auf z.B. 192.168.1.200:3000 weiterleiten und bekomme, in diesem Beispiel jetzt den Firefox über meine Subdomain.

 

Ich danke dir, lieber Ford Prefect für deinen Einsatz. Ich hoffe das hier hilft noch anderen.

 

Grüße

  • Like 1
Link to comment

Rolle rückwärts. Musste den Server neu starten. Seitdem geht nichts mehr. Sowohl die Kommunikation zwischen den Containern in verschiedenen vlans als auch wg0 funktioniert nicht mehr. Habe die Route wieder eingerichtet, ohne Erfolg.


Bis zum Neustart hat alles so funktioniert wie ich es haben wollte. Keine Probleme.

 

Firewallregeln sind die selben.  

Wie kann das sein?

bin kurz davor unraid zu verbannen.

Link to comment

unraid läuft im RAM, das heisst solche Änderungen, wie Du sie evtl. über CLI gemacht hast sind nicht persistent.

Das musst Du im GO-file scripten...dann wird es beim Start angezogen.

Allerdings, bei diesem komplexen Problem evtl. auich abhängig in welcher Reihenfoilge was gesetzt wird und ob die Docker usw schon gestartet sind, damit nix ins Leere läuft.

 

1 hour ago, Kai2 said:

bin kurz davor unraid zu verbannen.

Naja, was Du da gebaut hast ist auch ein wenig von Hinten-durch-die-Brust-ins-Auge.

Wenn Du ein VPN zB wie Witreguard oder sowas in der Art bereitstellen oder nutzen willst und auch VLANs am Start hast, gehört das in den Router, nicht auf einen getrennten Host....Du nutzt den unraid Switch/Bridge und die unraud FGirewall mit...sowas würd eman eigentlich mit einer zusätzlochen Firewall, zB als VM machen...my 2 cents.

 

 

Link to comment

ok, ich habe es wieder am laufen.

 

Scheint teilweise ein Bug zu sein.

 

In den einstellungen von Wireguard kann man sich die Serverconfig anzeigen lassen.

Dort werden auch automatisiert die Routen erstellt. Und zwar werden jedes mal alle regeln gelöscht, sobald man die Verbindung trennt und neu erstellt wenn dieser wieder hergestellt wird. Habe also in der /etc/wireguard/wg0.conf meine Route eingetragen. Jetzt sollte, zumindest das, auch nach einem neustart funktionieren.

 

Das alleine hat aber nicht geholfen.

Ich musste außerdem in den Dockersettings die Einstellung „Host access to custom networks“ einmal deaktivieren, docker aktivieren, docker deaktivieren, „Host access to custom networks“ wieder aktivieren, docker wieder aktivieren. Das muss irgendwie ein Bug sein. KAnn ja nicht so gewollt sein.

 

17 hours ago, Ford Prefect said:

Wenn Du ein VPN zB wie Witreguard oder sowas in der Art bereitstellen oder nutzen willst und auch VLANs am Start hast, gehört das in den Router, nicht auf einen getrennten Host....Du nutzt den unraid Switch/Bridge und die unraud FGirewall mit...sowas würd eman eigentlich mit einer zusätzlochen Firewall, zB als VM machen...my 2 cents.

 

Das ist auch meine Idee. Werde demnächst umsteigen von Unifi auf Mikrotik weil ich mit den Routern von Unifi eher unzufrieden bin. Die Gui geht mir jedes mal mehr auf die Nüsse. Wollte mir einen Mikrotik CCR 2004 besorgen auch weil wir bald die Möglichkeit auf Glasfaser haben. Da macht meine kleine USG-3 schnell schlapp. Dann werde ich Wireguard im Router auf ein VLAN legen und fertig.

 

Habe ich nicht irgendwo gelesen das du auch Mikrotik nutzt Ford Prefect?

Link to comment
38 minutes ago, Kai2 said:

Habe also in der /etc/wireguard/wg0.conf meine Route eingetragen. Jetzt sollte, zumindest das, auch nach einem neustart funktionieren.

Wie schon gesagt wurde, läuft Unraid im RAM. /etc gehört dazu.

  • Like 1
Link to comment
5 hours ago, Kai2 said:

Das alleine hat aber nicht geholfen.

Ich musste außerdem in den Dockersettings die Einstellung „Host access to custom networks“ einmal deaktivieren, docker aktivieren, docker deaktivieren, „Host access to custom networks“ wieder aktivieren, docker wieder aktivieren. Das muss irgendwie ein Bug sein. KAnn ja nicht so gewollt sein.

Wie schon gesagt kenne ich das Plugin nicht. Ich vermute aber, das es einen hybriden Ansatz fährt...also Plugin-Seitig die lokalen Host-Routen verbiegt, aber den Tunnel zum Provider über einen Container macht. Damit auch andere Contiber in dem 172.-er Netzwerk teilnehme können.

Damit kann es solche Wechselwirkungen geben.

 

5 hours ago, Kai2 said:

Wollte mir einen Mikrotik CCR 2004 besorgen auch weil wir bald die Möglichkeit auf Glasfaser haben. Da macht meine kleine USG-3 schnell schlapp. Dann werde ich Wireguard im Router auf ein VLAN legen und fertig.

 

Habe ich nicht irgendwo gelesen das du auch Mikrotik nutzt Ford Prefect?

...der hat auf jeden Fall genug Bumms.

Aber auf MT wechsen heisst, dann ist Schluss mit Clicky-Bunti-GUI ... Du scheinst aber mit Linux und IP Stack damit grundsätzlich schon gut vorbelastet zu sein ;-)

 

Ja, ich habe im Netzwerk nur noch MT, wobei mir WiFi bei den APs etwas zu "antik" ist - aber mangels Alternativen bleibe ich erstmal dabei.

Gerade wurde der hap ac^2-ax angekündigt, mit WiFi6 und 1GB RAM...aktuell schon für um 90EUR gelistet....nicht übel....leider fehlt ihm SFP+ / 2.5G LAN...

  • Like 1
Link to comment

Danke für den Hinweis mit dem RAM. Hatte ich garnicht mehr auf dem Schirm.

 

On 8/6/2022 at 12:56 PM, Ford Prefect said:

Aber auf MT wechsen heisst, dann ist Schluss mit Clicky-Bunti-GUI ...

 

Darauf freue ich mich am meisten...

 

Werde W-LAN technisch erstmal bei den Unifi APs bleiben bis zum umstieg auf Wifi6. Dann mal gucken was Mikrotik so zu bieten hat.

 

Danke für die Hilfe.

 

Grüße

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.