Docker | Port konflikt neuer versuch

[Avira]

Hallo,

vor ungefähr einem Jahr hab ich schon einmal das Thema angesprochen.

Es geht um einen Port der von Synology reserviert wurde und nicht weitergeleitet werden konnte auf den Docker.
Alle Hoffnung lag danach bei Synology, weil mir gesagt wurde das dies irgendwann funktionieren würde.

Es ist nun ein Jahr her und ich hab zwischendrin mal gelesen, wenn man per SSH auf den NAS verbindet, kann man den Port manuell freigeben.
Hab nun zwei Tage gesurft, finde aber zwar verschieden Port konflikt probleme aber nicht gezielt die Lösung die ich suche.

Es geht um den Port 69 für tftp. Dieser wird von Synology reserviert, möchte aber das dieser auf meinen Docker weitergeleitet wird.
Wo kann ich bei Synology den Port freigeben, damit ich diese Fehlermeldung nicht dauernd erhalte....


Grüße
Avira

 

[Fusion]

Es gibt ja Ports innerhalb und außerhalb der Docker Container.
Wieso brauchst du außerhalb unbedingt 69 und kannst keinen anderen nehmen?

 

[haydibe]

Eine Kollision kann es doch nur geben, wenn der TFTP-Server in der Systemsteuerung unter "Datendienste", Reiter "TFTP" aktiviert ist...

Wenn der tatsächlich laufen muss UND Du einen Container haben willst, der ebenfalls einen TFTP-Server anbieten soll, dann bleibt Dir eingetlich nur das hier übrig:
http://www.synology-forum.de/showthread.html?89994-Docker-Container-mit-IP-aus-eigenem-LAN-betreiben (verweist auf das US-Forum)

 

[Avira]

@Fusion
Ich brauch den Port.

@haydibe
TFTP ist deaktiviert. War es damals und ist es immer noch.
Ich kann morgen das mal versuchen mit dem Container. Guter Tipp, danke

 

[haydibe]

Also wenn ich bei mir auf der Shell 'netstat -tulpn | grep :69' eingebe, dann kommt da nichts, so dass der Port verwendbar sein sollte.
Falls die UI das verhindert, müsste es zumindest über die Shell gehen den Container anzulegen.

Die macvlan Variante ist eh charmanter

 

[Avira]

Abend,

hab den Befehl 1:1 übernommen.

docker network create -d macvlan --subnet=192.168.200.0/24 --gateway=192.168.200.1 --ip-range=192.168.200.208/28 -o parent=eth0 bridged_lan

Anschließend habe ich über DSM versucht den Container zu erstellen. Doch leider startet er nicht.

Hab mal der -parent=eth0 auf eth1 und bond0 geändert. Bei eth1 selber effekt. Bei bond0 startet der Container hat aber kein Netz, sprich Debian geht nicht
Was mach ich falsch?

 

[haydibe]

Die IP-Range 192.168.200.208/28 entspricht 192.168.200.208 - 192.168.200.223.

Sprich den Container muss Du dann folgend starten
docker run -d network=bridged_lan --ip=192.168.200.208 ....

DHCP funktionert innerhalb des macvlan nicht. Aus der Erinnerung müsste man eine IPAM-Strategie verwenden können, die das evtl. abbilden kann. Habe ich mich im Detail aber nie mit beschäftigt...

Die DSM-Nics können in den promiscous mode versetzt werden und daher auch andere IPs absetzen und erhalten. Ob das mit einem Bond auch geht, weiss ich allerdings nicht. Wenn damit DDSM läuft, dann sollte das mit den IPs von Containern in einem macvlan auch gehen

Wenn ich recht erinne war eine weiter Einschränkung, dass der Host nicht direkt mit einem solchen Container reden kann (und umgekehrt). Um das zu ermöglichen war es nötig ein logisches Interface hinzuzufügen und das beim anlegen des netzwerks als Parent anzugeben,.

 

[Avira]

Hallo,

wusste nicht das kein DHCP aktiviert ist.
Leider funktioniert die Variante immer noch nicht. Ich bekomm kein Container zum laufen.

Für testzwecke habe ich den VLAN und den Container mit den Befehlen aus dem Forum ausgeführt und erhalte nur eine Fehlermeldung

Start container portainer failed: {"message":"failed to create the macvlan port: device or resource busy"}.

Selbst das erstellen Manuell über die DSM funktioniert nicht.

 

[haydibe]

wusste nicht das kein DHCP aktiviert ist.

Das mit DHCP war quatsch von mir. Ich hatte vergessen, dass der IPAM-Treiber sein eigenens DHCP mitbringt, aber eben nicht den lokale DHCP-Server des Netzwerks verwendet.

Ich habe es gerade eben noch mal ausprobiert:
docker network create -d macvlan --subnet=192.168.200.0/24 --gateway=192.168.200.1 --ip-range=192.168.200.208/27 -o parent=eth0 physical
docker run -d --rm --name portainer --network=physical --ip=192.168.200.209 -v /volume2/docker/docker.sock:/var/run/docker.sock portainer/portainer

Danach ist Potainer über http://192.168.200.209:9000 erreichbar.

Der Container ist dabei von der DSM aus nicht pingbar, aber von allen anderen Rechnern im Netzwerk schon.


Hmm, hast Du auch ein Interface, dass nicht an einem Bond hängt, um es damit mal auszuprobieren?

 

[mehlbox]

Ich habe das Problem mit einer statischen Route gelöst. Damit lassen sich Container direkt ansprechen. Portweiterleitungen werden nicht mehr benötigt.

 

[Avira]

@haydibe
funktioniert leider nicht. Liegt wahrscheinlich am Bond.

@Mehlbox
wie genau hast du das mit der statischen Route gelöst?
Hab gerade in der Standart bridge einen Container erstellt und dann in der DSM eine Statische Route hinzugefügt. Diese ist noch bei Status deaktiviert. Muss ich noch was machen?

 

[mehlbox]

Die statische Route muss in deinem Router hinterlegt sein. Als IP-Bereich z.B. 172.17.0.0/16 und Gateway ist die Synology. Du musst vorher rausfinden wie die IP-Adressen von Docker beginnen.

 

[Avira]

der Docker hat den IP Bereich. Hab das so mal in meine Fritzbox eingetragen. Ich denk ich muss ein moment warten bis die Einstellungen wirken.

 

[mehlbox]

Sollte eigentlich sofort funktionieren. Eventuell mache ich morgen Screenshots von meinen Einstellungen. Bei mir ist es ein pihole Container. Ist für alle Teilnehmer im Netz erreichbar.

 

[Avira]

Wär super cool,

Netzwerk 172.17.0.0
Subnetz 255.255.0.0
Gateway 192.168.2.2

selbst nach einem Fritzbox neustart lässt sich nichts anpingen oder per ssh verbinden

 

[mehlbox]

 

[Avira]

Danke für die Bilder.

Hab die selben Einstellungen. Sobald ich daheim bin schau ich mir das nochmal an.

 

[Avira]

Abend,

funktioniert nun alles. Hatte zuvor eine Statische Route in Synology eingetragen, die das routen Blockiert hat. Kann nun den Docker von meinem eigenen Netzwerk erreichen. Vielen Dank für die Hilfe

PS: Finde den Editor button nicht.