Container an Subnetz

Status
Für weitere Antworten geschlossen.

Doppelter Wolf

Benutzer
Mitglied seit
11. Sep 2008
Beiträge
171
Punkte für Reaktionen
0
Punkte
16
Hallo,
Weiss jemand wie ich einen Container in ein Subnetz bekomme damit diese Isoliert vom übrigen Netz sind?
Ich würde gerne einen VPN Container und einen Pihole Container im Subnetz betreiben. Die User sollen aber kein Zugriff auf das Lan haben.

Das wird genutzt um in öffentlichen und unverschlüsselten W-Lan Netzwerken mehr sicherheit zuhaben. Das möchte ich dann auch Freunden zuverfügung stellen.

wie muss ich das Netzwerk mit Portainer anlegen?
Im Unfi Controller erstelle ich ein Sub Netz mit zb 172.20.0.0/24 ein Netzwerk welches dann genutzt werden soll für diese beiden Container

Was mir auch gefallen würde wenn man dem das mit Vlan machen könnte ein solches Gast Netz besteht schon.
 
Zuletzt bearbeitet:

Doppelter Wolf

Benutzer
Mitglied seit
11. Sep 2008
Beiträge
171
Punkte für Reaktionen
0
Punkte
16
Ich habe ein bestehendes Gäste Netzwerk mit Vlan ID in einem Subnetz am laufen. Meine Idee war sich via VPN in dieses Netz zu wählen und den Pihole zu verwenden, aber nicht in das host netzwerk zu kommen.
Vlan wird aber nicht unterstützt wie ich soeben rausgefunden habe. Ob es ein Sicherheitsgewinn ist einfach noch ein Subnetz zu erstellen, Und im Docker eine Bridge einrichtet die auf dieses Subnetz zeigt?

Um Vlan zu können muss man den flag experimental auf true stellen. Nur finde ich die daemon.josn nicht
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.468
Punkte für Reaktionen
356
Punkte
103
Es gibt kein VLAN bei Docker. Docker verwendet vxlan um Bridge- bzw. Overlay-netzwerke anzulegen.
Über experimentelle Feature kann man MACVLAN und IPVLAN freischalten, sofern diese noch als Stable in der vorliegenden Docker Version deklariert sind. Aus meiner Erinnerung müsste MACVLAN (~ ähnlich einer vnic mit eigener ip und eigener MAC-Adresse) von Haus aus gehen - IPVLAN (~ ähnlich einer vnic mit eigener ip, aber identischer MAC-Adresse des Parent-Interfaces) braucht das Flag. Die meisten Homegrade-Router wie bspw. Fritzboxen zeigen IPVLAN Geräte nicht in der Netzwerk-Darstellung an.

Ich könnte mir vorstellen, dass es klappen würde, wenn man einer der NICs der DS in das VLAN hängt (irgendwie muss der Traffic ja dahin kommen) und die Container über MACVLAN mit echten IPs aus dem Netzwerk versorgt. Zumdem musst Du die Firewall der DS gegen Traffic aus dem Netz abdichten; wobie ich vermute das ganz abdichten nicht gehen wird.

Ein MACVLAN Netzwerk kannst Du über die Syno-GUI nicht mehr basteln, aber über Portainer sollte das Problemlos gehen.

Bleibt nur noch das Problem: läuft in deinem Gäste-WLAN kein DHCP-Server?! Setzt der den Router nicht als Default-Gateway und sorgt dafür, dass alle nach erfolgter VPN-Einwahl in Dein Netzwerk über deinen Router ins Internet gehen?! Willst Du das wirklich?

Wenn Du dagegen NUR innerhalb eines Container Netzwerks arbeiten wollen würdest (unabhängig von deinem Gäste Netzwerk) könntest Du es tatsächlich nur innerhalb von Docker mit einem Bridge-Netzwerk mit deaktiviertem NAT hinbekommen, wo Du feste IPs vergibst und den VPN-Server-Container als Gateway des Netzwerk verwendest. Damit wäre das Netzwerk wirklich "contained" und der Zugang von aussen nur über die VPN-Einwahl möglich. Für Dich selbst könntest Du laufende Services über Container Port-Mapping dann auch ohne VPN-Einwahl auf die Services zugreifen.

An der Stelle wäre es hilfreich ein Bild zu malen, auf dem Exakt erkenntlich ist was Du genau vorhast. Auf vage Vorgaben kann man leider meist auch nur vage antworten.
 

Doppelter Wolf

Benutzer
Mitglied seit
11. Sep 2008
Beiträge
171
Punkte für Reaktionen
0
Punkte
16
Ich habe Verwandte im ausland die hinter einer Firewall leben. Und die benutzen seit Jahren meinen VPN um mit Schwester und Mutter zu Telefonieren (Whatsapp und Faceboolmessenger). Die wissen das zwar nicht aber eigentlich hängen die bei mir mit im Netz und das hätte ich gerne Isoliert.. Auch gut brauchbar wenn man selbst in einem offenem Wlan ist wie in Hotels oft üblich oder in den Skiegebieten. Um das ganze noch etwas aufzuhübschen würde ich noch eine Pihole dazu laufen lassen als DNS.

Ich habe an meiner DS nur eine Netzwerkkarte.
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.468
Punkte für Reaktionen
356
Punkte
103
Eine sauber Trennung kann - unabhängig von Docker - so nicht erzielt werden! Für das was Du vor hast spielt es keine Rolle, ob der Prozess des VPN-Server direkt auf der DS oder in einem Container läuft - der Traffic muss von Deinem Router durch dein LAN auf deine DS gelangen - da können die logischen Netzwerke die Docker anlegt auch nicht weiterhelfen.

In beiden Fällen muss die Syno den Traffic der durch das VPN kommt in der Firewall filtern, so dass Traffic zum Router weiterhin möglich ist, zum Rest des Netzwerks aber nicht.

Hat Dein Router keine VPN-Server Implementierung? Mit einer Fritzbox könntest Du einen VPN-Server betreiten und die Verwandten bräuchten nur noch den Fritz VPN-Client mitsamt von dir zu übergebenden Profil und könnten sich dann darüber einwählen und ins internet kommen - allerdings muss man sich die Konfiguration dafür in dem "FRITZ!Box-Fernzugang einrichten" Tool konfigurieren, da VPN-Benutzer sonst direkt im LAN landen. Als Alternative würde ich empfehlen einen Pi zu kaufen, direkt in das Gäste-Netzerk zu hängen und dort den VPN-Server zu betreiben.

Für Dein Szenario fällt mir gerade noch eine Lösung ein: einen spottbilligen VPS mieten (bspw. IONOS Virtual Server Cloud S mit 1 CPU, 512MB RAM, 10GB HDD für 1€ im Monat ), dort den VPN-Server installieren und darüber den Breakout ins Internet ermöglichen. Das wäre maximal Isoliert von Deinem Netzwerk und kostet in Summe pro Jahr ein paar Euro mehr als der Strom für den Pi.
 
Zuletzt bearbeitet:

Doppelter Wolf

Benutzer
Mitglied seit
11. Sep 2008
Beiträge
171
Punkte für Reaktionen
0
Punkte
16
Da ich Raspberrys hier herum liegen habe wollte ich das eigentlich selber machen. Ich habe nun eine Lösung gefunden wie ich das einfach realisieren konnte.

Ich habe auf meinem Switch einem Port das Gastnetzwerk zugewiesen.
Um das ganze einfach zu administrieren brauche ich mich mit meinem Rechner nur auf dem WIFI Gastnetzwerk anzumelden.
Als switch habe ich einen 8Port Poe Switch von Unfi.

Und schon läuft mein Pihole VPN Internet Only Isoliert in seinem Netz.
Lieber wäre mir das ganze in einem Docker gewesen, aber zuviel Zeit wollte ich in dieses kleine Projekt auch nicht investieren.

Und übrigens mit einem dieser billig Anbieter hatte ich mal schlechte Erfahrung gemacht. Der Anbieter hat noch ca 3€ zugute, im User Konto gab es mir eine Gutschrift aus worauf ich nicht gezahlt habe, am ende hatte ich klage Androhungen und Mahn gebühren um ein vielfaches zu bezahlen.
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.468
Punkte für Reaktionen
356
Punkte
103
Auf dem Pi kann man, ja nach eingesetzter Distro, Docker auch laufen lassen. Man muss nur darauf achten die Tages der arm-Images zu verwenden. Ich hatte eine Zeit lang einen Pi unter 18.04 mit Docker am Laufen. Einen VPN-Server und PiHole sollte ein Pi locker abkönnen.

Bei dem vorgeschlagenen VPS handelt es sich mit dauerhaft 1€ zwar um ein spottbilliges Angebot, doch ist IONOS als Marke von 1&1 alles andere als ein Billiganbieter.

Viel Erfolg beim erarbeiten der Gesamtlösung!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat