Zugriff auf (WLAN-)Gastnetz aus VM

[silke]

Ich habe diverse Smart-Home Komponenten im Haus, die ich alle ins Gastnetz (192.168.179.0) genommen habe.
Proxmox ist dagegen im "normalen" Netz (192.168.178.0). Das normale 178er Netz ist über Kabel angeschlossen, das 179er Gastnetz nur über WLAN erreichbar.
Nun möchte ich eine VM betreiben, die Zugriff auf beide Netze hat. Das 178er ist natürlich kein Problem aber wie komme ich an das 179er WLAN-Netz?

Ich habe testweise mal auf dem Host die WLAN-Verbindung eingerichtet. Von dort kann ich das Gastnetz problemlos erreichen aber wie komme ich aus der VM an das Netz?
Kann ich dafür in der VM ein Routing einrichten? Oder das WLAN-Netzwerkinterface an die VM durchreichen? Oder wie kann ich es sonst hinbekommen? Ich habe mit diesen Dingen leider fast keine Erfahrung.

Google brachte praktisch ausschließlich Treffer, bei denen es darum ging, Proxmox selbst über WLAN anzubinden. Darum geht es mir nicht. Ich will einfach nur in einer VM ein zus. "Beinchen" ins WLAN-Gastnetz.

Wäre wirklich nett, wenn dazu jemand eine Idee oder gar Lösung hätte.

 

[ThoSo]

Am Proxmox eine neue Bridge für das Gastnetzwerk erstellen.
Wenn am Proxmox noch ein Netzwerkadapter frei hast, der LAN4 Port der Fritzbox kann in das Gastnetzwerk integriert werden.
Ansonsten halt den WLAN Adapter an die neue Bridge "GastNetz" binden.
Der VM zwei Netzwerkkarten geben je mit einer Bridge verbinden.

 

[silke]

Die Verbindung über LAN4 geht bei mir leider nicht, da ich nur ein Kabel zwischen Fritzbox und dem Raum mit den Rechnern habe.

Das mit der Bridge habe ich versucht, habe es aber nicht hinbekommen. Ich habe alles parallel zu vmbr0 gemacht nur eben mit dem WLAN-Adapter:

iface wlp92s0 inet manual

auto vmbr2
iface vmbr2 inet static
        address 192.168.179.201/24
        gateway 192.168.179.1
        bridge-ports wlp92s0
        bridge-stp off
        bridge-fd 0

Habe vmbr2 dann einem Container zugeordnet. "ping 192.168.179.1" kommt aus diesem aber nicht durch.
Vom host kann ich die Fritzbox so pingen.
Kann es sein, daß der ping über vmbr0 versucht wird und über das ist ja das Gastnetz nicht zu erreichen. Muß ich evtl. noch irgendwo konfigurieren, daß alles ins 192.168.179.0-Netz über vmbr2 zu laufen hat? Wenn ja, wie? Oder habe ich noch einen grundlegenden Denkfehler?

Also: wie müßte die Konfiguration aussehen, damit es klappt?

 

[silke]

Ergänzung: Noch eine Schwierigkeit die wohl speziell für das Gastnetz gilt: So wie oben mit static geht es auch auf dem Host gar nicht. Es ging nur über DHCP.

Ich hatte echt gehofft, daß das eigentlich fast jeder irgendwie hinbekommen muß, der z.B. Home Assistant auf Proxmox laufen lassen will und eben einige Geräte im Gastnetz hat. Das sollte doch eigentlich eine gängige Konfiguration sein. Umso mehr war ich verwundert, trotz intensiver Suche nichts zu finden, wie man das hinbekommt.

 

[Ernst T.]

und eben einige Geräte im Gastnetz hat. Das sollte doch eigentlich eine gängige Konfiguration sein

NEIN, das Gastnetzt ist für Gäste da! Das ist so konfiguriert dass die verbunden Geräte nur ins Internet kommen, sich aber gegenseitig nicht sehen oder aufeinander zugreifen können. Und auch keinen Zugriff auf das restliche Netzt haben ...

Für Smarthome sollte es ein eigenes Netzt geben, ohne die Beschränkungen eines klassischen Gast Netztes.

 

[silke]

NEIN, das Gastnetzt ist für Gäste da! Das ist so konfiguriert dass die verbunden Geräte nur ins Internet kommen, sich aber gegenseitig nicht sehen oder aufeinander zugreifen können.

Das stimmt nicht, zumindest nicht, wenn man den Haken gesetzt hat, daß die Geräte im Gastnetz untereinander kommunizieren können.
Wie oben gesagt: Es geht ja auch vom host aus, ich schaffe es bisher nur nicht, dasselbe aus einer VM heraus zu machen.

Was nicht geht -- und das ist ja Sinn der ganzen Konstruktion -- ist, daß aus dem Gastnetz auf das Haupt-Netz zugegriffen wird (und umgekehrt). Deshalb will ich ja eine VM, die in beiden Netzen ist. Direkt auf der Hardware ist das wie gesagt kein Problem, geht auf dem host und habe ich auch auf einem Raspberry Pi so eingerichtet. Ich kann dort problemlos auf beide Netze zugreifen. Der Raspi ist entsprechend dicht gezogen, um mir nicht durch die Hintertür doch etwas einzufangen. Auf dem Proxmox-Host möchte ich eine solche potentielles Sicherheitsproblem natürlich nicht, deswegen habe ich den gleichzeitigen Zugriff dort nur testweise eingerichtet.
Proxmox habe ich aber nun gerade, um solche Sachen nicht mehr direkt auf dem Blech laufen zu haben sondern virtualisiert.

 

[ThoSo]

Wie Ernst T. schon geschreiben hat, ist das Gastnetzwerk eigentlich dafür gedacht Gästen einen zugang zum Internet anzubieten - auch bsp. als „Hotel“ mit vorgeschalteter Maske. Mit der Berechtigung im Gastnetzwerk untereinander zu kommunizieren geht solange gut, bis es mal einen Fehler seitens der Firmware gibt.

In der Regel trennen die Profis mit einer Firewall Lösung die Netz auf (Opensense, ipFire). Auch als VM möglich.

Was du aber auch machen kannst, wäre deine SmartHome Geräte evtl. mit einer statischen IP zu konfigurieren, die es in der Fritzbox nicht gibt und auch nicht mit Gateway geroutet wird und auch kein IP6! - Bsp. 192.168.140.x. Vorrausgesetzt, das diese verkabelt und nicht per WLAN aktiv sind, sonnst bräuchtest du einen AccessPoint. Der VM gibst du dann auf den Netzwerkadapter zwei IP Adressen und dann sollte das gehen.

 

[silke]

Erst mal ganz, ganz herzlichen Dank für den konstruktiven Beitrag!
Das Gastnetz hat den Vorteil, daß es "einfach da ist", ohne zus. Access Point und gleichzeitig die Geräte, die oft auch eine Cloud-Verbindung haben vom normalen Netz zu trennen. Da ich weder ein Hotel noch sonstigenn Gäste-Betrieb habe scheint es mir nur natürlich, das zus. Netz für meine Zwecke zu nutzen. Die Smart-Home-Geräte unterstützen nicht alle eine statische IP und ich bräuchte alle Access-Points und Repeater doppelt. Ausserdem bleibt das Grundproblem, das vermutlich nicht am Gastnetz liegt: Wie bekomme ich überhaupt ein WLAN-Netz in die VM? Sprich: Wie baue ich eine Bridge, die einen WLAN-Port benutzt? Oder anders: wie baue ich das, was in Hardware problemlos geht in Software nach?
Ich hätte echt nicht gedacht, daß es so schwierig ist. Artikel wie dieser[1] legen eigentlich nahe, daß es möglich sein sollte, leider ist die Beschreibung für mich nicht klar genug, hatte deshalb hier auf die nötige Expertise gehofft.

So wie es momentan aussieht werde ich wohl eine von zwei Varianten weiterverfolgen:
1. Einen USB-WLAN-Adapter, den ich direkt in die VM durchreiche oder
2. Doch den Raspi verwenden und dort über Nginx oder Traefic die Weboberflächen und/oder APIs der Geräte im 178er-Netz bereitstellen.
Evtl. mache ich das auch mit einer Port-Weiterleitung über ssh.

Wenn doch noch jemand eine bessere Idee hat, wäre ich natürlich dankbar...

[1] https://wiki.debian.org/BridgeNetworkConnections#Bridging_with_a_wireless_NIC

 

[Ernst T.]

Die Verbindung der 2 Subnetzte (und da ist das eingeschränkte Gastnetzt nicht ideal) sollte der Router machen, und nicht eine VM!
Ich verwende openWRT und da ist das eine einfache Aufgabe. Sollte doch mit der Fritzbox auch möglich sein, oder?

• LAN1: 192.168.0.1/24 (allgemein)
• LAN2: 192.168.10.1/24 (SmartHome)
• LAN3: 192.168.22.1/26 (GastNetz) nur WLAN
• Beide in Zone lan.
• Geräte in 192.168.0.x können direkt Geräte in 192.168.10.x erreichen und umgekehrt.
• LAN3: Nur Internet-Zugriff, sonst komplett isoliert

So hab ich das bei mir - mit Hilfe von ChatGPT - in knapp 20 Minuten eingerichtet.

 

[silke]

Ist ja toll, daß es mit openWRT so leicht geht, in der Fritzbox sehe ich jetzt nicht, wie ich das machen könnte. Da sind nur zwei Netze vorgesehen: "Normal"-Netz und Gastnetz.
Außerdem will ich ja gerade vermeiden, daß ein Zugriff aus dem SmartHome-Netz (im Beispiel 192.168.10.x) ins allgemeine Netz möglich ist. Es gibt so viele Sicherheitslücken bei diesen Dingern, daß ich sie isolieren will. Lediglich von einem dedizierten Rechner (VM oder Raspi) soll der Zugriff ins SmartHome-Netz möglich sein (Firewall-Funktion), der umgekehrter Weg soll immer versperrt bleiben.
Ich habe natürlich auch an das oben schon erwähnte Opnsense gedacht aber auch dafür muß ich ja erst einmal das WLAN in die Opnsense-VM hineinbekommen.

Oder nochmal anders: Da die Fritzbox die gewünschte Router-Funktionalität nicht bietet, ich aber ansonsten so zufrieden damit bin, daß ich sie nicht ersetzen will, will ich einen Router mit der Funktionalität wie für openWRT beschrieben (nur sicherer) selber bauen. Gerne als VM (deshalb meine Frage hier), wenn das nicht geht, dann eben mit einem Raspi.

Das einzige, was mich davon abhält es als VM zu machen ist, daß ich nicht weiß, wie ich eine Bridge zu einem WLAN-Adapter (und über DHCP) hinbekomme. Genau dazu brauche ich Hilfe.

[Update:] ChatGPT war wirklich der Tip, der es letztlich gebracht hat! Danke dafür. Für alle die vor demselben Problem stehen will ich in einem Folge-Post die funktionierende Lösung beschreiben.

 

[silke]

Hier nun wie angekündigt die mit Hilfe von ChatGPT gefundene Lösung.
1. In /etc/network/interfaces einfügen:

auto wlp92s0
iface wlp92s0 inet dhcp
    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

auto vmbr2
iface vmbr2 inet static
    address 192.168.100.1
    netmask 255.255.255.0
    bridge-ports none
    bridge-stp off
    bridge-fd 0
    post-up echo 1 > /proc/sys/net/ipv4/ip_forward
    post-up iptables -t nat -A POSTROUTING -o wlp92s0 -j MASQUERADE
    post-down iptables -t nat -D POSTROUTING -o wlp92s0 -j MASQUERADE

2. Weitere Einstellungen auf dem Host:

echo "100 vmbr2" >> /etc/iproute2/rt_tables

ip route add 192.168.100.0/24 dev vmbr2 table vmbr2
ip route add default via 192.168.179.1 dev wlp92s0 table vmbr2

ip rule add from 192.168.100.0/24 table vmbr2

3. Nun der VM als Interface vmbr2 geben mit einer IP aus 192.168.100.0/24. Aller Traffic, der aus der VM darüber geht, geht nun über das WLAN Gastnetz.
Evtl. ist es noch nötig in der VM die route richtig zu setzen, da wir ja zwei Netzwerkkarten in der VM haben, z.B.:

# Default route über eth0 (vmbr0)
ip route add default via 192.168.178.1 dev eth0

# Nur 192.168.179.0/24 über eth1 (vmbr2)
ip route add 192.168.179.0/24 via 192.168.100.1 dev eth1

Test (in der VM):

ping 192.168.178.1 # "normales" Netz Gateway
ping 192.168.178.35 # "normales" Netz anderer Rechner
ping 192.168.179.1 # Gastnetz Gateway
ping 192.168.179.12 # Gastnetz, eines der Smart Home Geräte
ping 8.8.8.8 # Internet

Gehen jetzt alle.

Wenn alles tut, die Änderungen permantent machen durch Eintrag in ein Script "/etc/network/if-up.d/policy-routing.sh"

Was noch zu tun bleibt:
- alles permanent / automatisch startend machen
- Firewall dichtziehen, so daß ich nur aus der VM über den host ins Gastnetz komme aber nicht aus dem übrigen Gastnetz auf den host, der ja über die WLAN-Verbindung jetzt auch eine Gastnetz-IP hat.

 

[silke]

Wo wir schonmal dabei sind hier auch gleich die Firewall-Regeln, um den Proxmox-Rechner vor den "Gästen" zu schützen:

# 1. Blockiere WLAN → Host
iptables -A INPUT -i wlp92s0 -s 192.168.179.0/24 -j DROP

# 2. Erlaube Host → WLAN
iptables -A OUTPUT -o wlp92s0 -d 192.168.179.0/24 -j ACCEPT

# 3. Erlaube VMs → WLAN (Forwarding)
iptables -A FORWARD -s 192.168.100.0/24 -o wlp92s0 -j ACCEPT
iptables -A FORWARD -i wlan0 -d 192.168.100.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT

 

[micneu]

Danke für deine Lösung, ich persönlich würde es über eine Richtige Firewall machen z. B. pfSense/OPNSense, OpenWRT eine Fritzbox ist ein Guter Consumer Router für DAUs, der für Standardsachen einen guten Dienst macht, mehr aber auch nicht. Hier wie ich mein Netz aufgebaut habe, mit Gäste Netz und IoT in separate VLANs.

                                            ┌──────────────────────────┐                                     
                                            │                          │                                     
                                            │  WAN / Internet (PPPoE)  │                                     
                                            │        Willy.tel         │                                     
                                            │ 1000/250Mbit/s Glasfaser │                                     
                                            │                          │                                     
                                            └─────────────┬────────────┘                                     
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │                                                 
 ┌────────────────┐   ┌────────────────┐    ╔═════════════╩═════════ pfSense+ ════════╗                     
 │                │   │     Switch     │    ║                             Netgate 6100║    Stand: ─ ─ ┐     
 │ TrueNAS SCALE  ├───┤  USW-Flex-XG   ├────╣            Netzwerk Block: 172.30.0.0/19║  │                   
 │                │   │                │    ║                       LAN: 172.30.3.0/24║    16.08.2025 │     
 └────────────────┘   └───┬─┬──┬───────┘    ║      Gäste (W)LAN (VLAN2): 172.30.2.0/24║  │                   
 ┌────────────────┐       │ │  │            ║          IoT WLAN (VLAN4): 172.30.4.0/24║   ─ ─ ─ ─ ─ ─ ┘     
 │      UBNT      │       │ │  │            ║  DynDNS über deSEC.io mit eigener Domain║                     
 │UniFI AP AC Pro ├───────┘ │  │            ║                                   VPN's:║                     
 │                │         │  │            ║                1 x S2S WireGuard FB 7490║                     
 └────────────────┘         │  │            ║                1 x S2S WireGuard FB 6591║                     
 ┌────────────────┐         │  │            ║     1 x pfSense S2S (Netgate 6100) IPSec║                     
 │    Proxmox     │         │  │            ║             1 x OpenVPN Road Warrior DCO║                     
 │   Intel NUC    ├─────────┘  │            ║                          (172.30.5.0/24)║                     
 │BNUC11TNHV50L00 │            │            ║               1 x WireGuard Road Warrior║                     
 └────────────────┘            │            ║                          (172.30.6.0/24)║                     
                               │            ╚═════════════════════════════════════════╝                     
                               │                                                                             
 ┌────────────────┐   ┌────────┴───────┐ ┌────────────────────┐ ┌────────────────┐                           
 │ Fritzbox 7490  │   │     Switch     │ │       Switch       │ │    1 x UBNT    │                           
 │    IPClient    ├───┤  USW-Flex-XG   ├─┤ USW Pro Max 16 PoE ├─┤UniFi AP-Flex-HD│                           
 │   (Nur VoIP)   │   │                │ │                    │ │                │                           
 └────────────────┘   └────┬───────────┘ └──────┬─────────────┘ └────────────────┘                           
 ┌────────────────┐        │                    │    ┌───────────┐                                           
 │      UBNT      │        │                    │    │           │                                           
 │UniFI AP AC Pro ├────────┘                    └────┤  Clients  │                                           
 │                │                                  │           │                                           
 └────────────────┘                                  └───────────┘

 

[ThoSo]

3. Nun der VM als Interface vmbr2 geben mit einer IP aus 192.168.100.0/24. Aller Traffic, der aus der VM darüber geht, geht nun über das WLAN Gastnetz.
Evtl. ist es noch nötig in der VM die route richtig zu setzen, da wir ja zwei Netzwerkkarten in der VM haben, z.B.:

Wenn du der netzwerkkarte in der VM im normalen netz eine statische adresse gibst müsste es reichen, wenn kein gateway eingetragen ist.
Bei dhcp brauchst du die route in deinem szenario auf jeden fall.

 

[vikozo]

Das wäre die Aufgabe eines Router oder einer Firewall.
Netzwerke sollen immer getrennt sein und nur über FW regeln miteinander reden.
eine VM erstellen mit OpnSense ;-)