Beides, ich kenne ja deine Konfiguration nicht. Wenn du dir sicher bist, bei PVE nichts geändert zu haben, wäre also die vom Router zu prüfen. Und das hat dann nichts mehr mit ProxmoxVE zu tun. Wie gesagt einfachster Test wäre mal probeweise tailscale auf einen anderen Rechner in deinen Netzwerk zu installieren.
Tailscale als Subnetz Router
- Thread starter Scplayer
- Start date
ich musste am Router nichts einstellen bei mir.
gib mal in die Konsole "tailscale status" ein
siehst du da dann sowas wie hier?
gib mal in die Konsole "tailscale status" ein
siehst du da dann sowas wie hier?
Code:
C:\Users\tail>tailscale status
100.64.0.2 dev5 tail windows -
100.64.0.1 vps tail linux idle; offers exit node
100.64.0.3 docker1 tail linux -Ok verstehe danke dir für die ganze Recherche
.Hab das auf den Subnetz Router ausgeführt und erhalte diese Ausgabe:
Code:
root@TSSubnetRouter:~# tailscale status
100.89.187.18 tssubnetrouter MrSc2player@ linux -
100.87.91.116 handy-jan tagged-devices android offline, last seen 2d ago
100.80.61.123 laptop-jan MrSc2player@ linux offline, last seen 59m ago
100.105.54.21 tssubnetroutertest tagged-devices linux offline, last seen 2d ago
root@TSSubnetRouter:~#Moin Bluesite,
Einmal die Ausgabe beim LXC Container:
Code:
root@TSSubnetRouter:~# tailscale status
100.89.187.18 tssubnetrouter MrSc2player@ linux -
100.87.91.116 handy-jan tagged-devices android -
100.80.61.123 laptop-jan MrSc2player@ linux active; direct 192.168.178.23:41641, tx 100 rx 148
100.105.54.21 tssubnetroutertest tagged-devices linux -Einmal die Ausgabe beim Laptop:
Code:
jan@Laptop-Jan:~$ tailscale status
100.80.61.123 laptop-jan MrSc2player@ linux -
100.89.187.18 tssubnetrouter MrSc2player@ linux active; direct 192.168.178.37:41641
100.105.54.21 tssubnetroutertest tagged-devices linux active; direct [2a02:3102:4070:6800:be24:11ff:fe20:274]:41641, tx 29772 rx 22748
jan@Laptop-Jan:~$LG Jan
So noch ein Zusatz hab evtl. ein Grund gefunden und zwar ist mein Internetanschluss nur ein DS-Lite Anschluss wodurch meine Fritzbox per IP4 nicht öffentlich erreichbar ist. Warte hier noch auf die Rückmeldung des Tailscale Supports auf meiner Antwort bzgl. deren Rückmeldung aber gebe hier beschied sobald ich eine habe.
Bedeutet meine Fritzbox hat eine öffnetliche ipv6 Adresse und Präfix. Anfragen eingehend und ausgehend in ipv4 werden daher von meiner Fitzbox durch einen DS-Lite-Tunnel und AFTR-Gateway zum Anbieter geschickt um diese in ipv6 oder ipv4 zu ändern. Grob genannt und hoffentlich richtig erklärt hab gerade zum ersten mal davon gehört und nur kurz geschaut um es zu verstehen.
LG Jan
Bedeutet meine Fritzbox hat eine öffnetliche ipv6 Adresse und Präfix. Anfragen eingehend und ausgehend in ipv4 werden daher von meiner Fitzbox durch einen DS-Lite-Tunnel und AFTR-Gateway zum Anbieter geschickt um diese in ipv6 oder ipv4 zu ändern. Grob genannt und hoffentlich richtig erklärt hab gerade zum ersten mal davon gehört und nur kurz geschaut um es zu verstehen.
LG Jan
können sich die IPs den untereinander anpingen also von den Rechnern die anderen Tailscale IPs erreichen?
Mein Kunde hat auch nen DS-Lite Anschluss und da geht es trotzdem, allerdings liegt mein Headscsle Server auf nem VPS Server der sowohl IPv4 und IPv6 hat also beide Adressräume.
Mein Kunde hat auch nen DS-Lite Anschluss und da geht es trotzdem, allerdings liegt mein Headscsle Server auf nem VPS Server der sowohl IPv4 und IPv6 hat also beide Adressräume.
Ich schätze mal das liegt daran das meine Fritzbox nicht über IP4 Erreichbar ist, da ja Tailscale auch komplett darüber läuft. Interessanterweise ist es aber nicht möglich die Geräte über deren Tailscale IP anzupingen von mein Laptop aus und den Subnetz Router.
Und Alle Geräte waren laut der Tailscale Admin Console online.
Und Alle Geräte waren laut der Tailscale Admin Console online.
hm mein Kunde hat auch DS-Light und bei dem geht es auch, daran liegt es eher nicht allerdings nutz er meinen Headscale Server der auf meinem VPS läuft
Hallo @bluesite,
da stimme ich dir absolut zu. DS-Lite ist dank der DERP-Relays (NAT Traversal) von Tailscale in der Regel kein Hindernis und funktioniert meist "out of the box".
@Scplayer, dass du die Tailscale-IPs untereinander nicht pingen kannst (Post #28), obwohl tailscale status eine "direct" Verbindung anzeigt (Post #25), ist der entscheidende Hinweis. Das Routing ins Subnetz kann nicht klappen, wenn schon die Basis-Kommunikation im Mesh blockiert ist.
Da die Verbindung "direct" ist (UDP Hole Punching hat geklappt), liegt es meist an zwei Dingen:
da stimme ich dir absolut zu. DS-Lite ist dank der DERP-Relays (NAT Traversal) von Tailscale in der Regel kein Hindernis und funktioniert meist "out of the box".
@Scplayer, dass du die Tailscale-IPs untereinander nicht pingen kannst (Post #28), obwohl tailscale status eine "direct" Verbindung anzeigt (Post #25), ist der entscheidende Hinweis. Das Routing ins Subnetz kann nicht klappen, wenn schon die Basis-Kommunikation im Mesh blockiert ist.
Da die Verbindung "direct" ist (UDP Hole Punching hat geklappt), liegt es meist an zwei Dingen:
- Proxmox Firewall: Hast du im Proxmox-Webinterface auf Ebene "Rechenzentrum" oder beim LXC selbst die Firewall aktiv? Standardmäßig verwirft diese oft ICMP (Ping) und eingehenden Traffic, wenn nicht explizit erlaubt. Deaktiviere sie testweise komplett für den LXC.
- MTU-Probleme: Bei DS-Lite kann die Packet Size (MTU) kritisch sein. Führe bitte im LXC einmal tailscale netcheck aus und poste den Output. Das zeigt uns, ob die MTU korrekt erkannt wird und ob die Relays erreichbar sind.
Moin Allerseits,
OK also trotz DS-Lite Anschluss und das meine Fritzbox nicht per ip4 öffentlich erreichbar ist sollte es dennoch funktionieren. Firewall hab ich auf den Proxmox host nicht aktiviert oder konfiguriert.
In diesen Menü hab ich alles beim voreingestellten belassen dazu der Screenshot hier:
Unter Datacenter ist bei Firewall alles leer.
Dazu will ich aber noch erwähnen das bei nutzung von Tailscale ohne Subnetz router und ich auf jeder maschine den Tailscale Client es funktioniert. Auf mein Handy ist die Tailscale app drauf und ich stelle die verbindung her. Dann kann ich über der Tailscale IP-Adresse die anderen Maschinen wo Tailscale läuft erreichen während mein Handy mit Mobile Daten online sind.
Firewall unter Network beim LXC Container hab ich deaktivert und diesen einmal Neu Gestartet. Leider bleibt es beim gleichen ergebnis.
Einmal die Ausgabe von tailscale netcheck:
Einmal die Ausgabe des Tailscale Pings über denn Subnetz Router per LXC Container:
Kann es auch sein das mein Homeserver einfach aktuell damit überfordert ist, da ich als CPU eine Intel Celeron G6900 drin habe ?.
Es sind zwar 32 GB RAM verbaut aber die Leistung der CPU muss ja auch stimmen.
Dieser ist mir nämlich gerade zweimal kurz hintereinander abgestürzt einmal als ich die Test UbuntuVM herunterfahren wollte und wo ich die gerade wieder einschalten wollte. Hatte jeder VM und LXC Contianer ein CPU Kern zugewiesen.
Hatte dieses Verhalten schon einmal als ich versuchte neben 2 Ubuntu VMs noch ein LXC Container für CheckMK zum laufen zu bringen.
OK also trotz DS-Lite Anschluss und das meine Fritzbox nicht per ip4 öffentlich erreichbar ist sollte es dennoch funktionieren. Firewall hab ich auf den Proxmox host nicht aktiviert oder konfiguriert.
In diesen Menü hab ich alles beim voreingestellten belassen dazu der Screenshot hier:
Unter Datacenter ist bei Firewall alles leer.
Dazu will ich aber noch erwähnen das bei nutzung von Tailscale ohne Subnetz router und ich auf jeder maschine den Tailscale Client es funktioniert. Auf mein Handy ist die Tailscale app drauf und ich stelle die verbindung her. Dann kann ich über der Tailscale IP-Adresse die anderen Maschinen wo Tailscale läuft erreichen während mein Handy mit Mobile Daten online sind.
Firewall unter Network beim LXC Container hab ich deaktivert und diesen einmal Neu Gestartet. Leider bleibt es beim gleichen ergebnis.
Einmal die Ausgabe von tailscale netcheck:
Code:
root@TSSubnetRouter:~# tailscale netcheck
2025/11/26 14:34:20 portmap: monitor: gateway and self IP changed: gw=192.168.178.1 self=192.168.178.37
2025/11/26 14:34:20 portmap: [v1] UPnP reply {Location:http://192.168.178.1:49000/igddesc.xml Server:FRITZ!Box 6660 Cable UPnP/1.0 AVM FRITZ!Box 6660 Cable 252.08.03 USN:uuid:75802409-bccb-40e7-8e6c-D424DDAB2A13::urn:schemas-upnp-org:device:InternetGatewayDevice:1}, "HTTP/1.1 200 OK\r\nCache-Control: max-age=1800\r\nLocation: http://192.168.178.1:49000/igddesc.xml\r\nServer: FRITZ!Box 6660 Cable UPnP/1.0 AVM FRITZ!Box 6660 Cable 252.08.03\r\nExt: \r\nST: urn:schemas-upnp-org:device:InternetGatewayDevice:1\r\nUSN: uuid:75802409-bccb-40e7-8e6c-D424DDAB2A13::urn:schemas-upnp-org:device:InternetGatewayDevice:1\r\n\r\n"
2025/11/26 14:34:20 portmap: [v1] UPnP reply {Location:http://192.168.178.1:49000/igd2desc.xml Server:FRITZ!Box 6660 Cable UPnP/1.0 AVM FRITZ!Box 6660 Cable 252.08.03 USN:uuid:75802409-bccb-40e7-9f6c-D424DDAB2A13::urn:schemas-upnp-org:device:InternetGatewayDevice:2}, "HTTP/1.1 200 OK\r\nCache-Control: max-age=1800\r\nLocation: http://192.168.178.1:49000/igd2desc.xml\r\nServer: FRITZ!Box 6660 Cable UPnP/1.0 AVM FRITZ!Box 6660 Cable 252.08.03\r\nExt: \r\nST: urn:schemas-upnp-org:device:InternetGatewayDevice:2\r\nUSN: uuid:75802409-bccb-40e7-9f6c-D424DDAB2A13::urn:schemas-upnp-org:device:InternetGatewayDevice:2\r\n\r\n"
2025/11/26 14:34:20 portmap: [v1] UPnP reply {Location:http://192.168.178.1:49000/igddesc.xml Server:FRITZ!Box 6660 Cable UPnP/1.0 AVM FRITZ!Box 6660 Cable 252.08.03 USN:uuid:75802409-bccb-40e7-8e6c-D424DDAB2A13::urn:schemas-upnp-org:device:InternetGatewayDevice:1}, "HTTP/1.1 200 OK\r\nCache-Control: max-age=1800\r\nLocation: http://192.168.178.1:49000/igddesc.xml\r\nServer: FRITZ!Box 6660 Cable UPnP/1.0 AVM FRITZ!Box 6660 Cable 252.08.03\r\nExt: \r\nST: urn:schemas-upnp-org:device:InternetGatewayDevice:1\r\nUSN: uuid:75802409-bccb-40e7-8e6c-D424DDAB2A13::urn:schemas-upnp-org:device:InternetGatewayDevice:1\r\n\r\n"
2025/11/26 14:34:20 portmap: [v1] UPnP reply {Location:http://192.168.178.1:49000/igddesc.xml Server:FRITZ!Box 6660 Cable UPnP/1.0 AVM FRITZ!Box 6660 Cable 252.08.03 USN:uuid:75802409-bccb-40e7-8e6c-D424DDAB2A13::urn:schemas-upnp-org:device:InternetGatewayDevice:1}, "HTTP/1.1 200 OK\r\nCache-Control: max-age=1800\r\nLocation: http://192.168.178.1:49000/igddesc.xml\r\nServer: FRITZ!Box 6660 Cable UPnP/1.0 AVM FRITZ!Box 6660 Cable 252.08.03\r\nExt: \r\nST: urn:schemas-upnp-org:device:InternetGatewayDevice:1\r\nUSN: uuid:75802409-bccb-40e7-8e6c-D424DDAB2A13::urn:schemas-upnp-org:device:InternetGatewayDevice:1\r\n\r\n"
2025/11/26 14:34:20 portmap: UPnP meta changed: [{Location:http://192.168.178.1:49000/igd2desc.xml Server:FRITZ!Box 6660 Cable UPnP/1.0 AVM FRITZ!Box 6660 Cable 252.08.03 USN:uuid:75802409-bccb-40e7-9f6c-D424DDAB2A13::urn:schemas-upnp-org:device:InternetGatewayDevice:2} {Location:http://192.168.178.1:49000/igddesc.xml Server:FRITZ!Box 6660 Cable UPnP/1.0 AVM FRITZ!Box 6660 Cable 252.08.03 USN:uuid:75802409-bccb-40e7-8e6c-D424DDAB2A13::urn:schemas-upnp-org:device:InternetGatewayDevice:1}]
Report:
* Time: 2025-11-26T14:34:20.351887298Z
* UDP: true
* IPv4: yes, 2.210.214.66:53596
* IPv6: no, but OS has support
* MappingVariesByDestIP: false
* PortMapping: UPnP
* Nearest DERP: Nuremberg
* DERP latency:
- nue: 30.7ms (Nuremberg)
- fra: 33.1ms (Frankfurt)
- par: 36.3ms (Paris)
- lhr: 39.2ms (London)
- ams: 44ms (Amsterdam)
- waw: 52.1ms (Warsaw)
- hel: 55ms (Helsinki)
- mad: 56.8ms (Madrid)
- nyc: 110.3ms (New York City)
- iad: 113.1ms (Ashburn)
- tor: 124.1ms (Toronto)
- ord: 129.5ms (Chicago)
- mia: 139.4ms (Miami)
- dfw: 146.2ms (Dallas)
- dbi: 156.2ms (Dubai)
- den: 161.3ms (Denver)
- blr: 167.2ms (Bangalore)
- sfo: 178.2ms (San Francisco)
- lax: 180.1ms (Los Angeles)
- nai: 182.6ms (Nairobi)
- sea: 188.2ms (Seattle)
- jnb: 195.5ms (Johannesburg)
- hnl: 236.1ms (Honolulu)
- sin: (Singapore)
- syd: (Sydney)
- tok: (Tokyo)
- sao: (São Paulo)
- hkg: (Hong Kong)Einmal die Ausgabe des Tailscale Pings über denn Subnetz Router per LXC Container:
Code:
root@TSSubnetRouter:~# tailscale ping 100.87.91.116
pong from handy-jan (100.87.91.116) via DERP(nue) in 126ms
pong from handy-jan (100.87.91.116) via DERP(nue) in 101ms
pong from handy-jan (100.87.91.116) via DERP(nue) in 87ms
^C
root@TSSubnetRouter:~# tailscale ping 100.80.61.123
pong from laptop-jan (100.80.61.123) via 192.168.178.23:41641 in 3ms
root@TSSubnetRouter:~# tailscale ping 100.105.54.21
ping "100.105.54.21" timed out
ping "100.105.54.21" timed out
^C
root@TSSubnetRouter:~#Kann es auch sein das mein Homeserver einfach aktuell damit überfordert ist, da ich als CPU eine Intel Celeron G6900 drin habe ?.
Es sind zwar 32 GB RAM verbaut aber die Leistung der CPU muss ja auch stimmen.
Dieser ist mir nämlich gerade zweimal kurz hintereinander abgestürzt einmal als ich die Test UbuntuVM herunterfahren wollte und wo ich die gerade wieder einschalten wollte. Hatte jeder VM und LXC Contianer ein CPU Kern zugewiesen.
Hatte dieses Verhalten schon einmal als ich versuchte neben 2 Ubuntu VMs noch ein LXC Container für CheckMK zum laufen zu bringen.
Ich persönlich bin weiterhin der Meinung, dass in deinem Setup ein Fehler in der Konfiguration vorliegt und es sich dabei nicht um ein Proxmox-Problem handelt. Meine Empfehlung wäre, die FritzBox auszutauschen und stattdessen eine professionelle Firewall wie pfSense oder OPNsense zentral einzusetzen. Dort kannst du dann auch die VPN-Verbindung zu Tailscale einrichten. So kannst du mit deinem mobilen Tailscale-Client auf dein gesamtes Netzwerk zugreifen und über die Firewall den Zugriff auf einzelne Hosts gezielt beschränken. Dieses Vorgehen verwende ich selbst erfolgreich.
Last edited: