openVPN und LXC

etron770

Well-Known Member
Feb 14, 2018
51
3
48
59
Hallo zusammen, ich habe irgendwie einen Wurm drin
Status:
Proxmox auf Debian Stretch verschiedene LXC Container mit externer IP laufen.
OpenVPN läuft, ich kann mich verbinden und die OpenVPN Ip 192.168.2.1 von außen anpingen

wie verbinde ich den LXC Container mit der IP 192.168.2.zzz mit tun0 ?

Konfiguration root /etc/netwrok/interfaces: siehe unten.

Code:
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 192.168.2.1/24 brd 192.168.2.255 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::2ed7:c4eb:6d45:5f6b/64 scope link stable-privacy
       valid_lft forever preferred_lft forever


/etc/network/interfaces:
Code:
auto lo
iface lo inet loopback
iface lo inet6 loopback

auto enp4s0
iface enp4s0 inet static
  address xxx.yyy.zzz.15
  netmask 255.255.255.224
  gateway xxx.yyy.zzz.1
  pointopoint xxx.yyy.zzz.1

iface enp4s0 inet6 static
  address xxxx:yyy:zzz::2
  netmask 64
  gateway fe80::1
  up sysctl -p

auto vmbr0
iface vmbr0 inet static
  address xxx.yyy.zzz.15
  netmask 255.255.255.255
  bridge_ports none
  bridge_stp off
  bridge_fd 0
  up ip route add xxx.yyy.zzz.26/32 dev vmbr0
  up ip route add xxx.yyy.zzz.25/32 dev vmbr0
  up ip route add xxx.yyy.zzz.9/32 dev vmbr0
 
Last edited:
Leider sehr wirr was du schreibst (OpenVZ? Container mit tun verbinden?) ... kannst du mal ein Bild malen was du genau willst bzw. vor hast?

Generell musst du natürlich eine Netzroute für das OpenVPN-Netz in deinen Router eintragen, an den die Pakete der LX(C) container geschickt werden (oder halt in jeden Container selbst, aber das ist schon viel arbeit).
 
Leider sehr wirr was du schreibst
ja das triffts - ich habe irgendwie den Durchblick verloren ...

Ich habe die obige Konfiguration mit den LXC Containern jeder mit eigener Ip, die läuft.

Dann habe ich einen LXC Container der nur über VPN zugänglich sein soll.
Und den VPN Server (tun0) der von außen und vom Host anzupingen ist.
Ich komme aber weder vom Server noch von außen auf den Container (außer mit pct enter) und nicht vom Container nach aussen
Und da wird es in der Tat wirr ... vor allem im Kopf :(
 
Last edited:
Da ich immer noch nicht verstanden habe was du willst und auch kein Bildchen bekommen habe, kann ich dazu nicht viel sagen.

Ich selbst verwende OpenVPN mehrfach in PVE (also auf verschiedenen Systemen) und habe mir so ein Pve2Pve System aufgebaut, bei dem ich manuell das Zeugs repliziere und ich komme durch normales Routing überall hin. Ja, in LXC muss man entsprechende Schritte machen, damit dein tun0 im Container funktioniert, aber das ist eigentlich mit diesen beiden Zeilen erledigt:

Code:
lxc.cgroup.devices.allow: c 10:200 rwm
lxc.hook.autodev: sh -c "modprobe tun; cd ${LXC_ROOTFS_MOUNT}/dev; mkdir net; mknod net/tun c 10 200; chmod 0666 net/tun"

Damit funktioniert das prima z.B. in einem Alpine Linux Container, der auf meinem ZFS 14,4 MB belegt und da ist noch ein Webserver inbegriffen :-D
 
Du wolltest wirklich ein Bild, Sorry - Server und Bridge und VM1 bis VMx funktionieren, Den OpenVPN Server kann ich auch anpingen, nur wie ich die VM einbinde finde ich nicht. Sprich geht das über die Proxmox Oberfläche oder nur über Konsole?

VPN.jpg
 
Code:
lxc.cgroup.devices.allow: c 10:200 rwm
lxc.hook.autodev: sh -c "modprobe tun; cd ${LXC_ROOTFS_MOUNT}/dev; mkdir net; mknod net/tun c 10 200; chmod 0666 net/tun"
Wo muss ich das eingeben? in die /var/lib/lxc/[ContainerID]/config?
Wenn ja wird es beim Start der VM immer wieder herausgelöscht. So weit war ich schon mal.
 
Ich habs so gelöst, dass ich eine eigene Bridge habe mit den VMs die im OpenVPN sind, bzw. rein sollen und die ist nicht im Internet. Durch Port-Forwarding auf dem PVE-Host auf die VM mit OpenVPN kommt ich von außen rein und hab das via NAT Zugriff auf alle anderen VMs in der privaten Bridge.

Wo muss ich das eingeben?

/etc/pve/lxc/<vmid>.cfg
 
Danke der Eintrag in /etc/pve/lxc/<vmid>.cfg war die Lösung
Viele Grüße Knut
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!