Tailscale als Subnetz Router

S

Scplayer

New Member
Aug 25, 2024
22
2
3
Moin Allerseits,

Ich würde gerne auf mein Proxmox Host mein LXC Contianer worin Tailscale läuft als Subnetz Router einrichten und fragen ob das überhaupt möglich ist ?.

Denn eigentlich hatte ich das schon probiert aber dennoch war über der Heimnetz IP-Adresse kein Zugriff möglich.

Mein Proxmox VE Host läuft auf der 8er Version.
Als DHCP und DNS Server dient meine Fritzbox.
Der LXC Container basiert auf ein Debian 12 Image.

Das ip4 forwarding hatte ich im LXC Container und im Proxmox Host aktivert.

LG Jan
 
ich hab das auch am Laufen (inkl Headscale) in nem LXC bzw beim Kunden auf nem PiZero 2W
auf dem muss man dann noch folgendes machen
Code: 
tailscale set --advertise-routes 192.168.178.0/24  (falls das dein Subnetz ist)

auf dem Client der z.B. extern (nutze ich von der Arbeit aus) ist dann noch folgendes
Code: 
tailscale set --accept-routes=true
 
Moin Allerseits,

Genau das ist mein Subnetz und hatte diesen Befehl auch ausgeführt.
Code: 
tailscale set --advertise-routes 192.168.178.0/24

Der Client mit den ich den Zugriff testete war immer mein Handy wo ich mich über der Tailscale App verbinde und bei dieser ist das ausführen des Befehls nicht notwendig. Laut der Tailscale Doc seite -- Use your subnet routes from other devices :

Bräuchtet Ihr evtl. dazu noch weitere Terminal ausgaben oder Screenshoots um mir evtl. zu helfen was ich übersehe ?:
LG Jan
 
In der Anleitung von tailscale, die ich dir schon verlinkt habe (die hier: dev/tun ) steht ja, dass bei einen lxc-Container ein /dev/tun device durchgereicht oder der userspace Modus für tailscale aktiviert werden muss, hast du das schon gemacht? Und ob es in einer vm funktioniert, würde mich auch interessieren.
 
Moin Allerseits,

So ich habe denn LXC Container auf Debian 12 Image Basis nochmal gelöscht und Neu eingerichtet. Aber weiterhin funktioniert kein Zugriff auf mein Heimnetzwerk wo auch der TS Subnet Router drin ist und folgendes hab ich gemacht.

Bezüglich des /dev/tun device devices das folgende in der etc/pve/lxc/102.conf datei per nano Befehl auf den Proxmox Host hinzugefügt:
lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net/tun dev/net/tun none bind,create=file

Danach diese Befehle ausgeführt:
systemctl enable --now tailscaled
tailscale up

Login in der Admin Console per Github Acc. erfolgte auch problemlos mit der im Terminal angezeigten URL durch den tailscale up Befehl.

IP forwarding hab ich über diese Befehle ebenfalls aktiviert:
echo 'net.ipv4.ip_forward = 1' | tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | tee -a /etc/sysctl.d/99-tailscale.conf
sysctl -p /etc/sysctl.d/99-tailscale.conf

Das firewalld Paket wurde zwar durch Tailscale mit installiert wenn ich den in der Tailscale anleitung gezeigten Befehl ausführe erhalte ich folgende Ausgabe:
root@TSSubnetRouter:~# firewall-cmd --permanent --add-masquerade
-bash: firewall-cmd: command not found
root@TSSubnetRouter:~# ufw --permanent --add-masquerade
-bash: ufw: command not found
root@TSSubnetRouter:~# firewall --permanent --add-masquerade
-bash: firewall: command not found
root@TSSubnetRouter:~# firewalld-cmd --permanent --add-masquerade
-bash: firewalld-cmd: command not found
root@TSSubnetRouter:~# firewalld --permanent --add-masquerade
-bash: firewalld: command not found

Den Container hab ich auch als Subnet Router aktiviert mit mein Subnetz mit diesen tailscale set --advertise-routes=192.168.178.0/24 Befehl und dies in der Admin Console approved.

Danke schon mal für eure Antworten und HIlfe.

Habt Ihr eine Idee was noch Fehlt ?.

LG Jan
 
Wenn die Befehle nicht funktionieren, hast du firewalld eben nicht installiert. Abgesehen davon brauchst du den auch nicht, das ist ein Frontend (ufw ist ein anderes) für den im Linux-Kernel eingebauten Paketfilter. Solange du nichts dafür installierst, wird der bei Debian auch standardmäßig nicht aktiviert.

An und für sich sollte nun alles funktionieren, wenn der Router in der Konsole auftaucht. Zur Sicherheit würde ich noch mal das ganze in einen neuen Container versuchen und danach dann versuchen von einen anderen Host mit tailscale den Router anzupingen (sowohl die Tailscale 100. als auch die Subnetz-Adresse). Gegenprobe mit VM hast du gemacht?
 
was sagt den tailscale status?
kannst du die tailscale ip anpingen vom Handy aus?
 
Frage, warum willst du Tailscale als VM/LXC laufen lassen, installiere es doch auf deine Firewall, ich habe es bei mir mit auf der pfSense laufen.
 
micneu said:
Frage, warum willst du Tailscale als VM/LXC laufen lassen, installiere es doch auf deine Firewall, ich habe es bei mir mit auf der pfSense laufen.
Click to expand...
Das kann schon sinnvoll sein, um eine bestimmte vm oder lxc unabhängig vom Router zu erreichen. Und ich habe nur eine Fritzbox, die tailscale gar nicht und wireguard nur sehr schlecht unterstützt
 
Moin Allerseits,

So einmal meine Antworten auf eure Fragen / Anmerkungen.


bluesite said:
was sagt den tailscale status?
kannst du die tailscale ip anpingen vom Handy aus?
Click to expand...
Das sagt der Status von Tailscale auf den Subnetz Router.
Code: 
root@TSSubnetRouter:~# systemctl status tailscaled
* tailscaled.service - Tailscale node agent
     Loaded: loaded (/lib/systemd/system/tailscaled.service; enabled; preset: enabled)
     Active: active (running) since Tue 2025-11-04 19:39:08 UTC; 4 days ago
       Docs: https://tailscale.com/kb/
   Main PID: 760 (tailscaled)
     Status: "Connected; MrSc2player@github; 100.89.187.18 fd7a:115c:a1e0::5b36:bb12"
      Tasks: 8 (limit: 38160)
     Memory: 38.1M
        CPU: 4min 41.845s
     CGroup: /system.slice/tailscaled.service
             `-760 /usr/sbin/tailscaled --state=/var/lib/tailscale/tailscaled.state --socket=/run/tailscale/tailscaled.sock --port=41641

Nov 09 04:17:51 TSSubnetRouter tailscaled[760]: logtail: upload succeeded after 2 failures and 30s
Nov 09 09:32:43 TSSubnetRouter tailscaled[760]: trample: resolv.conf changed from what we expected. did some other program interfere? current contents: ">
Nov 09 09:32:43 TSSubnetRouter tailscaled[760]: health(warnable=resolv-conf-overwritten): error: System DNS config not ideal. /etc/resolv.conf overwritte>
Nov 09 16:14:26 TSSubnetRouter tailscaled[760]: wgengine: Reconfig: [fIoyc] changed from "discokey:67b5bf55777b7c6a899acc2881ffe097faf30215410fca066b5e7e>
Nov 09 18:14:02 TSSubnetRouter tailscaled[760]: wgengine: Reconfig: [/j7ln] changed from "discokey:b6487dbdaa54e00c63ccb1dd90c2ff4329e70c0c855182d18e032e>
Nov 09 18:14:48 TSSubnetRouter tailscaled[760]: wgengine: idle peer [/j7ln] now active, reconfiguring WireGuard
Nov 09 18:14:48 TSSubnetRouter tailscaled[760]: wgengine: Reconfig: configuring userspace WireGuard config (with 1/2 peers)
Nov 09 18:14:48 TSSubnetRouter tailscaled[760]: magicsock: endpoints changed: 2.210.214.66:63935 (stun), 192.168.178.37:41641 (local)
Nov 09 18:14:48 TSSubnetRouter tailscaled[760]: control: NetInfo: NetInfo{varies=false hairpin= ipv6=false ipv6os=true udp=true icmpv4=false derp=#26 por>
Nov 09 18:15:11 TSSubnetRouter tailscaled[760]: control: NetInfo: NetInfo{varies=false hairpin= ipv6=false ipv6os=true udp=true icmpv4=false derp=#26 por>
lines 1-22/22 (END)

Anpingen kann ich die Tailsclae IP von mein Handy und dabei war ich mit den Mobilen Daten beim Handy verbunden. Ein pingen der Heimnetzwerkadresse war nicht möglich.

micneu said:
Frage, warum willst du Tailscale als VM/LXC laufen lassen, installiere es doch auf deine Firewall, ich habe es bei mir mit auf der pfSense laufen.
Click to expand...
Da ich keine seperate Firewall am laufen habe besteht diese möglichkeit nicht und Tailscale lässt sich nicht wirklich in der Fritzbox integrieren so wie ich die Doku verstanden habe.

Johannes S said:
Wenn die Befehle nicht funktionieren, hast du firewalld eben nicht installiert. Abgesehen davon brauchst du den auch nicht, das ist ein Frontend (ufw ist ein anderes) für den im Linux-Kernel eingebauten Paketfilter. Solange du nichts dafür installierst, wird der bei Debian auch standardmäßig nicht aktiviert.

An und für sich sollte nun alles funktionieren, wenn der Router in der Konsole auftaucht. Zur Sicherheit würde ich noch mal das ganze in einen neuen Container versuchen und danach dann versuchen von einen anderen Host mit tailscale den Router anzupingen (sowohl die Tailscale 100. als auch die Subnetz-Adresse). Gegenprobe mit VM hast du gemacht?
Click to expand...
So ich hab eine Ubuntu VM eingerichtet und diese als Subnetz Router aktiviert aber weiterhin kann ich vom Hnady aus mit mobile Daten nicht auf den Sachen über der Heimnetzadresse zugreifen. Ein pingen der Tailscale IP Adresse klappt hingegen nach wie vor. Den Router kann ich nur mit der Heimnetzwerk Adresse anpingen denn eine Tailscale Adresse hat dieser nicht. Der Router ist eine Fritzbox 6660 Cable.
 
Ich persönlich sehe hier kein Proxmox Problem. Keine Ahnung wie erfahren du bist aber nach meiner Meinung ist es ein konfigurations Problem mit Tailscale und das hat mit Proxmox nichts zu tun. Frag doch mal im Tailscale Forum nach
 
  • Like
Reactions: Johannes S
okay erstelle dir mal unter /etc/sysctl.d folgende Datei "99-tailscale.conf" falls die nicht schon vorhanden ist mit dem Inhalt:
Code: 
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

und dann "sysctl -p" ausführen und schauen ob es dann geht

Du hattest zwar geschrieben: "
Das ip4 forwarding hatte ich im LXC Container und im Proxmox Host aktivert. "

Aber vielleicht war das ja nicht dauerhaft aktiviert
 
Last edited:
  • Like
Reactions: Johannes S
You must log in or register to reply here.
Top Bottom