Tailscale als Subnetz Router

[Scplayer]

Moin Allerseits,

Ich würde gerne auf mein Proxmox Host mein LXC Contianer worin Tailscale läuft als Subnetz Router einrichten und fragen ob das überhaupt möglich ist ?.

Denn eigentlich hatte ich das schon probiert aber dennoch war über der Heimnetz IP-Adresse kein Zugriff möglich.

Mein Proxmox VE Host läuft auf der 8er Version.
Als DHCP und DNS Server dient meine Fritzbox.
Der LXC Container basiert auf ein Debian 12 Image.

Das ip4 forwarding hatte ich im LXC Container und im Proxmox Host aktivert.

LG Jan

 

[Johannes S]

Doch das geht, nutze ich selbst ( aber mit headscale als selbstgehosteten Server, damit ich die Daten nur über meine Infrastruktur laufen):

https://tailscale.com/kb/1130/lxc-unprivileged

Ansonsten kann man auch eine schlanke vm einrichten ( Debian oder Alpine, eine vcpu maximal 512 MB RAM ) einrichten, damit geht es auf jeden Fall

 

[bluesite]

ich hab das auch am Laufen (inkl Headscale) in nem LXC bzw beim Kunden auf nem PiZero 2W
auf dem muss man dann noch folgendes machen

tailscale set --advertise-routes 192.168.178.0/24  (falls das dein Subnetz ist)

auf dem Client der z.B. extern (nutze ich von der Arbeit aus) ist dann noch folgendes

tailscale set --accept-routes=true

 

[Scplayer]

Moin Allerseits,

Genau das ist mein Subnetz und hatte diesen Befehl auch ausgeführt.

tailscale set --advertise-routes 192.168.178.0/24

Der Client mit den ich den Zugriff testete war immer mein Handy wo ich mich über der Tailscale App verbinde und bei dieser ist das ausführen des Befehls nicht notwendig. Laut der Tailscale Doc seite -- Use your subnet routes from other devices :

Bräuchtet Ihr evtl. dazu noch weitere Terminal ausgaben oder Screenshoots um mir evtl. zu helfen was ich übersehe ?:
LG Jan

 

[Johannes S]

In der Anleitung von tailscale, die ich dir schon verlinkt habe (die hier: dev/tun ) steht ja, dass bei einen lxc-Container ein /dev/tun device durchgereicht oder der userspace Modus für tailscale aktiviert werden muss, hast du das schon gemacht? Und ob es in einer vm funktioniert, würde mich auch interessieren.

 

[Scplayer]

Moin Allerseits,

So ich habe denn LXC Container auf Debian 12 Image Basis nochmal gelöscht und Neu eingerichtet. Aber weiterhin funktioniert kein Zugriff auf mein Heimnetzwerk wo auch der TS Subnet Router drin ist und folgendes hab ich gemacht.

Bezüglich des /dev/tun device devices das folgende in der etc/pve/lxc/102.conf datei per nano Befehl auf den Proxmox Host hinzugefügt:
lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net/tun dev/net/tun none bind,create=file

Danach diese Befehle ausgeführt:
systemctl enable --now tailscaled
tailscale up

Login in der Admin Console per Github Acc. erfolgte auch problemlos mit der im Terminal angezeigten URL durch den tailscale up Befehl.

IP forwarding hab ich über diese Befehle ebenfalls aktiviert:
echo 'net.ipv4.ip_forward = 1' | tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | tee -a /etc/sysctl.d/99-tailscale.conf
sysctl -p /etc/sysctl.d/99-tailscale.conf

Das firewalld Paket wurde zwar durch Tailscale mit installiert wenn ich den in der Tailscale anleitung gezeigten Befehl ausführe erhalte ich folgende Ausgabe:
root@TSSubnetRouter:~# firewall-cmd --permanent --add-masquerade
-bash: firewall-cmd: command not found
root@TSSubnetRouter:~# ufw --permanent --add-masquerade
-bash: ufw: command not found
root@TSSubnetRouter:~# firewall --permanent --add-masquerade
-bash: firewall: command not found
root@TSSubnetRouter:~# firewalld-cmd --permanent --add-masquerade
-bash: firewalld-cmd: command not found
root@TSSubnetRouter:~# firewalld --permanent --add-masquerade
-bash: firewalld: command not found

Den Container hab ich auch als Subnet Router aktiviert mit mein Subnetz mit diesen tailscale set --advertise-routes=192.168.178.0/24 Befehl und dies in der Admin Console approved.

Danke schon mal für eure Antworten und HIlfe.

Habt Ihr eine Idee was noch Fehlt ?.

LG Jan

 

[Johannes S]

Wenn die Befehle nicht funktionieren, hast du firewalld eben nicht installiert. Abgesehen davon brauchst du den auch nicht, das ist ein Frontend (ufw ist ein anderes) für den im Linux-Kernel eingebauten Paketfilter. Solange du nichts dafür installierst, wird der bei Debian auch standardmäßig nicht aktiviert.

An und für sich sollte nun alles funktionieren, wenn der Router in der Konsole auftaucht. Zur Sicherheit würde ich noch mal das ganze in einen neuen Container versuchen und danach dann versuchen von einen anderen Host mit tailscale den Router anzupingen (sowohl die Tailscale 100. als auch die Subnetz-Adresse). Gegenprobe mit VM hast du gemacht?

 

[bluesite]

was sagt den tailscale status?
kannst du die tailscale ip anpingen vom Handy aus?

 

[micneu]

Frage, warum willst du Tailscale als VM/LXC laufen lassen, installiere es doch auf deine Firewall, ich habe es bei mir mit auf der pfSense laufen.

 

[Johannes S]

Frage, warum willst du Tailscale als VM/LXC laufen lassen, installiere es doch auf deine Firewall, ich habe es bei mir mit auf der pfSense laufen.

Das kann schon sinnvoll sein, um eine bestimmte vm oder lxc unabhängig vom Router zu erreichen. Und ich habe nur eine Fritzbox, die tailscale gar nicht und wireguard nur sehr schlecht unterstützt