Tor Service Fehler im Debian LXC Container

P

patrickw89

Member
Mar 16, 2021
14
0
6
Germany
Hallo zusammen,

ich habe mir ein Proxmox 6.3.2 System installiert, auf dem einige Virtuelle Systeme und LXC Container auf Debian (hier 10.7-1) laufen.
Bei einem der Container läuft ein Proxy System welches auf einen Tor Service verweist. Komischerweise funktioniert dieser jedoch nicht.

Der Dienst als solcher wird als lauffähig angezeigt, funktioniert als solcher aber nicht.
Code: 
* tor.service - Anonymizing overlay network for TCP (multi-instance-master)
   Loaded: loaded (/lib/systemd/system/tor.service; enabled; vendor preset: enabled)
   Active: active (exited) since Wed 2021-03-17 14:28:58 UTC; 11min ago
  Process: 453 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 453 (code=exited, status=0/SUCCESS)

Wenn ich im Journal schaue sehe ich den Fehler "Failed to start Anonymizing overlay network for TCP."
Code: 
-- The job identifier is 594 and the job result is done.
Mar 17 14:28:59 lxc-proxy systemd[1]: tor@default.service: Start request repeated too quickly.
Mar 17 14:28:59 lxc-proxy systemd[1]: tor@default.service: Failed with result 'exit-code'.
-- Subject: Unit failed
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- The unit tor@default.service has entered the 'failed' state with result 'exit-code'.
Mar 17 14:28:59 lxc-proxy systemd[1]: Failed to start Anonymizing overlay network for TCP.
-- Subject: A start job for unit tor@default.service has failed
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- A start job for unit tor@default.service has finished with a failure.
--
-- The job identifier is 594 and the job result is failed.

Ich habe jetzt mehrer Ansätze die ich bei Google gefunden habe versucht, dies brachte aber keinen Erfolg.
Hat jemand noch einen Ansatz was ich hier falsch mache?

Gruß
 
Vermutlich ein unprivilegierter Container oder?
Vor ein paar Wochen hatte ein Proxmox Update viele LXCs gestört. Glaube TOR, OpenVPN und Docker waren auch dabei.
Workaround war glaube ich IPv4 Forwarding auf dem Proxmox Host zu aktivieren.
 
Hallo,
nein tatsächlich ist es ein privilegierter Container. Aber das sind genau die zwei Dienste mit denen ich Probleme hab..
Den Workaround verstehe ich jetzt nicht ganze, was ist mit "IPv4 Forwarding auf dem Proxmox " gemeint?
Zur Info: Die Firewall des Netzwerkports für den Container ist deaktiviert
 
patrickw89 said:
Hallo,
nein tatsächlich ist es ein privilegierter Container. Aber das sind genau die zwei Dienste mit denen ich Probleme hab..
Den Workaround verstehe ich jetzt nicht ganze, was ist mit "IPv4 Forwarding auf dem Proxmox " gemeint?
Zur Info: Die Firewall des Netzwerkports für den Container ist deaktiviert
Click to expand...
Weil Docker, TOR und OpenVPN ja routen können müssen. Routen darf dein Proxmox aber nur wenn du "net.ipv4.ip_forward = 1" gesetzt hast. Und mit den letzten Updates können LXCs wohl nur noch routen, wenn das auch auf dem Host erlaubt ist, da sich ja Host und LXC den Kernel und die Hardware teilen. Irgendwie so. Früher reichte das wohl, wenn man nur im LXC net.ipv4.ip_forward = 1 gesetzt hat. Jetzt braucht man das wohl im LXC und auf dem Host.
 
Last edited:
Guten Morgen,
die Erklärung leuchtet mir ein, ich vermute auch das es mit den virtuellen Adaptern zusammen hängt, die der Container nicht erstellen darf / kann auf dem Host.
Heute Morgen kam ich jetzt endlich dazu das ganze zu testen und hab „sysctl -w net.ipv4.ip_forward=1“ auf Host und Container gesetzt, aber auch nach reboot bleibt der Fehler gleich. Im Journal steht immer noch „Failed to start Anonymizing overlay network for TCP.“
Hat noch jemand einen Ansatz?
 
Also ich hab jetzt nochmal mehrfach alles mögliche probiert was ich bei Google gefunden habe, aber der Fehler bleibt immer gleich.
In einer regulären VM (kein Container) klappt alles. Ich steh aktuell echt auf dem Schlauch was ich falsch mache. Hat den jemand eine Anleitung wie man Tor als Service auf einem LXC Container zum laufen bringen kann?
 
Ich lese da was von overlay network, kann es sein das du wie bei docker:
Code: 
features: keyctl=1,nesting=1
unprivileged: 1
lxc.apparmor.raw: mount,

-> lxc.apparmor.raw: mount,
in der container config brauchst?
 
Guten Morgen,

Danke der Punkt mit:
lxc.apparmor.raw: mount,
war es, damit ist mein Problem gelöst, und auch der openVPN Service funktioniert nun.
Da ich gern Sachen Verstehe: Kannst du mir erläutern was die Option bewirkt?
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom