Wie Zugriff von LXC (VPN) auf VM only begrenzen ?

[sevi]

Hallo Leute,

ich habe seit paar Wochen Proxmox auf einer Maschiene (N100, 32gb Ram) laufen und bin bestens bespaßt. Leider bin ich auf ein Problem gestoßen welches ich nach Tagen und vielen Googlesuchen nicht in den Griff bekomme.

Problem:

LXC mit Docker -> Container mit WG-Easy um außenstehenden Zugriff auf einen meiner Dienste zu gestatten. Das funktioniert soweit zu gut, alle Dienste wie auch outgoing Traffic ins Netz sind über Wireguard möglich.

Ziel:

Den LXC mit Docker und Wireguard so einstellen damit Wireguard nurnoch auf eine bestimmte interne (zB.: 192.168.0.165) IP Adresse (zur not VM) zugreifen kann um mein Netzwerk und vorhandene Dienste zu schützen.

Was habe ich bereits versucht:

1) IP Tables dex LXC anzupassen. Hat leider nicht funktioniert.
2) Wireguard Config (wg0.conf) anzupassen. Jede Änderung wird nach einem Restart des Dienstes wieder revidiert und funktioniert leider auch nicht wirklich.
3) WireGuard Container über Portainer zu erstellen. Der Gedanke war hier vielleicht im GUI Einschränkungen setzen zu können.

Was könnte eventuell funktionieren:

1) Über Domain erreichbar machen. (Nicht gewünscht, siehe unten)
2) Vlan (Wie?)
3) Proxmox Firewall (Wie?)

Mir ist bewusst, dass ich den Dienst über eine Domain zugänglich machen könnte nur kenne ich mich in IT SEC nicht aus um möchte hier auch nicht immer Wissenstechnisch am Ball sein. Daher die angedachte VPN Lösung ich welcher ich eher unkompliziert Clients verwalten kann.

Leider kenne ich mich mit Netzwerktechnik kaum aus und bitte um Hilfe.

 

[KevinS]

Hi Sevi,

1) IP Tables dex LXC anzupassen. Hat leider nicht funktioniert.
2) Wireguard Config (wg0.conf) anzupassen. Jede Änderung wird nach einem Restart des Dienstes wieder revidiert und funktioniert leider auch nicht wirklich.
3) WireGuard Container über Portainer zu erstellen. Der Gedanke war hier vielleicht im GUI Einschränkungen setzen zu können.

ich halte alle drei Varianten nicht unbedingt zielführend, die Konfiguraiton auf der LXC Ebene bedeutet, dass wenn jemand unbefugten Zugriff auf den LXC erhält, alle Sicherheitsmaßnahmen die du getroffen hast wieder entfernen kann.

2) Vlan (Wie?)
3) Proxmox Firewall (Wie?)

Das sind beides sinnvolle Varianten, wobei die Proxmox Firewall mMn die einfachste wäre.

Es wäre empfehlenswert, dass die Konfiguration notfalls lokal (oder via IPMI) schnell geändert werden kann, sonst sperrst du dich ggf. mal schnell aus.

1. Firewall auf Datacenter, Node und Container Ebene aktivieren.
2. Beim Container unter Firewall -> Add eine neue Regel erstellen. Die Standard Auswahl "Direction: in" und "Action: Accept" muss nicht geändert werden, allerdings musst du das Protocol (Wireguard verwendet UDP) und das Destination Port (auf welchem Port ist dein Wireguard Server erreichbar?) entsprechend anpassen.
3. Danach erstellst du eine Regel mit Direction: out und gibst an ob der Container auf ein bestimmtes Netz und/oder einen bestimmten Port zugreifen darf.
4. Danach erstellst du jeweils eine Regel die alles andere einfach Dropped

 

[2RunX]

Ich versuche es einfach zu halten.
Schonmal versucht client seitig einzuschränken. aka AllowedIPs = 192.168.0.165,192.168.0.was auch immer ?
wg-easy bringt seine eigene konfiguration mit um es Anfänger möglichst einfach zu machen .( iptables / dnat / snat / ip route )
Die Web-Gui hatte meiner Erinnerung nach keine Konfigurations möglichkeiten

 

[sevi]

Herzlichsten Dank euch beiden. Allowed IPS hatte ich tatsächlich bereits proboiert im Docker Compose, leider hat das nichts gebracht. KevinS's Lösungsansatz war genau was ich gesucht habe. Was ich hier mitnehmen kann ist mich mehr mit Neztwerken zu beschäftigen.