Zweites tun Interface im Proxmox Host

J

jawr

Member
Dec 10, 2020
47
3
13
45
NRW
Hallo,

ich habe mir nach dieser Anleitung

https://pve.proxmox.com/wiki/OpenVPN_in_LXC

einen OpenVPN Server eingerichtet, dabei wird das tun interface des Host genutzt. Jetzt würde ich gerne einen zweiten Container einrichten, der sich selbst zu einem VPN Anbieter verbindet und für andere Clients in meinem Netz als Gateway dient, so dass bestimmte Clients immer über eine VPN Verbindung gehen.

Wie kann ich ein weiteres tun interface im Proxmox-Host anlegen und wie muss die Container Konfiguration aussehen, damit der neue Container nicht das gleiche tun interface nimmt wie der o.g. OpenVPN Server?

Danke und Gruß,

jawr
 
jawr said:
einen OpenVPN Server eingerichtet, dabei wird das tun interface des Host genutzt. Jetzt würde ich gerne einen zweiten Container einrichten, der sich selbst zu einem VPN Anbieter verbindet und für andere Clients in meinem Netz als Gateway dient, so dass bestimmte Clients immer über eine VPN Verbindung gehen.
Click to expand...
Diese ganze Thematik lässt sich viel leichter am Host abbilden. Dort wird bereits routing betrieben und die Firewall verwendet. Zusätzlich baust du damit einen weiteren Layer an Komplexität, der im Fehlerfall bedacht werden muss.

jawr said:
Wie kann ich ein weiteres tun interface im Proxmox-Host anlegen und wie muss die Container Konfiguration aussehen, damit der neue Container nicht das gleiche tun interface nimmt wie der o.g. OpenVPN Server?
Click to expand...
The issue might be the permission of the tun device. Stéphane Graber uses an empty network stack, but that is a rather hacked solution. As said above, better do this on the host directly or run a VM (better encapsulation).
https://stgraber.org/2014/09/26/vpn-in-containers/
 
Code: 
Diese ganze Thematik lässt sich viel leichter am Host abbilden. Dort wird bereits routing betrieben und die Firewall verwendet. Zusätzlich baust du damit einen weiteren Layer an Komplexität, der im Fehlerfall bedacht werden muss.

Was meinst du mit diese Thematik? Nur den beschriebenen Gateway oder auch den Server? Wenn ja, verstehe ich nicht warum es eine Anleitung dazu gibt, wie man den Server im Container einrichtet.

Ich würde ehrlich gesagt ungern am Host "rumfummeln", weil ich selber noch nicht genau weiß wie das mit dem Gateway umzusetzen ist, da "spiele" ich lieber in einem Container rum.

Gibt es keine Möglichkeit einfach ein zweites tun interface auf dem Host zu erzeugen und dieses dann im Container für den Gateway zu nutzen? Und das Problem mit den Berechtigungen ist doch in der o.g. Anleitung auch aufgezeugt, also wie man die richtigen Permissions setzt für das tun Interface.

Gruß,

jawr
 
Last edited:
jawr said:
Was meinst du mit diese Thematik? Nur den beschriebenen Gateway oder auch den Server? Wenn ja, verstehe ich nicht warum es eine Anleitung dazu gibt, wie man den Server im Container einrichtet.
Click to expand...
Warum sich das User wünschen ist mir auch ein Rätsel. Aber es ist machbar und @oguz hat eine Anleitung dafür geschrieben.

jawr said:
Ich würde ehrlich gesagt ungern am Host "rumfummeln", weil ich selber noch nicht genau weiß wie das mit dem Gateway umzusetzen ist, da "spiele" ich lieber in einem Container rum.
Click to expand...
In meinen Augen macht das nicht viel unterschied, CT vs Host. In beiden Fällen muss der Host Kernel arbeiten. Und ob das Interface direkt oder im CT ist, macht für das Routing nicht viel her. Man spart sich die ganze Komplexität, die ohnehin schon hoch ist.

jawr said:
Gibt es keine Möglichkeit einfach ein zweites tun interface auf dem Host zu erzeugen und dieses dann im Container für den Gateway zu nutzen? Und das Problem mit den Berechtigungen ist doch in der o.g. Anleitung auch aufgezeugt, also wie man die richtigen Permissions setzt für das tun Interface.
Click to expand...
Wie gesagt /dev/net/tun wird gebraucht und da könnte es zu Problemen kommen. Aber einfach mal ausprobieren.
 
Ok, verstehe was du meinst. Aber selbst wenn ich es auf dem Host machen würde, also den Server und den Gateway würde ich doch 2 tun interfaces benötigen, oder verstehe ich hier was falsch.

Der Server braucht doch ein tun interface und das Gateway auch, oder greifen die beide auf dasselbe interface /dev/net/tun zu?

Gruß,

jawr
 
jawr said:
Ok, verstehe was du meinst. Aber selbst wenn ich es auf dem Host machen würde, also den Server und den Gateway würde ich doch 2 tun interfaces benötigen, oder verstehe ich hier was falsch.

Der Server braucht doch ein tun interface und das Gateway auch, oder greifen die beide auf dasselbe interface /dev/net/tun zu?
Click to expand...
Es werden mehrere TUN devices (zB. tun0, tun1, ...) erstellt. Openvpn macht das automatisch. Du kannst das ganze Setup einfach in einer VM ausprobieren, Proxmox VE läuft auch Nested. ;)
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back