10
Internes Netzwerk auf einer VM (Firewall, Wireguard und Docker)
Hey ho ihr Administratoren!
Ich habe mir da so eine Idee in den Kopf gesetzt und bräuchte dabei etwas Hilfe. Und zwar würde ich gerne ein internes Netzwerk auf nur einer VM einrichten.
Grundlage ist ein KvM-Server wo Debian 11 (Bullseye) läuft.
Ich würde es gerne folgendermaßen einrichten:
Es soll bestimmte Anwendungen geben, welche ganz normal von außerhalb erreichbar sind (Mail Server, Webserver etc.)
Dann soll es ein Wireguard-Server geben, welcher in einem Docker Container läuft. Auf diesen soll man sich von außerhalb verbinden können und dann soll mal Zugriff auf alle Anwendungen im internen Netzwerk haben (Netzlaufwerke, Webinterface etc.).
Jetzt brauche ich eine Firewall die mit Docker klar kommt und das alles regeln kann.
Außerdem wäre es mir wichtig, dass der VPN Zugriff mit der MAC-Adresse überprüft wird. Da Wireguard dies nicht (laut meinem Wissensstand) müsste die Firewall das regeln können.
Kann mir da jemand bei meinem Anliegen helfen?
Was eventuell eine kleine Spielerei wäre, wäre ein Webinterface für die Firewall (lege ich aber kein Wert drauf)
Gruß Julian
Ich habe mir da so eine Idee in den Kopf gesetzt und bräuchte dabei etwas Hilfe. Und zwar würde ich gerne ein internes Netzwerk auf nur einer VM einrichten.
Grundlage ist ein KvM-Server wo Debian 11 (Bullseye) läuft.
Ich würde es gerne folgendermaßen einrichten:
Es soll bestimmte Anwendungen geben, welche ganz normal von außerhalb erreichbar sind (Mail Server, Webserver etc.)
Dann soll es ein Wireguard-Server geben, welcher in einem Docker Container läuft. Auf diesen soll man sich von außerhalb verbinden können und dann soll mal Zugriff auf alle Anwendungen im internen Netzwerk haben (Netzlaufwerke, Webinterface etc.).
Jetzt brauche ich eine Firewall die mit Docker klar kommt und das alles regeln kann.
Außerdem wäre es mir wichtig, dass der VPN Zugriff mit der MAC-Adresse überprüft wird. Da Wireguard dies nicht (laut meinem Wissensstand) müsste die Firewall das regeln können.
Kann mir da jemand bei meinem Anliegen helfen?
Was eventuell eine kleine Spielerei wäre, wäre ein Webinterface für die Firewall (lege ich aber kein Wert drauf)
Gruß Julian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4771172625
Url: https://administrator.de/contentid/4771172625
Printed on: May 20, 2024 at 17:05 o'clock
10 Comments
Latest comment
Moin,
der ganze MAC Adress Layer kommt bei deinem Konstrukt nicht zum tragen. Daher kannst du auf der Basis am WG Server nicht authentifizieren.
Ansonsten setz einfach einer Firewall wie PfSense als VM auf, verbinde von extern dort hin und häng deine Container in ein Netz dahinter.
Gruß
Spirit
der ganze MAC Adress Layer kommt bei deinem Konstrukt nicht zum tragen. Daher kannst du auf der Basis am WG Server nicht authentifizieren.
Ansonsten setz einfach einer Firewall wie PfSense als VM auf, verbinde von extern dort hin und häng deine Container in ein Netz dahinter.
Gruß
Spirit
1
Wäre die beste Lösung und dafür brauchts dann nichtmal mehr Gefrickel mit externen VPN Clients. 😉
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Klar macht es mehr Sinn eine extra Firewall zu machen will ich aber in der Konstellation nicht.
Normal würde ich auch einfach OpnSense davor machen und fertig. Will es aber wirklich so machen wie ich es beschrieben haben. Also auf einer VM.
Dies ist ja auch Möglich.
Normal würde ich auch einfach OpnSense davor machen und fertig. Will es aber wirklich so machen wie ich es beschrieben haben. Also auf einer VM.
Dies ist ja auch Möglich.
Normal würde ich auch einfach OpnSense davor machen und fertig.
Das wäre auch das Vernüftigste und technisch Sinnvollste...Also auf einer VM.
Wir reden hier auch von einer VM! Sprich die Firewall rennt ebenso in einer VM auf deinem Host, das ist dir schon klar, oder?!Oder du machst es ganz schlank und lässt sowohl Docker als auch VM gleich weg:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Das erspart dir dann wie auch die Lösung oben, ebenso die Fricklei mit externen VPN Clients.
Ja ist mir klar das die Firewall auf einer VM läuft. Da ich aber nur eine VM nutzen will geht das schlecht.
Kann ja schlecht Debian und pfSense oder OPNSense auf einer VM installieren.
Ich will ein internes Netzwerk auf einer VM wo Debian läuft aufsetzten.
Ich habe auch schon bisschen was eingerichtet. Zurzeit habe ich das Problem das ich WireGuard nicht mit einer IPv6 eingerichtet bekomme.
Nun zum Setup auf der VM. Es läuft ufw als Firewall und ufw blockiert alles außer Port 22 und den WireGuard Port. Zusätzlich läuft ein Docker Container mit WireGuard. Zum Testen habe ich noch einen Portainer Container aufgesetzt, dieser ist von aus nicht erreichbar. UFW habe ich nun so konfiguriert das alle Anfragen aus dem Docker Netzwerk erlaubt werden. Sobald ich mit WireGuard verbunden bin kann ich Portainer öffnen.
So ist mein Plan und geht jetzt auch fast alles bis auf das mit IPv6.
Klar ist mir bewusst das man normal eine richtige Firewall davor hängt und alles dadurch schleift. Habe ich in meiner Konstellation aber nicht. Ist einfach ein KVM Server der gemietet ist.
Bei meinem Haupthost läuft ein Server wo nur OPNSense drauf ist und dahinter erst der Proxmox Host. Habe es halt mit 2 Servern gekapselt. Da ich aber Strom Sparten will und keine 192 GB RAM aus einem Rack Server brauche will ich jetzt auf was ganz kleines abspecken. Daher habe ich mir dies zur Aufgabe gemacht.
Kann ja schlecht Debian und pfSense oder OPNSense auf einer VM installieren.
Ich will ein internes Netzwerk auf einer VM wo Debian läuft aufsetzten.
Ich habe auch schon bisschen was eingerichtet. Zurzeit habe ich das Problem das ich WireGuard nicht mit einer IPv6 eingerichtet bekomme.
Nun zum Setup auf der VM. Es läuft ufw als Firewall und ufw blockiert alles außer Port 22 und den WireGuard Port. Zusätzlich läuft ein Docker Container mit WireGuard. Zum Testen habe ich noch einen Portainer Container aufgesetzt, dieser ist von aus nicht erreichbar. UFW habe ich nun so konfiguriert das alle Anfragen aus dem Docker Netzwerk erlaubt werden. Sobald ich mit WireGuard verbunden bin kann ich Portainer öffnen.
So ist mein Plan und geht jetzt auch fast alles bis auf das mit IPv6.
Klar ist mir bewusst das man normal eine richtige Firewall davor hängt und alles dadurch schleift. Habe ich in meiner Konstellation aber nicht. Ist einfach ein KVM Server der gemietet ist.
Bei meinem Haupthost läuft ein Server wo nur OPNSense drauf ist und dahinter erst der Proxmox Host. Habe es halt mit 2 Servern gekapselt. Da ich aber Strom Sparten will und keine 192 GB RAM aus einem Rack Server brauche will ich jetzt auf was ganz kleines abspecken. Daher habe ich mir dies zur Aufgabe gemacht.
das ich WireGuard nicht mit einer IPv6 eingerichtet bekomme.
Vielleicht hilft es das hiesige Tutorial dazu zu lesen:Merkzettel: VPN Installation mit Wireguard
Viel sinniger wäre es aber ein IKEv2 VPN aufzusetzen, das erspart dir wie schon gesagt dir extra Frickelei und rennt auch fehlerfrei mit IPv6. Gut...WG kann das natürlich auch. Aber ohne deine genaue WG Konfig zu kennen ist Troubleshooting hier dann nur Kristallkugelei...
Habe ich in meiner Konstellation aber nicht. Ist einfach ein KVM Server der gemietet ist.
Da schnell eine VM zu starten ist in 15 Minuten erledigt mit einer CPU und 2Gig RAM und 16Gig Speicher. Wo ist dein wirkliches Problem?
Das Problem dabei ist, dass die VM gemietet ist und schon virtualisieren ist. Daher will ich ungern das nochmal virtualisieren.
Da ich Strom sparen will habe ich mir jetzt einen Server gemietet. Der soll einfach nur zum spielen und experimentieren.
Es ist nur ein KVM Server den man sich überall mieten kann.
Habe es aber jetzt hinbekommen. Der WireGuard Container läuft mit IPv4 und IPv6. Ufw habe ich jetzt so konfiguriert das alles aus dem Docker Interface zugelassen wird. Nach außen offen ist jetzt z. B. Port 80, 443, 22, WireGuard Port. Wenn ich mich nun auf ein internes Webinterface oder eine Anwendung verbinden will muss ich WireGuard verbinden. Ich lande im Docker Container und WireGuard regelt alles. Da meine Request nun aus dem Container kommen (sprich aus dem Docker Netzwerk) weis ufw das ich das darf
. Die interne Anwendung geht auf und läuft.
Da ich Strom sparen will habe ich mir jetzt einen Server gemietet. Der soll einfach nur zum spielen und experimentieren.
Es ist nur ein KVM Server den man sich überall mieten kann.
Habe es aber jetzt hinbekommen. Der WireGuard Container läuft mit IPv4 und IPv6. Ufw habe ich jetzt so konfiguriert das alles aus dem Docker Interface zugelassen wird. Nach außen offen ist jetzt z. B. Port 80, 443, 22, WireGuard Port. Wenn ich mich nun auf ein internes Webinterface oder eine Anwendung verbinden will muss ich WireGuard verbinden. Ich lande im Docker Container und WireGuard regelt alles. Da meine Request nun aus dem Container kommen (sprich aus dem Docker Netzwerk) weis ufw das ich das darf
. Die interne Anwendung geht auf und läuft.Daher will ich ungern das nochmal virtualisieren.
OK, das mach Sinn. Dann ist der IKEv2 Server oder WG in der Tat die bessere Option.Zum Docker IPv6 Verhalten ist ggf. das hier noch lesenswert:
https://www.heise.de/select/ct/2022/24/2227916155120781636
Wenns das denn war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen.
Joa danke dir. Funktioniert jetzt alles. WireGuard läuft. Ein Webinterface dazu habe ich leider nicht gefunden (jedenfalls keins was funktioniert oder regelmäßig Updates bekommt).
Kurze Frage noch kennst du einen guten Service der Netzlaufwerken bereitstellt. Hätte gerne was mit UI (Benutzerverwaltung, Laufwerkverwaltung). Wäre auch gut wenn dieser Docker fähig ist.
Kennst du da was?
Kurze Frage noch kennst du einen guten Service der Netzlaufwerken bereitstellt. Hätte gerne was mit UI (Benutzerverwaltung, Laufwerkverwaltung). Wäre auch gut wenn dieser Docker fähig ist.
Kennst du da was?
Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
