Proxmox VM mit Tunnel und Wireguard Fritzbox

[Skatehouse]

Hi! Ich verzweifle noch.
Ich habe eine VM unter Proxmox, die einen Tunnel zu einem VPN Betreiber herstellt.
Ziel war es: alle Verbindungen aus dieser VM heraus sollen über die VPN gehen.
Zusätzlich soll man aber "intern" per Shell und mit allen Geräten zur VM connecten können.

Das funktioniert ja soweit.
Nun habe ich aber noch eine entfernte Fritzbox die per LAN 2 LAN Kopplung (Wireguard) verbunden ist.

Mein Netzwerk ist das 192.168.0.0/24
Entferntes Netzwerk 192.168.178.0/24

Das entfernte Netzwerk kommt weder per Shell auf den Server, noch mit anderen Geräten.
Entweder hab ich was in der tunnel-config mit den ip tables versaubeutelt, oder da ist noch irgendwie ne Firewall vor.....komme da einfach nicht drauf.

Weiß da jemand Rat und was braucht ihr?

 

[nutrix]

NAT ist Dein Stichwort. Du mußt von einem entfernten Netz durch Deine FW die Ports durchreichen (z.B. ssh) zum Zielserver. Wenn aber VPN bei der VM läuft, kommt es auf die Einstellungen des VPN-Servers an. Hier mußt Du dann eventuell per Routen von Deiner Firewall von außen Verbindungen zulassen, oder VPN mit Ausnahmen definieren, die gewissen Datenverkehr nicht durchs VPN, sondern intern durchläßt.

Es immer hilfreich, wenn Du mal ein Netzplan mit allen Komponenten und den IPs aufzeichnest, und konrekt die Wege nachverfolgst, wo was wie durchgehen muß.

 

[Jawohl]

Ich würde sagen, dass das in dem Fall n der Rückrote von der VM zum Client liegt. Der Client ist nicht im lokalen Netz der VM, daher wird es über die Standardroute geschickt (über den Tunnel). Da es aber eine private Adresse ist, kommt es nicht mehr bei Deinem Client an. Du brauchst eine Route in das Netz der entfernten FRITZ!box mit der lokalen FRITZ!box als Router auf Deiner VM.

 

[honky-tonk]

Ich würde sagen, dass das in dem Fall n der Rückrote von der VM zum Client liegt.

genau das wird das Problem sein, die VM routed den rückweg über das VPN, das kennt die clients der 2. FB nicht.

also route nach 192.168.178.0/24 über 192.168.0.1 hinzufügen

 

[Skatehouse]

Happy....genau das war es....habe jetzt nur EIN Gerät hinzugefügt und das hat direkt auf Anhieb funktioniert.

Spoiler

sudo ip route add 192.168.178.40 via 192.168.0.1

Hätte da sowieso mal die Frage ob ich das richtig gemacht habe.
Ziel ist wie gesagt: Nur von dem client raus über die VPN....wenn die disconnecten sollte sollte es auch kein Leak geben.
Interner Verkehr kann drauf.
Sowohl auch jeglicher Verkehr des entfernten Netzwerks


Vielen Dank erstmal für den Tipp mit der Rückroute!
Wie kann ich´s dauerhaft speichern?

Spoiler

pi@ubuntu2:~$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 xx.xxx.81.5 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.0.1 0.0.0.0 UG 100 0 0 ens18
xx.xxx.81.1 xx.xxx.81.5 255.255.255.255 UGH 0 0 0 tun0
xx.xxx.81.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
79.xxx.225.81 192.168.0.1 255.255.255.255 UGH 0 0 0 ens18
128.0.0.0 xx.xxx.81.5 128.0.0.0 UG 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 ens18
192.168.0.1 0.0.0.0 255.255.255.255 UH 100 0 0 ens18

Der ist neu:
192.168.178.40 192.168.0.1 255.255.255.255 UGH 0 0 0 ens18

Im netplan steht die route jetzt auch drin....die hat er wohl direkt automatisch hinzugefügt.
Beim reboot ist sie dann weg.


Hmmm vielleicht:

Spoiler

network:
ethernets:
ens18:
dhcp4: false
addresses: [192.168.178.0/24]
nameservers:
addresses: [8.8.8.8,8.8.4.4,192.168.0.1]
routes:
- to: 192.168.0.0/24
via: 192.168.0.1
version: 2

 

[nutrix]

Richtig, Du mußt die Route über das Interface fest hinterlegen, siehe auch:
https://unix.stackexchange.com/questions/321687/what-is-the-best-way-to-add-a-permanent-route

 

[Skatehouse]

Muss man das nicht über netplan machen? Da ist da aber nicht die Rede von

 

[nutrix]

Netplan ist "nur" eine Zwischenschicht für Netzwerkkonfiguration, es geht auch ohne, wenn Du direkt über die Interfacekonfiguration gehst.

 

[Skatehouse]

Aber in netplan koennte die dann allein stehen, obwohl es ja auch noch den tunnel usw gibt? Der muss dann da nicht rein, oder auch?

 

[nutrix]

Nochmals, Netplan ist eine Schicht darüber, die einfacher zu konfigurieren ist, aber dann doch nur letztlich die Konfigurationen in die Interfacekonfiguration direkt rausrollt. Das mußt Du entscheiden, wie Du es machen möchtest.