Proxmox, piHole und Wireguard -> piHole antwortet an falsche IP

[parrotle]

Hallo zusammen,

ich verstehe die Welt mal wieder nicht mehr...

Ich habe auf Proxmox seit einigen Wochen ein stabiles und schnelles System mit PiHole und Wireguard als Container laufen. Die Mobiltelefone haben WG immer am laufen und konnten bis jetzt PiHole auch unterwegs immer nutzen.
Jetzt musste ich den Proxmox Knoten mal neustarten und der Wireguard Container hat eine neue IP über den DHCP bekommen. Das Problem ist nun, Pihole bekommt von WG auch die DNS anfragen durchgereicht, allerdings geht die Antwort dann nicht an die neue IP von WG zurück, sondern als die alte. gut sichtbar mit pihole tail. Somit läuft das dann natürlich nicht mehr. Alle anderen Rechner funktionieren klaglos mit Pihole. Nur die WG Clients nicht.
Wo kann ich da jetzt noch suchen? Wenn ich dem WG Container in der Proxmox Oberfläche die alte IP als statisch verpasse, läuft es wieder. ifconfig zeigt aber weiterhin die neue an und es sind dann auf einmal die alte und die neue IP anpingbar.

22:48:25: query[A] www.welt.de from 192.168.100.34
22:48:25: cached www.XXXXXX.de is <CNAME>

Dabei ist die neue IP 94. Scheinbar liefert WG noch die alte aus. Nur warum und woher?

Braucht ihr irgendwelche Ausgaben?

Vielen Dank für jede Hilfe!

 

[riversource]

fconfig zeigt aber weiterhin die neue an und es sind dann auf einmal die alte und die neue IP anpingbar.

Irgendwo geistert in deinem Container noch die alte IP rum. Vielleicht in der Wireguard Konfig, vielleicht in einer Netzwerkkonfiguration. Wichtig: Es ist im Container! Es ist nicht die Proxmox Konfiguration oder der Host.

 

[parrotle]

also ich finde in der NAT iptable auf dem WG noch die alte IP im Postrouting. Kann das sein? Wie kann ich das ändern und kann ich das evtl auf localhost ändern? Sofern das funktioniert... iptables sind für mich eine Blackbox...

 

[Drewkev]

Bin kein Netzwerker, aber vielleicht hilft es zu sniffen?

 

[LasseSamenström]

Warum vergibst du den Containern nicht gleich die IP Adresse mit?

 

[parrotle]

ich bin hier nicht alleiniger Netzwerkherrscher :-) da bleibt mir häufig nur DHCP übrig.

Wie oben beschrieben, ich vermute die IPtables als Ursache, nur das ändern bekomme ich noch nicht hin.

Ergänzung (21. November 2022)

Ich habs.... In iptable der feste IP Eintrag war es...

Mit
iptables -t nat -nvL

bekam ich diese Info:
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
94 5804 SNAT all -- * * 10.7.0.0/24 !10.7.0.0/24 to:192.168.100.34

Und das hat mich so verwirrt.

Mit:
iptables -t nat -D POSTROUTING -s 10.7.0.0/24 ! -d 10.7.0.0/24 -j SNAT --to 192.168.100.34

den Eintrag gelöscht und mit:
iptables -t nat -A POSTROUTING -s 10.7.0.0/24 ! -d 10.7.0.0/24 -j MASQUERADE

einen neuen Eintrag erstellt. Mit MASQUERADE wird meinem Verständnis nach die aktuelle Host IP verwendet.

Und siehe da, es funktioniert wieder alles und mit pihole tail sieht man auch die richtige IP des WG Containers.

Kann verstehen, warum Linux nicht immer auf Gegenliebe stößt, die Zugänglichkeit ist nicht so einfach :-)