Hallo,
ich habe auf einem Mini PC eine UbuntuVM für Docker am laufen. Unter Docker laufen ein paar Dienste (Bitwarden PW Manager, Bookstack etc.) die via Traefik Reverse Proxy unter öffentlichen Internetadressen (Netcup. Cludflare DNS) erreichbar sind. Soweit alles gut, funktioniert alles einwandfrei.
Als Router verwende ich eine UDP-PRO (Glasfaseranschluss Telekom), VPN Anbieter Proton VPN. Es besteht die Möglichkeit die UDM als OpenVPN Client zu einem ProtonVPN Server einzurichten und mit entsprechender Routing Regel somit den ganzen Verkehr über die VPN Verbindung zu leiten. Sobald ich die VPN Verbindung und das Routing aktiviere, sind meine Dienste über die Internetadresse nicht mehr erreichbar.
Hat jemand einen Tipp an was das liegen könnte?
Gruß und Danke.
Erreichbarkeit "Self Hosted Services" mit Proton-VPN
-
- Privat
- UDM
- Problem
- Dream Machine Pro (UDM-Pro)
- offen
- ragman1976
Es gibt 12 Antworten in diesem Thema, welches 2.697 mal aufgerufen wurde. Der letzte Beitrag () ist von Lightrider87.
-
-
Wird dein Proxy Port dann eventuell durch VPN belegt?
-
Leitest Du wirklich den ganzen Verkehr über den VPN Tunnel? Falls ja dürfte es daran liegen, dass wenn Du deine öffentliche IP aufrufst für den Zugriff über den Proxy auf einen Dienst, dieser seine Antwort durch den VPN Tunnel schubst und der anfragende Client Antwortpakete von einer völlig anderen öffentlichen IP bekommt.
In etwa damit zu vergleichen, wenn Du 2 DSLer hast über einen hast Du brac die Portweiterleitung zum Proxy ... aber deine Geräte benutzen als Standardgateway den Router der am 2. DSLer hängt. Die Antwortpakete müssen zwingend von der gleichen öffentlichen IP kommen.
-
Leitest Du wirklich den ganzen Verkehr über den VPN Tunnel?
Zu 99,9% ja. Ich habe in den Routing Einstellungen alle Netze ausgewählt, damit sollte der ganze Traffic über die VPN Verbindung gehen.
Sobald ich das Netz, in dem sich die DockerVM (Treafik-Reverse Proxy aus der Routing über das VPN nehme, sinnd die Dienste wieder erreichbar. Somit passt das zu deiner Erklärung
Gibt es eine Möglichkeit nur einzelne IP-Adressen, in meinem Fall, die der DockerVM, aus dem Routing zu nehmen. In den Routing Einstellungen kann ich zwar "Alle Clients" auswählen, aber dann nicht wieder einzelne entfernen ?
-
Wäre das Ziel nicht eher dein DNS so anzupassen, dass der Traffic sauber über das VPN geschickt wird? Dann bräuchtest du den Weg über das Internet nicht mehr.
-
Wäre das Ziel nicht eher dein DNS so anzupassen, dass der Traffic sauber über das VPN geschickt wird? Dann bräuchtest du den Weg über das Internet nicht mehr.
Klingt gut...wenn du mir noch verrätst wie ich das hinbekomme wäre das super
-
Hast du einen PiHole im Einsatz? Dort müsstest du dann DNS Einträge für deine öffentlichen DNS Namen setzen die intern erreichbar sein sollen. Dieser Zeigt dann auf die Interne IP Adresse deines Proxy. Im Anschluss musst du sicherstellen, dass deine VPN Clients auch den PiHole für DNS nutzen.
Verstehe ich richtig, dass deine UDP als Client zu Proton VPN verbunden ist und deine anderen Endgeräte (Mobiltelefon, etc.) auch?
-
Ich würde den Mini PC in ein anderes VLAN hängen als DMZ sozusagen und dieses VLAN eben nicht über den VPN Routen.
Dann sollte ja alles funktionieren mit den entsprechenden Firewall-Regeln.
-
Gibt es eine Möglichkeit nur einzelne IP-Adressen, in meinem Fall, die der DockerVM, aus dem Routing zu nehmen. In den Routing Einstellungen kann ich zwar "Alle Clients" auswählen, aber dann nicht wieder einzelne entfernen ?
Bei den Routing Rules kann man doch auch die einzelne Devices statt eines ganzen VLANs auswählen.
Hast du einen PiHole im Einsatz? Dort müsstest du dann DNS Einträge für deine öffentlichen DNS Namen setzen die intern erreichbar sein sollen. Dieser Zeigt dann auf die Interne IP Adresse deines Proxy. Im Anschluss musst du sicherstellen, dass deine VPN Clients auch den PiHole für DNS nutzen.
Verstehe ich richtig, dass deine UDP als Client zu Proton VPN verbunden ist und deine anderen Endgeräte (Mobiltelefon, etc.) auch?
Was soll das denn bringen, die interne Namensauflösung zu verbiegen? Es geht doch um den Zugriff aus dem Internet auf die diversen Seiten, der nicht funktioniert wenn Proxy über VPN antwortet. Ich vermute mal dass der Zugriff nicht ausschliesslich über VPN erfolgen soll, denn dann könnte man ja den Proxy auch gleich weglassen und durch den Tunnel auf die expliziten Adressen der Dienste zugreifen.
-
Hi,
mit Einträgen im DNS könnte ich die interne Erreichbarkeit sicherstellen, hätte aber weiterhin von extern ohne VPN ins Heimnetz keinen Zugriff.
Die sauberste Lösung wäre den Mini PC tatsächlich in ein eigenes VLAN zu hängen. Aber....MiniPC...Proxmox...Docker VM...alle Firewall-Regeln umstellen, Routing, Portweiterleitungen...vor sowas habe ich Angst
Die VPN Verbindung drosselt auch die Geschwindigkeit des Zugangs erheblich, von 500 Mbps auf ca. 100 -150 Mbps. Mal sehen was ich daraus mache. Wahrscheinlich werde ich nur das IoT /Kamera und Gäste Netzwerk durch das VPN leiten.
-
Kurze Verständnisfrage. Die Dienste sollen weiterhin über das Internet verfügbar sein und nicht nur durch das VPN?
-
Kurze Verständnisfrage. Die Dienste sollen weiterhin über das Internet verfügbar sein und nicht nur durch das VPN?
Ja, die Dienste sollten von überall intern und extern erreichbar sein.
-
Dann muss du eigentlich nur die Routing Regeln mit entsprechenden Gewichtungen anpassen:
Ich treffe mal folgende Grundannahmen:
Internes Netzwerk: 192.168.178.0/24
Server: 192.168.178.55
VPN Netzwerk: 172.16.20.0/24
Router Schnittstellen:
ppp0: Internet
eth0: LAN
tun0: VPN Tunnel
Folgende Regeln könnten funktionieren (Hier gibt es je nach VPN Technik und Betriebssystem unterschiede):
ip route add 172.16.20.0/24 dev ppp0
ip route add 192.168.178.55/32 dev ppp0
ip route add 0.0.0.0/0.0.0.0 dev tun0
Im Prinzip möchtest du ja den Datenverkehr vom Server immer über das Internet Interface außer bei VPN IP Adressen.
Wenn man noch Sicherheitsaspekte hinzuzieht würde ich aber den Server (wenigstens den Proxy) auch in ein eigenes VLAN (DMZ) packen.