thefinn
Goto Top

Wireguard-Subnet zu DHCP 2. Nic

Moin Zusammen,

Ich hab mal eine allgemeine "Wie mache ich das Frage" ;)
Und zwar: Ich hab mir mittels eines Wireguards-VPN einen IPv6-Block (2a01:xxx:xxxx:xx61:200::/96) und einen IPv4-Block (192.168.101.2/19) nach hause auf meinen Server getunnelt. Im Moment funktioniert es auch so, dass die beiden Blöcke auf den Server geroutet werden und dort auch ankommen.

Jetzt aber zur Frage: Der Server (Debian 10) läuft virtuell auf Proxmox 6.4 mit 2 Netzwerkinterfaces (1x Normales Nic mit Internetverbindung und 1x ein Nic, an dem ein komplett leeres VX-Lan hängt). Mein "Träumchen" wär es, wenn ich es jetzt so schaffen könnte, dass ich einen neue vm in Proxmox erstell und als deren Netzwerkkarte einfach das VXLan auswähle und ich ihr dann per z.b. netplan eine Statische IP-Adresse aus einem oder beiden der Blöcke gebe.

Ich hab auch schon probiert den Debian-10 Server einfach mal als Gateway aufzusetzen, dass hat aber irgendwie nie so richtig geklappt (Am Client kam immer Network unrechable)

Ich hoffe ihr versteht was ich mein und vielleicht hat ja hier jemand einen Trick für mich, wie ich das hinbekomme.

Grüße
Finn

Content-Key: 666295

Url: https://administrator.de/contentid/666295

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: aqui
aqui 01.05.2021 aktualisiert um 22:42:56 Uhr
Goto Top
Irgendwas stimmt mit dem IPv4 Block nicht. Das ist keine Netzwerkangabe und das Netz gibt es so auch nicht. face-sad
Etwas verwirrend ist auch was du mit "VX-LAN" meinst. Im Netzwerk Umfeld ist das ein Tunneling Protokoll:
https://de.wikipedia.org/wiki/Virtual_Extensible_LAN
Hast du damit deine VLAN Segmentierung gemacht oder ist das nur eine nicht konforme Nutzung dieser Bezeichnung ?
Nur so viel:
Wenn du die beiden Adressblöcke auf einem virtuellen WG Tunnelinterface hast musst du ja entscheiden wie du diese weiterreichen willst. Normal ist der WG VPN Server ein Router aus Netzwerk Sicht, was dann bedeuten würde das du das Netz weiter segmentieren musst um routen zu können. Eine Prefix Length von 96 Bit ist aber nicht mehr Standard konform und damit ist keine SLAAC Autokonfig mehr möglich nur statische Adressierung. SLAAC erfordert eine Minimum Length von 64 Bit.
Alternative ist das du ein Bridging machst. Dann musst du aber das Tunnelinterface und deine 2te NIC in einem Bridging Interface zusammenfassen. SLAAC ist dann aber auch wegen der Prefix Length ausgeschlossen.
Etwas mehr Input zum Setup wäre also hilfreich.
Mitglied: thefinn
thefinn 02.05.2021 um 10:34:59 Uhr
Goto Top
Moin,

Sorry, mir ist gerade aufgefallen, dass ich mich da nen bisschen "verkopiert" hab. Der IPv4-Block ist intern und lautet: 192.168.96.0/19

VXLan habe ich so verstanden, dass das eigentlich eine Art virtueller Switch ist, an den ich die Nics virtuell anschließe (Und dann halt z.b. ein Client/Nic als Gateway zum WG-Server läuft).

Ob Slaac funktioniert oder nicht ist mir im Moment eigentlich egal. Mein Ziel wäre es, dass ich einen Client an das VX-Lan hänge und diesem dann aus beiden Blöcken eine Fixe ip geben kann.

Sorry falls die Frage komplett einfach ist, ich bin nur im Thema Netzwer/Routing ziemlich frisch und brauch manchmal nen bisschen Hilfe.

Grüße und Danke
Finn
Mitglied: aqui
aqui 02.05.2021 aktualisiert um 12:55:25 Uhr
Goto Top
OK, dein Vxlan hat dann mit dem eigentlichen Vxlan wie Netzwerker es kennen nichts zu tun. Was du da meinst ist der stinknormale vSwitch innerhalb des Hypervisors. Mit dem standartisierten Vxlan Tunneling Protokoll hat das nichts zu tun. Hier musst du aufpassen das du mit solchen falschen und irreführenden Beschreibungen die Community hier nicht völlig verwirrst und in die falsche Richtung bzw. eine Sackgasse schickst !

Wenn das v6 Netz und das v4 Netz an deinem virtuellen WG Interface anliegen ("ip addr show" wäre hier hilfreich) bleibt dann die Frage wie du das jetzt auf deine weiteren Interfaces verteilen willst ?! Bridging oder Routing ??
Normal macht man das mit Routing, da dein WG Server ja primär ein Router ist und zudem auch kein Bridging supportet !
In der Systemkonfig Datei /etc/sysctl.conf muss also vor dem Eintrag net.ipv4.ip_forward=1 das "#" entfernt werden um IPv4 Forwarding zu aktivieren.
Analog auch bei IPv6: net.ipv6.conf.all.forwarding=1
Dann Reboot und der Server routet danach dann alle an ihn angeschlossenen IP Netze.
Das bedeutet dann aber auch das du deine v4 und v6 Netze entsprechend subnetten musst.
Ein ip route show bzw. ip -6 route show zeigt dir dann immer die aktuelle Routing Tabelle des Debian.
Mitglied: thefinn
thefinn 02.05.2021 aktualisiert um 13:15:54 Uhr
Goto Top
Zitat von @aqui:
Hier musst du aufpassen das du mit solchen falschen und irreführenden Beschreibungen die Community hier nicht völlig verwirrst und in die > falsche Richtung bzw. eine Sackgasse schickst !
Ich dachte wirklich das ich das nur so richtig über ein VX-Lan hinbekomme. Danke für die Aufklärung!

Wie genau muss ich dann nach dem IP-Forwarding aktivieren vorgehen? Hast du da vielleicht nen Link zu ner Anleitung für mich?

Wie gesagt blutiger Routing-Anfänger :|

Edit: Hier noch ip a (Nicht wundern, hab das Subnet nochmal verändert):
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 3a:12:17:f6:0c:8f brd ff:ff:ff:ff:ff:ff
    inet 10.1.10.139/11 brd 10.31.255.255 scope global ens18
       valid_lft forever preferred_lft forever
    inet6 2003:xx:xxxx:xx58:3812:17ff:fef6:c8f/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 86399sec preferred_lft 14399sec
    inet6 fe80::3812:17ff:fef6:c8f/64 scope link
       valid_lft forever preferred_lft forever
3: ens19: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 6a:d2:bd:4a:4d:c8 brd ff:ff:ff:ff:ff:ff
7: wg0-client: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 192.168.101.1/19 scope global wg0-client
       valid_lft forever preferred_lft forever
    inet6 2a01:xxx:xxxx:xx61:200::1/96 scope global
       valid_lft forever preferred_lft forever
Mitglied: aqui
Lösung aqui 04.05.2021 aktualisiert um 09:37:05 Uhr
Goto Top
Hast du da vielleicht nen Link zu ner Anleitung für mich?
Alle Grundlagen dazu findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Bzw. was WireGuard angeht hier:
Merkzettel: VPN Installation mit Wireguard
Mitglied: thefinn
thefinn 04.05.2021 um 13:29:49 Uhr
Goto Top
Danke, dank deiner Anleitung und nen bisschen Gehirnschmalz läufts jetzt ohne Probleme.

Grüße
Finn
Mitglied: aqui
aqui 04.05.2021 um 15:49:19 Uhr
Goto Top
👍