OpenWRT (LXC) als VPN Gateway unter Proxmox

[elvito]

Hallo,

ich würde gerne mit openWRT unter Proxmox eine Verbindung zu einem VPN Anbieter herstellen, um den outbound traffic von zwei anderen LXCs ins Internet durch dieses VPN zu leiten. Gleichzeitig müssten die beiden LXCs aber noch mit dem den anderen LXCs im LAN kommunizieren können. Evtl hat das schon jemand am laufen und könnte mir einen Tip geben, ich kriege das leider bisher nicht zum laufen.

Ich habe mich an die YT Anleitung von Novaspirit Tech "Must-Have OpenWRT Router Setup For Your Proxmox" gehalten. Als Proxmox Host habe ich ein Thinkcentre i7 mit einem einzelnen Netzwerkanschluss. Was ich bisher getan habe:
- openWRT unter Proxmox als LXC installiert (genau wie im Video)
- bei Proxmox das Interface "vmbr1" angelegt ohne weitere settings



- unter Proxmox dem openWRT LXC vmbr1 als zweites Netzwerkinterface zugeordnet



- die container conf von openwrt (in meinem Fall /etc/pve/lxc/119.conf) um die Zeilen erweitert:

lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net dev/net none bind,create=dir

- Die Firewallsettings (/etc/config/firewall) im LXC von openwrt entsprechend angepasst dass Port 80 durchgelassen wird und ich auf die GUI zugreifen kann
- In der GUI von openWRT ein neues Interface angelegt (LAN), diesem eth1 (eth1=vmbr1) zugeordnet, die IP auf static gesetzt, eine 10.0.er Adresse mit /24er Netmask vergeben und den DHCP Server aktiviert





- zu Testzwecken ein neues LXC erstellt mit Debian 12. Diesem LXC habe ich als Netzwerkkarte vmbr1 zugewiesen.


Gemäß dem Tut Video sollte nun Test LXC mit vmbr1 als Netzwerkkarte, via DHCP eine IP aus dem 10er Bereich (s.o,.) zugewiesen bekommen. Das funktioniert bei mir aber leider nicht. Das starten des LXC mit vmbr1 dauert schon mal verdächtig lange. Sobald es gestartet ist bekomme ich für:

root@test-debian12:~# cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

und für:

root@test-debian12:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: eth0@if129: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether bc:24:11:0d:e1:fb brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::be24:11ff:fe0d:e1fb/64 scope link
       valid_lft forever preferred_lft forever

Ich habe Proxmox noch nicht lange im Einsatz und bin noch ein absoluter Noob. Habe ich etwas übersehen?

Besten Dank im Voraus für die Anregungen

 

[blurrrr]

Hi,

ist der DHCP-Dienst denn auf dem OpenWRT-Ding auch aktiv? Mitunter liegt das "lange starten" auch einfach daran, dass der Container auf IP-Informationen vom (nicht vorhandenen) DHCP-Dienst wartet. Es macht mitunter Sinn, wenn Du Dir mal die entsprechenden Logs des Containers anschauen würdest.

 

[elvito]

Hi und Danke für deine Hilfe. Nach etlichen Stunden des Rumprobierens habe ich das o.g. Szenario fast schon wieder aufgegeben. Vermutlich denke ich viel zu kompliziert. Alles was ich eigentlich will, ist ein LXC unter Proxmox am Laufen zu haben der als Gateway in ein VPN fungiert. Ich hatte mit vorgestellt die IP dieses LXCs einfach bei bestimmten LXCs als Gateway einzutragen und diese gehen dann nicht über die Fritzbox sondern eben "über das vpn" ins Internet. Ich würde dafür einen Abieter wie Nordvpn oder Mullvad nutzen wollen. Dafür muss natürlich nicht opnsense oder openwrt laufen, ich dachte nur das wäre einfacher mit der Einrichtung und Verwaltung und ist mir in einem anderen Forum empfohlen worden. Ich hoffe ich habe mich verständlich ausgedrückt...? Eigentlich das gleiche wie gluetun unter Docker nur eben für Proxmox.

 

[blurrrr]

Ich hab zwar mit Containern echt nix an der Mütze, aber mal ganz blöd gefragt: Hast Du es mal mit OpenWRT in einer VM ausprobiert (nur zum testen erstmal)? Falls das auch nicht klappt, mal mit einem VM-Client (statt Container-Client)? Wenn das dann funktioniert, wäre es eine Sache bzgl. der LXC-Container. Wenn das auch nicht funktioniert, dann ist wohl irgendwas anderes schief.

EDIT: Btw die ganze Kommentare darunter hast Du Dir aber schon alle angesehen? Da ist ja das ein oder andere dabei, was die Leute anders gemacht haben bei sich, da es ansonsten anscheinend nicht funktioniert hat.

 

[elvito]

Hi,

ich hab das Projekt mit openWRT/Opnsense begraben und es ganz simpel mit einem LXC (+ Wireguard) gelöst der unter Proxmox läuft und als Gateway für andere Geräte und Container dient. Das hat ausserdem den Vorteil, dass man z.B. auch einen weiteren LXC erstellen kann der ebenfalls diese GW nutzt und auf dem zusätzlich Tailscale läuft. Das kann man dann als Exit Node benutzen und hat so eine kostenlose Alternative zu Mullvad unter Tailscale. Ich finde das superpraktisch, weil ich so mit wenigen Klicks nicht nur jeden Proxmox Container durch das VPN schicken kann, sondern auch jedes andere NW den LXC als Gateway verwenden lassen kann. Man braucht braucht auf den Endgeräte auch keine zusätzliche Software, was für dumme NW Geräte interessant ist auf denen man keine Software installieren kann. Um ganz sicher zu gehen, dass ausschließlich das VPN als GW benutzt wird, sollt man für das entsprechende Gerät noch in der Fritzbox den Internettraffic sperren zusätzlich auf dem Gerät IPv6 deaktivieren.

Wenn das jemand nützlich findet, könnte ich evtl ein kleines Tut erstellen. In dem Fall kurz melden...Noch ein paar Screenshots zur Verdeutlichung wegen dem TS Exit-Node