LXC Subnetz kollidiert mit Firmennetzwerk

Hallo Community,

Das hier ist ein spezielleres Thema und vielleicht gibt es schon den jemanden der so ein ähnliches Problem gehabt hat. Ich habe dazu zumindest nichts im Internet gefunden. Vor allem im Zusammenhang mit PasCom.

Wir haben ein Firmennetzwerk bei der wir das Netz 10.0.2.0/23 betreiben. Jetzt konnte ich bei der Installation nur von bestimmten Rechnern auf das Webfrontend der PasCom Installation zugreifen. Nach einiger Zeit habe ich dann herausgefunden, dass im Setup der Telefonanlage unter iptables eine MASQUERADE Regel zu finden ist. Der Adressbereich 10.0.3.0/24 wird also “abgefangen.” Ein paar Minuten später fand ich heraus, dass es der LXC Containerdienst von Linux ist, der per Default dieses Subnetz für ein Bridge Netzwerk verwndet. Dazu mehr in dem folgenden Link:

https://wiki.debian.org/LXC/SimpleBridge

Nun habe ich also das Problem, dass jeder Rechner im 10.0.3.x Netz nicht auf die Anlage zugrieifen kann. Da ja genau deises Subnetz für LXC reserviert ist.

Ich könnte das Problem “lösen”, in dem ich die LXC Konfiguration einfach anpasse und dem Container Dienst einfach ein anderes Subnetz zuweise. Meine Frage ist: Kann ich das ohne große Probleme machen ohne das es Probleme bei der Installation bzw. Betrieb der Telefonanlage gibt? Oder ist das 10.0.3.0/24 Netzwerk speziell für PasCom wichtig?

Vielen Dank schon einmal für eure Hilfe,

LG, Patrick

P. S. Das ist für große Firmen definitiv ein Problem! Da es ein komplettes Subnet aus dem 10er Netz entfernt. Hier sollte es im Setup eine Option geben, bei der man das Subnetz auswählen kann.

Hallo @IPAdmin,

Ja, Du kannst das machen.
Am besten so:

mkdir -p /persistent/etc/default
cp /etc/default/lxc_net /persistent/etc/default/lxc_net

dann die Datei anpassen und darauf achten das LXC_ADDR, LXC_NETWORK und LXC_DHCP_RANGE zusammenpassen.

vi /persistent/etc/default/lxc_net

am Ende neu starten:

restart

Alle abhängigen Werte leiten sich von diesem File ab. Der Change ist also relativ gefahrlos.

Gruß,

Thomas

2 Likes

Super! Vielen Dank für die schnelle Antwort.

Nachtrag: Man muss noch die Datei /etc/dnsmasq.d/50bridge nach /persistent/etc/dnsmasq.d/50bridge kopieren und anpassen.