[Docker] [alle OS] Het grote Docker ervaringen en tips topic

Shadow771 schreef op maandag 13 februari 2023 @ 13:51:
[...]


Ja idd. thanks voor de verduidelijking .. Zo heb ik bijv:

/volume1/docker/AdGuard1
/volume1/docker/AdGuard2
/volume1/docker/qbittorrent
/volume1/docker/nordvpn1
/volume1/docker/nordvpn2
/volume1/docker/nordvpn3
/volume1/docker/privoxy1
/volume1/docker/privoxy2
/volume1/docker/privoxy3
/volume1/docker/nginx-proxy-manager
/volume1/docker/nextcloud
/volume1/docker/mariadb

begintmeta schreef op maandag 13 februari 2023 @ 20:07:
Synology DSM doet in de eigen docker-interface alleen aan bind-mounts... volume1=de synology volume, docker=de docker-directory, qbittorrent is een gebind-mounte directory voor qbittorrent vermoed ik

Heb net gemerkt dat het ook best wel een gedoe is om al het verkeer tussen de containers te versleutelen (bijvoorbeeld tussen diverse containers en de postgresql-container). Maar dat lijkt me op zich wel beter om te doen, dus zal het ondanks wat extra gedoe maar doen.

orvintax schreef op maandag 13 februari 2023 @ 20:26:
[...]

Maar als je maar een enkele host hebt dan gaat het verkeer toch helemaal niet over het netwerk? Wat heb je dan aan die versleuteling?

begintmeta schreef op maandag 13 februari 2023 @ 20:31:
[...]

Niet superbelangrijk in de praktijk (voor mij) denk ik maar: als de versleuteling er alvast zit, kost het geen moeite om containers naar verschillende hosts te verplaatsen (en dat kan damn wat sneller) en: verkeer tussen containers kan eventueel door een andere (gecompromiteerde) container gesnift worden vziw (afhankelijk van wat permissies en zo).

Jazco2nd schreef op maandag 13 februari 2023 @ 21:00:
[...]

Ik snap dit niet. Op welk niveau verwacht je die versleuteling dan dat dit een dergelijke bescherming biedt?

begintmeta schreef op maandag 13 februari 2023 @ 22:44:
[...]

stel dat ik een container met Postgresql heb en eenn container met app A en een container met app B. De app-containers maken gebruik van postgres. Ze zitten allemaal in hetzelfde docker-netwerk. Apps A en B openen een poort naar buiten, postgres alleen naar het docker-netwerkje.

Dan zou het volgens mij zo kunnen zijn dat container app A, indien gecompromitteerd, kan luisteren naar verkeer tussen container app B en postgres, tenzij dat is versleuteld (en mits bepaalde (vrij standaard) docker-permissies gegeven zijn).

Maar goed ik moet me er eerloijk gezegd nog wel beter in verdiepen, dus als het anders zit hoor ik dat natuurlijk graag.

[Voor 10% gewijzigd door Webgnome op 14-02-2023 07:31]

Webgnome schreef op dinsdag 14 februari 2023 @ 07:31:
@lolgast waarom zou je het niet doen? Als je 3 containers hebt met maar 3 databases van een paar MB wat win je dan precies met het containeren van die 3 servers? Mocht een van de 3 database echt teveel gaan vragen dan kun je alsnog een extra nieuwe container opzetten voor die specifieke instance? En met fatsoenlijke rechten structuur kun je het gewoon goed afschermen

[Voor 4% gewijzigd door begintmeta op 14-02-2023 17:40]

lolgast schreef op dinsdag 14 februari 2023 @ 09:44:
- Omdat het hele idee van Docker en het gebruiken van containers het opsplitsen van services is. Waarom zou je wel de moeite nemen om je app en database te scheiden, maar vervolgens wel alle databases op 1 hoop gooien?

...

Ik kan maar 1 reden bedenken om het níet te doen. "Gemak".

orvintax schreef op dinsdag 14 februari 2023 @ 13:46:
[...]

Buiten dat ik hier geen voordeel in zie, gaat dit echt volledig tegen het principe van (Docker) containerisatie in. Het mooie is juist dat je alles per applicatie in die container/containers hebt zitten. Als je dan vervolgens de verschillende containers van de verschillende applicaties aan elkaar gaat knopen heb je dat niet meer, want ze zijn van elkaar afhankelijk. En dat word op den duur echt een zooitje.

[Voor 26% gewijzigd door Shadow771 op 14-02-2023 20:23]

Shadow771 schreef op dinsdag 14 februari 2023 @ 20:18:
[...]


[...]


Zeggen jullie dit ook bijv tegen de developers van MailCow?

RobertMe schreef op dinsdag 14 februari 2023 @ 20:35:
[...]
Mailcow is uiteindelijk wel een ding.

Naar mijn idee gaat de discussie meer over "als je WordPress en MailCow op 1 server draait, gebruik je dan 1 database in totaal, of 1 database per "pakketje" en dus ,1 voor WordPress en 1 voor MailCow"". En mijn antwoord daarop zou ook zijn: twee database containers. Eentje binnen de WordPress stack en eentje binnen de MailCow stack.

Mars Warrior schreef op dinsdag 14 februari 2023 @ 20:39:
[...]

Mailcow is beetje overdone met 1 app per container. Mailcow kan makkelijk in 1 container draaien. Maakt het een stuk overzichtelijker

synoniem schreef op dinsdag 14 februari 2023 @ 21:47:
Één proces per container is overrated met justcontainers/s6-overlay kun je prima meer dan een bij elkaar horende processen draaien zonder allerlei extra containercommunicatie.
Maar het hangt uiteraard wel af van wat je wil je combineren bijvoorbeeld een initialisatie service en een long run service kan prima samen. Een database zou ik wel in een aparte container draaien bijvoorbeeld.

synoniem schreef op dinsdag 14 februari 2023 @ 21:47:
Één proces per container is overrated met justcontainers/s6-overlay kun je prima meer dan een bij elkaar horende processen draaien zonder allerlei extra containercommunicatie.
Maar het hangt uiteraard wel af van wat je wil je combineren bijvoorbeeld een initialisatie service en een long run service kan prima samen. Een database zou ik wel in een aparte container draaien bijvoorbeeld.

begintmeta schreef op woensdag 15 februari 2023 @ 19:43:
Hoe zit het eigenlijk met netwerken, ik heb in principe samenwerkende containers in een bridgenetwerk zitten, en ik wil ook een reverse-proxy opzetten. maar ik heb gemerkt dat mijn bestaande configuraties overzetten de client IP niet netjes behoudt (in plaats van een netwerk-extern IP komt de gateway van het bridge-netwerk in de logs terecht...) Een quick fix is dan de proxy-server op het hostnetwerk of een macvlan gooien, in plaats van in een eigen bridge-netwerk, maar ik heb het idee dat dat wellicht eigenlijk ook niet de bedoeling kan zijn.

RobertMe schreef op maandag 16 januari 2023 @ 16:56:
Wellicht dat ik hier met mijn, wat meer high level, vraag terecht kan.

Momenteel heb ik een Proxmox machine met daarop enkele LXC containers waarin vervolgens Docker draait. De reden dat ik dit zo heb is omdat ik in mijn netwerk meerdere VLANs heb en daarmee cintainers in het juiste VLAN kan plaatsen. Zo heb ik bv een LXC "controller.iot" waar dan Docker in draait met bv Home Assistant, een SQL Database, DSMR Reader, .... Waarbij alles dus in het IoT VLAN zit en poorten die ik open zet ook alleen in het IoT VLAN bereikbaar zijn. En hetzelfde idee heb ik dan gedaan met meerdere zaken. Een LXC vanuit Proxmox waarbij de LXC aan één specifiek VLAN gekoppeld is en port forwards etc alleen vanuit dat VLAN bereikbaar zijn en het spul in de LXC / docker dus ook niet met andere VLANs kan communiceren.
An zich werkt dit prima, alleen valt dat extra laagje mij tegen. In principe heb ik nu niet één OS dat ik moet onderhouden (Proxmox / dat wat bare metal draait), maar een stuk of 10 (Proxmox + de LXCs). Waarbij dus elk geupdate moeten worden, ik soms 2 keer zaken moet mappen (Proxmox => LXC => Docker), etc. Qua onderhoud niet ideaal dus.

Intussen heb ik een nieuw mini PCtje gekocht en wil ik hier nog eens goed naar kijken. En dus of ik niet bv gewoon Debian kan draaien met Proxmox en alles overal juist in prop. Daarnaast wil ik ook "Docker Docker" evalueren of ik dat wil blijven gebruiken, of bv de overstap maken naar Podman (lees: een alternatieve OCI compliant runtime).
Voordeeltje wat ik daarbij zie bij Podman is dat dit een "pod" concept heeft, net zoals Kubernetes. Waarbij je meerdere containers in dezelfde namespace kunt plaatsen en bv zaken als networking gewoon "localhost" kunnen gebruiken binnen dezelfde pod (bv Home Assistant die via localhost met Mosquito verbind, omdat ze dezelfde netwerk namespace / netwerk interface delen). Alleen zie ik dus niet hoe ik bv een complete pod dan aan een eigen interface / VLAN kan koppelen. Maar bij Docker lijkt dit ook nogal complex te regelen te zijn (voorbeeld dat ik een tijdje terug gevonden heb zet volledige iptables / firewall management van Docker uit. Waardoor zelf de regels aangemaakt kunnen worden en dus ook SNAT toegepast kan worden om alle verkeer vanaf een Docker bridge uit te sturen / te NATen over een specifieke andere interface (/VLAN)).

Heeft iemand hier dus (toevallig) kennis van en/of ervaring met dit soort zaken? Dus in het kort "specifieke containers v.w.b. het netwerk specifieke VLANs laten gebruiken, zowel voor inkomende als uitgaande verbindingen".

De reden dat ik overigens wel in de "Docker" (/Podman / ...) hoek wil blijven is, uiteraard, het gemak. Gewoon een pull + "up" / recreate en de boel is bijgewerkt. Alternatief zou in principe LXC kunnen zijn, zonder Docker er in dan, maar dan heeft elk "programma" natuurlijk weer zijn eigen installatie & update methode, dependencies die allemaal moeten kloppen, etc.

1. De routing tabel aanmaken en vullen
2. Het verkeer vanaf de bridge (/verkeer dat je gebruik wilt laten maken van deze routing tabel) markeren, in de firewall
3. Een regel (in de routing) die ervoor zorgt dat het verkeer gemarkeerd met X wordt verwerkt door routing tabel Y

1
2
3
4
5
6
7
8
9
10
11

[RoutingPolicyRule]
IncomingInterface=br-iot
Table=500

[Route]
Gateway=192.168.20.1
Table=500

[Route]
Gateway=_ipv6ra
Table=500

robert@server:~$ ip -4 route show table 500
default via 192.168.20.1 dev iot proto static
robert@server:~$ ip -6 route show table 500
default via fe80::822a:a8ff:fecd:c7e6 dev iot proto ra metric 1024 expires 1500sec pref high
robert@server:~$

robert@server:~$ ip rule
0:      from all lookup local
32762:  from all iif br-iot lookup 500 proto static
32766:  from all lookup main
32767:  from all lookup default

docker network create --opt com.docker.network.bridge.name=br-iot br-iot

1

RouteTable=iot:500

[Voor 8% gewijzigd door Mars Warrior op 27-02-2023 17:04]

Jazco2nd schreef op maandag 27 februari 2023 @ 17:27:
@Mars Warrior ik heb nooit de DHCP server gebruikt van AGH of PiHole. Zou het wel willen, maar ik wil zo min mogelijk disruptie voor 'basic internet', DHCP vind ik nogal essentieel, dus dat doet de router gewoon.
Als ik de server reboot of heb zitten kloten waardoor reboot niet lukt of de container een probleem heeft (noem maar wat) of mijn ssd ineens niet werkt is er eventjes geen internet in huis. Dat kan niet.

Voor jou: het idee is dus dat je dit pas omzet (van router naar server) als je helemaal klaar bent met het configureren van je server en hem gewoon continu laat draaien.

Het voordeel in jouw geval als je hiervoor kiest is dat je altijd per-client queries en stats kan zien en per client AGH kan in/uitschakelen.
In mijn router worden alle DNS verzoeken naar mijn server geforceert via firewall rules. Met als nadeel dat alle DNS verzoeken dus van mijn router naar AGH gaan en AGH dus geen clients kan onderscheiden. Dit accepteer ik, omdat ik liever partijen als Google dwarszit en alle DNS verzoeken door AGH (icm Unbound) pers.

[sub]Ik ben trouwens ook nog eens van Ubuntu afgestapt. Vond het teveel eigenaardigheden hebben en teveel geklooi vereisen. Ben over op Manjaro. Dat draait zo lekker (Arch based) en volledig automatisch (ook updates), sindsdien nauwelijks nog tijd aan mijn server besteed. Ook geen last van ingebouwde DNS resolver van Ubuntu. En een veel betere documentatie als je toch wil klooien (Arch Wiki).

Ik heb in 3. Network Configuration en 6. Services & Apps - Configuration van mijn Homeserver guide best veel info gezet, ook step-by-step voor zaken als Adguard Home, Wireguard Server en bijvoorbeeld local domain names voor unexposed services (http://agh.o/ om adguard te benaderen bijvoorbeeld), ook wanneer ik niet thuis ben via WG VPN. Mocht je daar wat aan hebben.[/sub]

Ff voor de duidelijkheid: ligt dit nu aan DNS of DHCP: oftewel als ik DHCP via mijn router laat lopen en DNS over AGH, dak kan ik toch nog steeds per client in/uitschakelen, of ligt dat echt vast aan de DHCP functie

[Voor 17% gewijzigd door Jazco2nd op 27-02-2023 19:41]

Jazco2nd schreef op maandag 27 februari 2023 @ 19:31:
@Mars Warrior
[...]
Je hebt 3 keuzes als je per cliënt alles wil kunnen zien:
1) Router DCHP gebruiken en als DNS server (onder DHCP instellingen) het IP adres van je server invullen --> nu zullen je clients het IP van je server krijgen als DNS adres. Dit kan je makkelijk checken op je telefoon of laptop.
Nadeel 1: moderne Android/Apple devices hebben soms hun eigen DNS server ingesteld. Die omzeilen dus je server, tenzij je dit handmatig uitzet (heet volgens mij Private DNS ofzoiets).
Nadeel 2: Apparaten die graag constant met de cloud praten en daarvoor hun eigen publieke (al dan niet hardcoded) DNS server hebben ingesteld zoals een Google Nest of Chromecast omzeilen je server. Ook smartTVs die voorheen regelmatig screenshots van je tv beeld naar oa SambaTV stuurden blokkeer je dan niet.
Nadeel 3: als jij je DNS server wijzigt onder DHCP settings, wordt dit niet aangepast bij reeds verbonden clients. Dit kan een probleem vormen als je van de ene naar de ander server wil switchen. Dit los je op met Optie 3.

2) DHCP server adres == DNS adres, dit is het geval wanneer je server beide afgehandeld.
Nadelen 1 en 2 blijven bestaan.

3) Router DHCP gebruiken maar onder DHCP settings als DNS het IP adres van je router zelf invullen (dus Gateway en DNS onder kopje DHCP zijn dan zelfde).
Vervolgens elders in je router onder DNS servers jouw server IP invullen.
Dit lijkt op optie (1) maar heeft als voordeel dat clients dus altijd je router IP als DNS hebben, en je in de router zelf altijd de werkelijke dns servers kan aanpassen.

Je zou dus optie 3 altijd boven optie 1 moeten preferen.

Let op dat de meeste routers je wel 2 of zelfs 3 DNS adressen laten instellen, maar vaak worden deze willekeurig benaderd. Dus het is dan niet zo dat als de eerste server niet reageert, het request opnieuw naar de 2e wordt verzonden..

Wireguard VPN:
Hiervoor kan je zolang je Docker Compose gebruikt prima mijn guide als referentie gebruiken ongeacht het OS
In mijn setup gaat DNS altijd via mijn server, doordat telefoons automatisch verbinden met Wireguard wanneer ze WiFi verliezen. Alleen DNS verzoeken gaan dan via Wireguard VPN, de rest van het internet verkeer gaat buiten de tunnel om.
Je hebt zo ook altijd toegang tot de services op je server die alleen lokaal draaien.
Dit kan jij met Ubuntu en 2 servers ook prima voor elkaar krijgen.

Lokale domeinnamen:
Zie uitleg hier:
https://github.com/zilexa...ces-in-your-local-network
Binnen de context van de 2 onderwerpen erboven.

[Voor 9% gewijzigd door Mars Warrior op 28-02-2023 11:15]

Jazco2nd schreef op dinsdag 28 februari 2023 @ 11:15:
@Mars Warrior correct, $namen zijn de variabelen die in je .env file staan.
Voor thuisgebruik lijkt dit overdreven, maar zo houdt je je compose file generiek. Alle echte personalisatie staat dan dus in .env.

Inderdaad, wireguard zit in de linux kernel, wg-tools gewoon in de standaard repositories en ik heb een paar UIs getest, klein beetje gedoneerd aan deze en die is nu redelijk uitontwikkeld en gebruiksvriendelijk in gebruik.

In het AGH topic vind je meer over optie 3. Soms kan je DNS invullen onder je internet instellingen/WAN ipv onder DHCP. Of zoals bij Asus een vinkje zetten bij "advertise router IP instead of DNS.. to clients". Inderdaad sommige routers lijken die opties niet te hebben.

[Voor 12% gewijzigd door Mars Warrior op 01-03-2023 16:52]

[Voor 19% gewijzigd door Jazco2nd op 01-03-2023 17:02]

[Voor 4% gewijzigd door ThinkPad op 21-03-2023 13:39]

Arunia schreef op dinsdag 21 maart 2023 @ 12:25:
Langzaam steeds meer in Docker gooien. Maar denk dat ik eens mijn udemy cursusje moet gaan doen. Heb ik al enige tijd in bezit, maar nooit wat mee gedaan.

Ook wil ik eens intern domainnames gaan gebruiken voor ipadressen met poorten. Want dat laatste is echt niet handig.
Gewoon plex.home.net of plex.home scheen dan ook te werken. Maar dat is minder van docker dan van wat anders.

[Voor 3% gewijzigd door Mars Warrior op 21-03-2023 13:12]

Mars Warrior schreef op dinsdag 21 maart 2023 @ 13:11:
[...]
Hoewel er officieel beperkingen gelden voor de TLD die je intern gebruikt, zul je niet veel problemen ondervinden als je alles thuis *.home, of *.local, of *.arunia noemt. Dat maakt de buitenwereld helemaal niks uit namelijk

Kaspers schreef op dinsdag 21 maart 2023 @ 13:26:
Ik kan k3s dan ook erg aanbevelen. Meer k3s gebruikers hier?

Arunia schreef op dinsdag 21 maart 2023 @ 14:25:
@Mars Warrior Dat klinkt echt heel uitgebreid wat je doet. Dacht dat ik al voor thuisgebruik best wat dingen had, maar dat valt best mee.
Moet alleen nog dingen als nzbget, qbittorrent, de geijkte sonarr, radarr enzovoorts nog eens in Docker zetten.
Maar dan moet ik toch eens zien te kijken hoe ik goed kan backuppen en als ik dus opnieuw moet beginnen, ik wel mijn data blijf behouden. Dat komt uiteindelijk wel als ik wat meer tijd heb.

Mars Warrior schreef op dinsdag 21 maart 2023 @ 14:09:
[...]

Geen idee welke software zich druk maakt om het TLD. Ik gebruik dat soort containers blijkbaar niet

Een proxy (Caddy, NPM, Traefik) zorgt voor routeren (sub)domein en SSL.

Er draaien hier meerdere domeinen:

• verschillende externe domeinen die deels lokaal draaien (reverse DNS of hoe dat ook heet). Er draaien lokaal dus gewoon *.com en *.nl domeinen, die extern ook bestaan, maar niet noodzakelijkerwijs in mijn bezit zijn. De externe DNS wijst simpelweg naar mijn ip adres thuis.
• verschillende lokale domeinen die dus extern niet beschikbaar zijn. Maar daarom zijn ze ook lokaal...

Ik zit nu in een transitie naar een nieuwe 20-core server die veel zuiniger is dan mijn bestaande/oude 4-core servers. Met zuinig bedoel ik ca 4W idle uit het stopcontact (32GB RAM, 2TB SSD, 20-core CPU).

Ik ga ook van ca 100 containers terug naar 30 door consolidatie van servers (van 3 naar 1) en functionaliteit.

SFTPGo bijvoorbeeld kan bijv zowel SFTP, FTP, HTTP/S, FTP/S als Webdav aan, heeft een ingebouwde GUI, plugins om dingen uit te breiden en kan zelf weer gebruik maken van verschillende back-ends. Dus dat scheelt nogal wat containers, configuratiewerk en dus onderhoud.

Intern gebruik ik Gotify voor events en Pushtify om het door te zette naar Pushover op mijn telefoon.

Influxdb en Telegraf gebruik ik voor metrics zodat ik zowel het CPU verbruik (package) kan meten (is idle nu 850mW) en het gebruik van de diverse containers (proxy, sftp, webdav, etc).

In die context heb ik nu containers gekozen die zelf al deze metrics (hetzij direct in influxdb, hetzij via een /metrics endpoint die Telegraf gebruikt) leveren, waar ik voorheen containers nodig had die logfiles analyseerden. Dat scheelt dus zowel containers, als cpu verbruik als andere resources!

orvintax schreef op dinsdag 21 maart 2023 @ 15:20:
[...]

En @Arunia. Is inmiddels een paar jaar geleden en denk niet dat dat met containers was Maar het leek me toch handig om te vermelden.

Verder, mag ik vragen om wat voor een server het gaat? Zulke specs en dan 4W idle klinkt fantastisch!

• de P-cores van de 12700K worden vanaf 4.0Ghz erg inefficiënt, ca 80% meer verbruik
• de E-cores van de 12700K worden vanaf 3.2Ghz erg inefficiënt, ca 50% meer verbruik

Mars Warrior schreef op dinsdag 21 maart 2023 @ 13:45:
[...]

Nee. Te hoge CPU load, te hoge CPU load, te hoge CPU load en naar mijn mening "onnodig complex" vergeleken met een docker compose file.

Ik wil een zuinige server, en dat is met k*s niet mogelijk, die krijg je idle niet onder de 0.1% cpu load

Wil je het simpel houden (lokale DNS, extern via eigen domein) dan is docker compose met labels voor bijv. Caddy behoorlijk simpel en voorspelbaar.

Als je Caddy (de docker versie die labels snapt) vergelijkt met Traefik dan zie je hetzelfde verschil als tussen docker compose en k*s: je hebt een halve studie nodig om de meest basale dingen voor elkaar te krijgen.

En als je bezig bent om docker te begrijpen zou ik alles rondom k0s/k3s/k8s lekker links laten liggen

Kaspers schreef op dinsdag 21 maart 2023 @ 19:06:
[...]
Mwoah, een hogere CPU load wil ik nog wel gaan bediscussiëren
Deze host draait meer dan 100 containers:

[Afbeelding]

Ik vind die load niet noemenswaardig hoog.

Jazco2nd schreef op woensdag 22 maart 2023 @ 13:43:
@Mars Warrior dit is niet het Het grote zuinige server topic - deel 3 hé?

Mars Warrior schreef op zaterdag 25 maart 2023 @ 16:19:
Nu wil ik overal Caddy Docker Proxy gaan gebruiken. Die kijkt normaliter naar labels in de docker compose file. Dat werkt goed voor 1 server.

Caddy moet echter ook wat dingen naar andere servers doorzetten.

Heeft iemand hier ervaring mee? Is het mogelijk om op de Caddy container zelf bijv. deze proxies naar andere servers te definieren, inclusief de LetsEncrypt dingen?

RobertMe schreef op zaterdag 25 maart 2023 @ 16:25:
[...]

Hoe hard ben je met Caddy getrouwd?

Maar eerlijk is eerlijk, met de docker compose files die je laatst plaatste (meen in zuinige server topic) was ik wel jaloers hoe simpel de Caddy labels zijn

Traefik heeft meerdere methodes om de "backends" te bepalen. Op basis van Docker labels, maar op basis van files kan ook. Verwijzen naar services op een andere server kun je dan via files doen en wat op dezelfde server draait via Docker labels.

Mars Warrior schreef op zaterdag 25 maart 2023 @ 16:42:
[...]

Caddy heeft welgeteld 2 regels nodig voor een proxy. En als op die poort ook nog de websockets zitten, dan gaat ook dat automatisch. Hoef je geen regel extra voor te typen. Vergelijk dat eens met NGINX of Traefik!

Traefik blijft voor mij een waterhoofd. Wel met enorm veel mogelijkheden, maar ook vreselijk complex. Ik krijg elke keer Kubernetes-merries (ipv nachtmerries) als ik een config van Treafik bekijk.

Pak bijv http vs https: als ik voor een domein dat ik wil proxien https zet, dan vraagt Caddy een certificaat aan, en met http ervoor niet. Hoe veel simpeler kun je het maken voor een eindgebruiker!

Als het ff kan wil ik Traefik dus vermijden. Ook die heeft liever geen externe services, want ze hebben die info over externe bestanden een beetje lopen verstoppen vind ik.

Het enige dat ik nog niet duidelijk heb is of Caddy probleemloos met HTTPS icm Safari kan werken. NGINX heeft daarvoor extra instellingen nodig in de proxy om dat te laten werken namelijk.

RobertMe schreef op zaterdag 25 maart 2023 @ 17:23:
[...]
Ja, je moet bij Traefik natuurlijk expliciet zijn in het definiëren van de entrypoints. Maar in v2 kun je wel al op "het entrypoint met poort 443" aangeven welke certificate resolver gebruikt moet worden. En die wordt dan ook automatisch toegepast op alle "routers". Dus je hoeft niet meer per "router" (in v1 was het nog frontend?) aan te geven dat je iets met certificaten wilt doen. Daarnaast worden IIRC alle entrypoints standaard toegepast (of kon je dat eenmalig definiëren? Welke entrypoints standaard toegepast moeten worden). En je kunt op een entrypoint ook al standaard middlewares vastleggen (bv redirect naar https vanaf http of HSTS inschakelen). In ieder geval heb ik aan 2 labels voldoende om een container via Traefik beschikbaar te maken. En dat is dan 1x traefik.enable omdat ik uit heb gezet dat die standaard alle containers moet pogen te exposen. En de ander dan om aan te geven "deze service / container moet bereikbaar zijn onder hostname...".

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

version: '2.1'

services:
  homeassistant:
    restart: always
    image: homeassistant/raspberrypi3-homeassistant
    expose:
      - 8123
    ports:
      - "8123:8123"
    devices:
      - /dev/ttyACM0
    volumes:
      - ./config:/config
    network_mode: host
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.hahttp.rule=Host(`MY_DOMAIN`)"
      - "traefik.http.routers.ha.rule=Host(`MY_DOMAIN`)"
      - "traefik.http.routers.ha.tls=true"
      - "traefik.http.routers.ha.tls.certresolver=le"
      - "traefik.http.routers.ha.tls.domains[0].main=MY_DOMAIN"
      - "traefik.http.services.homeassistant.loadbalancer.server.port=8123"

  traefik:
    restart: always
    image: traefik:v2.2
    command: 
      - "--api.dashboard=true"
      - "--api.insecure=true"
      - "--accesslog=true"
      - "--providers.docker"
      - "--providers.docker.exposedbydefault=false"
      - "--entryPoints.web.address=:80"
      - "--entrypoints.websecure.address=:443"
      - "--certificatesresolvers.le.acme.tlschallenge=true"
      - "--certificatesresolvers.le.acme.email=MY_EMAIL"
      - "--certificatesresolvers.le.acme.storage=/letsencrypt/acme.json"
    ports:
      - 80:80
      - 8080:8080
      - 443:443
    volumes:
      - "/var/run/docker.sock:/var/run/docker.sock:ro"
      - "./letsencrypt:/letsencrypt"
    extra_hosts: 
      - host.docker.internal:172.17.0.1

• Dus geen instelling nodig voor https, want default
• Geen instelling nodig voor redirect http naar https, want default
• Geen certificaat instellingen nodig, want default Let's Encrypt of ZeroSSL
• Geen challenge instelling nodig, want default TLS (dus geen poort 80 nodig van buiten)

1
2
3

    labels:
      caddy: http://whoami.example.com
      caddy.reverse_proxy: "{{upstreams 80}}"

1
2
3

    labels:
      caddy: whoami.example.com
      caddy.reverse_proxy: "{{upstreams 80}}"

Mars Warrior schreef op maandag 27 maart 2023 @ 12:35:
Caddy aan de andere kant heeft een andere filosofie, namelijk alles is HTTPS by default!

• Dus geen instelling nodig voor https, want default
• Geen instelling nodig voor redirect http naar https, want default
• Geen certificaat instellingen nodig, want default Let's Encrypt of ZeroSSL
• Geen challenge instelling nodig, want default TLS (dus geen poort 80 nodig van buiten)

Door die default instellingen heb je dus werkelijk maar 2 regels per container nodig.

Voor http:

YAML:

1 2 3

labels: caddy: http://whoami.example.com caddy.reverse_proxy: "{{upstreams 80}}"

Voor https:

YAML:

1 2 3

labels: caddy: whoami.example.com caddy.reverse_proxy: "{{upstreams 80}}"

Klaar is kees!

Besef wel dat Caddy de INTERNE poorten gebruikt van de container, en niet de externe. Dat scheelt dus weer een paar regels "ports" yaml...

TL;DR:
Ik moet al voldoende leren / uitzoeken vanwege dat rare Linux (Ubuntu in dit geval) en hoe ik sommige containers functioneel moet configureren, dus zoek ik naar simpele oplossingen die - als het ff kan - zo logisch zijn, dat ik zo min mogelijk hoef te doen!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

  homeassistant:
    image: ghcr.io/home-assistant/home-assistant
    container_name: homeassistant
    networks:
      homeassistant: ~
      traefik: ~
    volumes:
      - ./config/homeassistant/:/config
      - /etc/localtime:/etc/localtime:ro
    labels:
      - traefik.enable=true
      - traefik.http.routers.homeassistant.rule=Host(`ha.<knip>.nl`)
      - traefik.http.services.homeassistant.loadBalancer.server.port=8123
    depends_on:
      - postgresql
      - mosquitto
    restart: unless-stopped

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

entryPoints:
  web:
    address: ":80"
    http:
      redirections:
        entryPoint:
          to: websecure
          scheme: https

  websecure:
    address: ":443"
    http:
      tls:
        certResolver: leResolver
        domains:
          - main: "*.<knip>.nl"

providers:
  docker:
    exposedByDefault: false
    network: traefik

certificatesResolvers:
  leResolver:
    acme:
      email: <knip>
      storage: /etc/traefik/acme.json
      dnsChallenge:
        provider: transip

[Voor 27% gewijzigd door RobertMe op 27-03-2023 13:20]

RobertMe schreef op maandag 27 maart 2023 @ 13:03:
[...]
Dit soort zaken kun je bij Traefik dus ook in instellen, eenmalig.

En Traefik herkent de port automatisch, als de container maar een port exosed. Dan is Kees nog sneller klaar.

Traefik doet exact hetzelfde. Maar jouw voorbeeld is gewoon super slecht / fout. Allemaal die port mappings & expose en weet ik wat zijn nergens voor nodig.

1
2
3
4
5
6
7
8

  whoami:
    image: "traefik/whoami"
    container_name: "simple-service"
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.whoami.rule=Host(`whoami.example.com`)"
      - "traefik.http.routers.whoami.entrypoints=websecure"
      - "traefik.http.routers.whoami.tls.certresolver=myresolver"

Dat is zeer zeker waar. En ik zal ook zeker niet zeggen dat Traefik makkelijker is op te zetten. Maar als je ee initiële setup gedaan hebt is het ook weer niet zoveel meer werk. Als in: je steekt een keer een of twee uurtjes in dat uitzoeken en daarna ben je met 1 of 2 labels per container klaar. En bij alle services die achter Traefik moeten moet je wellicht even kijken "hoe het ook alweer zat" maar dat is maar max 5 minuten per keer en zal niet veel langer / korter duren dan bij Caddy.

1
2
3
4
5
6
7

  whoami:
    image: containous/whoami
    networks:
      - caddy
    labels:
      caddy: whoami.example.com
      caddy.reverse_proxy: "{{upstreams 80}}"

[Voor 10% gewijzigd door RobertMe op 27-03-2023 15:16]

RobertMe schreef op maandag 27 maart 2023 @ 13:03:
Waarbij traefik.enable dus een keuze is. By default exposed Traefik AFAIK alle containers.

[Voor 36% gewijzigd door CH4OS op 27-03-2023 15:23]

CH4OS schreef op maandag 27 maart 2023 @ 15:21:
[...]
Klopt: Documentatie. Het traefik.enable label is dus alleen voor containers wanneer exposedByDefault op false staat (lijkt me security technisch gezien sowieso al veiliger). Maar op deze manier heb je zelf ook wat meer controle over wat wel via Traefik bereikbaar is en wat niet. Soms kan iets explicieter zijn geen kwaad.

Jazco2nd schreef op woensdag 22 maart 2023 @ 13:43:
En ook hoe je beste je mappenstructuur kunt maken voor *arr apps.

Mars Warrior schreef op zaterdag 25 maart 2023 @ 16:19:
Nu wil ik overal Caddy Docker Proxy gaan gebruiken. Die kijkt normaliter naar labels in de docker compose file. Dat werkt goed voor 1 server.

Caddy moet echter ook wat dingen naar andere servers doorzetten.

Heeft iemand hier ervaring mee? Is het mogelijk om op de Caddy container zelf bijv. deze proxies naar andere servers te definieren, inclusief de LetsEncrypt dingen?

1
2
3
4
5

    labels:
      caddy_0: http://z2mqtt-nuc.z
      caddy_0.reverse_proxy: domotica:8880
      caddy_1: http://homeassistant-nuc.z
      caddy_1.reverse_proxy: domotica:8123

WheeleE schreef op woensdag 29 maart 2023 @ 16:05:
Tot voor kort had ik op mijn Synology DS220 een docker stack draaien met een vpn-client en een aantal containers die via de vpn-container naar buiten gingen. Alles werkte uitstekend, de client-containers kwamen netjes met het vpn-ipadres naar buiten.
Nu heb ik deze week een deel gedupliceert naar een Raspberry Pi. Tot mijn verbazing komt de enige client-container (qbittorrent) die er op draait naar buiten met zowel het vpn-adres als het adres van mijn thuis-internet.
De ip-adressen heb ik in beide situaties elke keer via de interactive mode van de containers met wget -O - -q icanhazip.com gecontroleerd.

Het enige verschil tussen de 2 installaties is dat ik op de Pi een ander openvpnclient-image moest gebruiken. yacht7/openvpn-client op de Synology bleek niet geschikt voor ARM op de Pi, dus daar gebruik ik ghcr.io/wfg/openvpn-client.

Mijn netwerk/docker-kennis strekt niet ver genoeg om dit grondig te troubleshooten. Het zal waarschijnlijk in de vpn-container liggen maar hoe kom ik er achter wat er mis is en wat ik moet fixen?

RobertMe schreef op woensdag 29 maart 2023 @ 16:14:
[...]

Kan het niet zijn dat eentje bv het IP adres lekt via DNS verkeer? Als die container nog steeds jouw eigen DNS server gebruikt kan via deze route het IP adres achterhaald worden. In ieder geval kan puur een HTTP(S) request niet over 2 adressen gebeuren. Maar een DNS based test is meestal wel een stuk complexer (/trager) en dat zie ik bij de door jou aangehaalde website niet terug. Vergelijk dat bv met een website als https://www.dnsleaktest.com/

WheeleE schreef op woensdag 29 maart 2023 @ 17:08:
[...]
Wat ik wel heb ontdekt is dat het aan de Raspberry ligt en niet aan de images of instellingen van de containers. De exact gelijke compose yml van de raspberry op de synology draaien geeft maar 1 extern ip, dat van de vpn.

1
2

docker exec -it vpn curl ipinfo.io/json
docker exec -it vpn curl icanhazip.com

rvk schreef op woensdag 29 maart 2023 @ 17:42:
[...]

Ik draai een wireguard docker op de rpi.
Die icanhazip kijkt toch verder niet naar dns?

Deze geven op mijn wireguard docker gewoon de externe addressen.

code:

1 2	docker exec -it vpn curl ipinfo.io/json docker exec -it vpn curl icanhazip.com

En mijn torrent docker kan alleen van de "network: service:vpn" gebruik maken.

Uiteraard moet je je vpn docker even goed controleren of die over het goede ip naar buiten gaat.

(Ik ben juist overgeschakeld van openvpn naar wireguard want bij openvpn kreeg ik maar 20Mbps en bij wireguard de volledige 350Mbps).

WheeleE schreef op woensdag 29 maart 2023 @ 17:51:
[...]
Welk image gebruik je voor wireguard? Ik heb geen specifieke reden om openvpn te gebruiken anders dan dat dat de makkelijkste leek om op te zetten.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

version: "3"
services:

  vpn:
    container_name: vpn
    image: linuxserver/wireguard:latest
    restart: unless-stopped
    network_mode: space11
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    ports:
      - 9091:9091
    volumes:
      - ./wireguard:/config
      - /lib/modules:/lib/modules
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Europe/Amsterdam
      - LOG_CONFS=true
    sysctls:
      - net.ipv4.conf.all.src_valid_mark=1
      - net.ipv6.conf.all.disable_ipv6=0
      - net.ipv4.ip_forward=1

  transmission:
    container_name: transmission
    image: linuxserver/transmission:latest
    restart: unless-stopped
    network_mode: service:vpn
    depends_on:
      - vpn
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Eurpe/Amsterdam
      - USER=transmission
      - PASS=transmission
    volumes:
      - ./transmission:/config
      - /mnt/share:/mnt/share

# en nog wat meer containers :)

networks:
  space11:
    external: true

Ik heb hem hier ook nog even als root draaien (0:0) maar eigenlijk zou dat 1000:1000 (pi:pi) moeten worden.
(maar aangezien ik op deze server, naar slecht gebruik, alleen nog even root gebruikte, heb ik het even zo gelaten )

1
2
3
4
5
6
7
8
9
10
11

[Interface]
Address = 10.14.0.2/16
PrivateKey = yourprivatekeyforwireguard
PostUp = DROUTE=$(ip route | grep default | awk '{print $3}'); HOMENET=192.168.0.0/16; HOMENET2=10.0.0.0/8; HOMENET3=172.16.0.0/12; ip route add $HOMENET3 via $DROUTE;ip route add $HOMENET2 via $DROUTE; ip route add $HOMENET via $DROUTE;iptables -I OUTPUT -d $HOMENET -j ACCEPT;iptables -A OUTPUT -d $HOMENET2 -j ACCEPT; iptables -A OUTPUT -d $HOMENET3 -j ACCEPT;  iptables -A OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT && ip6tables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
DNS = x.x.x.x, y.y.y.y

[Peer]
PublicKey = yourpublickeyforwireguard
AllowedIPs = 0.0.0.0/0
Endpoint = z.z.z.z:51820

1

docker run --rm robinmanuelthiel/speedtest:latest

1

docker run --rm --network=container:vpn robinmanuelthiel/speedtest:latest

[Voor 3% gewijzigd door rvk op 29-03-2023 21:56]

rvk schreef op woensdag 29 maart 2023 @ 18:07:
[...]

linuxserver/wireguard:latest en linuxserver/transmission:latest Op een raspberry pi 4 8GB.

Maar ik ben ook maar net voor dit weekend begonnen met docker

(Overigens zal de poort 9091 niet nodig zijn voor alleen uitgaand van wireguard.
Die is volgens mij meer voor binnenkomende vpn verkeer.)

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

version: "3" services: vpn: container_name: vpn image: linuxserver/wireguard:latest restart: unless-stopped network_mode: space11 cap_add: - NET_ADMIN - SYS_MODULE ports: - 9091:9091 volumes: - ./wireguard:/config - /lib/modules:/lib/modules environment: - PUID=1000 - PGID=1000 - TZ=Europe/Amsterdam - LOG_CONFS=true sysctls: - net.ipv4.conf.all.src_valid_mark=1 - net.ipv6.conf.all.disable_ipv6=0 - net.ipv4.ip_forward=1 transmission: container_name: transmission image: linuxserver/transmission:latest restart: unless-stopped network_mode: service:vpn depends_on: - vpn environment: - PUID=1000 - PGID=1000 - TZ=Eurpe/Amsterdam - USER=transmission - PASS=transmission volumes: - ./transmission:/config - /mnt/share:/mnt/share # en nog wat meer containers :) networks: space11: external: true

De wg0.conf van wireguard:

Ik ben ook niet helemaal zeker of die PostUp compleet nodig is, maar het werkt bij mij.
x.x.x.x en y.y.y.y dns zijn ook de eigen dns servers van mijn vpn provider.
z.z.z.z:51820 is de wireguard endpoint
en je moet bij je provider een key pair (private en public) genereren voor wireguard (ik gebruik wireshark).
Ik heb hem hier ook nog even als root draaien (0:0) maar eigenlijk zou dat 1000:1000 (pi:pi) moeten worden.
(maar aangezien ik op deze server, naar slecht gebruik, alleen nog even root gebruikte, heb ik het even zo gelaten )
Nu lopend als pi:pi

code:

1 2 3 4 5 6 7 8 9 10 11

[Interface] Address = 10.14.0.2/16 PrivateKey = yourprivatekeyforwireguard PostUp = DROUTE=$(ip route | grep default | awk '{print $3}'); HOMENET=192.168.0.0/16; HOMENET2=10.0.0.0/8; HOMENET3=172.16.0.0/12; ip route add $HOMENET3 via $DROUTE;ip route add $HOMENET2 via $DROUTE; ip route add $HOMENET via $DROUTE;iptables -I OUTPUT -d $HOMENET -j ACCEPT;iptables -A OUTPUT -d $HOMENET2 -j ACCEPT; iptables -A OUTPUT -d $HOMENET3 -j ACCEPT; iptables -A OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT && ip6tables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT DNS = x.x.x.x, y.y.y.y [Peer] PublicKey = yourpublickeyforwireguard AllowedIPs = 0.0.0.0/0 Endpoint = z.z.z.z:51820

Mijn raspberry pi zelf zit dus niet achter de vpn. Alleen de docker stack zit op de vpn van de docker stack.

Ps: Speedtestje draaien direct op je pi:

code:

1	docker run --rm robinmanuelthiel/speedtest:latest

En in de vpn docker:

code:

1	docker run --rm --network=container:vpn robinmanuelthiel/speedtest:latest

1
2

docker exec -it vpn curl ipinfo.io/json
docker exec -it vpn curl icanhazip.com

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

version: "2"

services:
  vpn:
    container_name: vpn
    image: linuxserver/wireguard:latest
    restart: unless-stopped
    network_mode: media
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    ports:
      - 8083:8083
      - 6887:6887
      - 6887:6887/udp
    volumes:
      - /docker/vpn:/config
      - /lib/modules:/lib/modules
    environment:
      - TZ=Europe/Amsterdam
      - LOG_CONFS=true
    sysctls:
      - net.ipv4.conf.all.src_valid_mark=1
      - net.ipv6.conf.all.disable_ipv6=0
      - net.ipv4.ip_forward=1

  qbittorrent:
    image: lscr.io/linuxserver/qbittorrent:latest
    container_name: qbittorrent
    environment:
      - TZ=Etc/UTC
      - WEBUI_PORT=8083
    volumes:
      - qbittorrent:/config
      - /download:/downloads
    network_mode: service:vpn
    depends_on:
      - mullvad
    restart: unless-stopped

volumes:
  qbittorrent:
  
networks:
  media:
    external: true

[Voor 11% gewijzigd door WheeleE op 30-03-2023 11:42]

WheeleE schreef op donderdag 30 maart 2023 @ 11:30:
[...]
So far so good dus. Maar...bij de qtorrentwebinterface komen lukt nog even niet. Blijkbaar zit het netwerkstukje voor wireguard anders in elkaar dan met een openvpn-container.
To be continued!

rvk schreef op donderdag 30 maart 2023 @ 16:35:
[...]

Ik heb jouw code hier ook even ingehangen (met qbittorrent) en ik kon de webgui van qbittorrent direct bereiken.

Als dat bij jou niet het geval is dan moet je misschien in de PostUp van de vpn (in die wg0.conf) de HOMENETWORK aanpassen. De server op mijn interne netwerk zit op 192.168.2.21. Dus die 192.168.0.0/16 omvat ook dat netwerk. Als jij niet op 192.168.x.x of 10.x.x.x zit, dan moet je dat dus misschien aanpassen.

Heb je nu overigens nog een lek in qbittorrent of gaat dat nu wel goed?
(ik weet niet welke torrent-service je daarvoor gebruikt om dat goed te controleren.)

1

PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT && ip6tables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT

[Voor 10% gewijzigd door WheeleE op 30-03-2023 19:50]

Jazco2nd schreef op donderdag 30 maart 2023 @ 21:23:
@WheeleE @rvk
Zie deze regel die ik bij jullie beide mis:
https://github.com/zilexa...r/docker-compose.yml#L423

Refereert naar:
https://github.com/zilexa...42204584e/docker/.env#L42
Ofwel je LAN IP adress range, je VPN IP address range.

Jazco2nd schreef op donderdag 30 maart 2023 @ 21:23:
Additioneel: die CAP_ADD dingen wil je zoveel mogelijk vermijden en zo min mogelijk van hebben..

When routing via Wireguard from another container using the service option in docker, you might lose access to the containers webUI locally. To avoid this, exclude the docker subnet from being routed via Wireguard by modifying your wg0.conf like so (modifying the subnets as you require):

code:

1 2 3 4 5 6

[Interface] PrivateKey = <private key> Address = 9.8.7.6/32 DNS = 8.8.8.8 PostUp = DROUTE=$(ip route | grep default | awk '{print $3}'); HOMENET=192.168.0.0/16; HOMENET2=10.0.0.0/8; HOMENET3=172.16.0.0/12; ip route add $HOMENET3 via $DROUTE;ip route add $HOMENET2 via $DROUTE; ip route add $HOMENET via $DROUTE;iptables -I OUTPUT -d $HOMENET -j ACCEPT;iptables -A OUTPUT -d $HOMENET2 -j ACCEPT; iptables -A OUTPUT -d $HOMENET3 -j ACCEPT; iptables -A OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT PreDown = HOMENET=192.168.0.0/16; HOMENET2=10.0.0.0/8; HOMENET3=172.16.0.0/12; ip route del $HOMENET3 via $DROUTE;ip route del $HOMENET2 via $DROUTE; ip route del $HOMENET via $DROUTE; iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT; iptables -D OUTPUT -d $HOMENET -j ACCEPT; iptables -D OUTPUT -d $HOMENET2 -j ACCEPT; iptables -D OUTPUT -d $HOMENET3 -j ACCEPT

[Voor 30% gewijzigd door rvk op 30-03-2023 21:46]

rvk schreef op woensdag 29 maart 2023 @ 18:07:
[...]

code:

1 2 3 4 5 6 7 8 9 10 11

[Interface] Address = 10.14.0.2/16 PrivateKey = yourprivatekeyforwireguard PostUp = DROUTE=$(ip route | grep default | awk '{print $3}'); HOMENET=192.168.0.0/16; HOMENET2=10.0.0.0/8; HOMENET3=172.16.0.0/12; ip route add $HOMENET3 via $DROUTE;ip route add $HOMENET2 via $DROUTE; ip route add $HOMENET via $DROUTE;iptables -I OUTPUT -d $HOMENET -j ACCEPT;iptables -A OUTPUT -d $HOMENET2 -j ACCEPT; iptables -A OUTPUT -d $HOMENET3 -j ACCEPT; iptables -A OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT && ip6tables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT DNS = x.x.x.x, y.y.y.y [Peer] PublicKey = yourpublickeyforwireguard AllowedIPs = 0.0.0.0/0 Endpoint = z.z.z.z:51820

[..]

1
2
3
4
5
6
7
8
9
10
11

[Interface]
PrivateKey = <private key>
Address = <ip4 adres>,<ip6 adres>
DNS = <dns van vpn provider>
PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT && ip6tables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT && ip6tables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT

[Peer]
PublicKey = <public key>
AllowedIPs = 0.0.0.0/0,::0/0
Endpoint = <endpoint ip adres>:<poortnummer>

[Voor 16% gewijzigd door WheeleE op 01-04-2023 19:58. Reden: verduidelijking wg0.conf]

WheeleE schreef op zaterdag 1 april 2023 @ 17:22:
[...]
(Mijn thuisnetwerk draait geheel in 192.169.x.x)

rvk schreef op zaterdag 1 april 2023 @ 19:48:
[...]

Bedoel je echt 192.169.x.x?
Want normaal is het 192.168.x.x.

Daar zit dan jouw probleem en dan moet je dus ook 192.169.0.0/16 gebruiken (ipv 192.168.0.0/16).

[Voor 16% gewijzigd door WheeleE op 01-04-2023 19:59]

WheeleE schreef op zaterdag 1 april 2023 @ 19:57:
[...]
Dat was/is een tikfout, alles zit in 192.168.x.x

[Voor 36% gewijzigd door ThinkPad op 01-04-2023 20:34]

ThinkPad schreef op zaterdag 1 april 2023 @ 20:30:
Ik heb Docker draaien in Ubuntu Server. Toen ik er nog wat minder kennis van had ooit een tutorial gevolgd om Docker te installeren. Blijkbaar is dat toen via 'snap' gegaan. Is geen aanrader, ik heb regelmatig als ik bezig ben met wat containers aanmaken/verwijderen etc. de melding too many open files. Ook via Portainer komt dat wel eens terug.

Binnenkort maar een nieuwe VM bouwen om Docker in te draaien, maar dit keer lekker via de native methode. Het opbouwen van de VM is een mooie oefening om met Ansible te doen, onlangs training in gehad via het werk.

1

--ulimit nofile=32768:32768

rvk schreef op zaterdag 1 april 2023 @ 20:33:
Even een klein weetje...
Niet alle docker containers hebben bash in zich.
Maar soms kom je er toch in met sh.
Dus als dit niet werkt

code:

1	docker exec -it container_name bash

kun je ook dit proberen

code:

1	docker exec -it container_name sh

[Voor 13% gewijzigd door RobertMe op 01-04-2023 21:16]

ravedek schreef op zaterdag 1 april 2023 @ 21:04:
[...]


Als tijdelijke workaround kan je met ulimit het max. aantal open files verhogen.
Bij mij werd het probleem veroorzaakt door de InfluxDB container en bulk import van data. Dat heb ik opgelost door de container een extra parameter mee te geven:

code:

1	--ulimit nofile=32768:32768

Linkje.

Zelf ben ik bezig om over te stappen van Ubuntu met Docker (ook snap) naar NixOS met Podman, ook erg interessant

ThinkPad schreef op zaterdag 1 april 2023 @ 22:42:
[...]

Ja in de hoek van ulimit ophogen zat ik ook al inderdaad. Ik heb wel InfluxDB draaien, maar was niet met die container bezig, dus de parameter aan de Influx container doorgeven weet ik niet of dat gaat helpen. Hoe kwam jij erachter welke container de schuldige was?

Arunia schreef op maandag 3 april 2023 @ 11:44:
Ik kom dat ip-adres ook totaal nergens tegen en snap er dus geen hout meer van hoe dat zit.

Arunia schreef op maandag 3 april 2023 @ 12:23:
Maar begrijp niet helemaal waarom er een ip-adres ergens vandaan getoverd wordt welke niet te vinden is in docker zelf. Of ik kijk dan ergens overheen, wat natuurlijk prima kan.

Arunia schreef op maandag 3 april 2023 @ 11:44:
Als ik ping op een ip-adres van de firefly container, dan komt er niets uit. Ping ik op dat andere ip-adres welke de importer geeft, dan krijg ik wel reactie. Voer ik deze als url in met bijbehorende poort, dan kom ik ook gewoon op die pagina.

[Voor 3% gewijzigd door rvk op 03-04-2023 12:49]

Arunia schreef op maandag 3 april 2023 @ 12:54:
[...]
En toen werkte het na weken ineens wel. Gewoon alle voor configuratie weggelaten en kreeg daarna ineens vragen te beantwoorden. Dit gedaan, 1 500 error en daarna werkte het ineens wel. >_<
Schiet mij maar lek.

Jazco2nd schreef op donderdag 30 maart 2023 @ 21:47:
@rvk excuus, ik las daar helemaal overheen!
Ik gebruik inderdaad PIA. Voor torrents was dat 2 of 3 jaar geleden de enige service die én port forwarding ondersteunde (vrij essentieel voor een torrent client) én een image beschikbaar was die automatisch snelste server zoekt + portforwarding (incl wijzigingen) automatisch configureert en update in je QBittorrent cliënt.

Vandaar dat deze image vrij populair werd.

Zo heb je helemaal geen ommekijk meer hiernaar.

Private Internet Access supports port forwarding required for torrenting. Very few support this, without it your speeds will be slow.