Nextcloud // Docker Netzwerk funktioniert nicht

german
nextcloud

#1

Hallo zusammen,

habe gerade frisch Nextcloud installiert. Nach einigem Hin und Her mit dem Verlegen des Datenverzeichnisses (siehe hier) lief dann erstmal alles wunderbar mit LDAP-Anbindung, etc.

Bis zu dem Zeitpunkt, an dem ich weitere Apps hinzufügen wollte. Das geht nämlich nicht, im Logfile sehe ich curl error 7, sobald irgend eine URI aufgerufen werden soll. In den Container eingelogged und mit den gegebenen, stark eingeschränkten Möglichkeiten versucht, zu debuggen. Ein händisches curl ergab

root@nextc-19804390:/# curl -i http://google.de
curl: (7) Failed to connect to google.de port 80: Connection timed out

Laut Google sollte Docker über seine Bridge von alleine nach draußen kommen, vermutlich daher konnte ich nicht wirklich eine (für mich verständliche) Anleitung finden, um das Networking herzustellen.

Falls jemand eine Idee hat, wäre ich dankbar, kenne mich nämlich mit Docker nicht sonderlich gut aus.

Viele Grüße
Holle H.


Falls es hilft:

Container...

root@nextc-19804390:/# ip addr
[...]
22: eth0@if23: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.17.0.3/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe11:3/64 scope link
       valid_lft forever preferred_lft forever

Auf dem Host...

docker0   Link encap:Ethernet  Hardware Adresse e6:8f:c8:32:37:fb
      inet Adresse:172.17.42.1  Bcast:0.0.0.0  Maske:255.255.0.0
      inet6-Adresse: fe80::a860:7fff:fecc:b4e2/64 Gültigkeitsbereich:Verbindung
      UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
      RX packets:74310 errors:0 dropped:0 overruns:0 frame:0
      TX packets:795764 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenlänge:0
      RX bytes:26806907 (25.5 MiB)  TX bytes:115674462 (110.3 MiB)


root@hera:~# /sbin/iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  tcp  --  172.17.0.3           172.17.0.3           tcp dpt:80

Chain DOCKER (0 references)
target     prot opt source               destination
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:40000 to:172.17.0.3:80

root@hera:/var/lib/docker# ps aux | grep docker
root      3526  0.0  0.0  11316  2004 pts/6    S+   18:06   0:00 grep docker
root      5988  0.0  0.4 217124 17824 ?        Sl   Mär06   2:08 /usr/bin/docker -d -p /var/run/docker.pid --storage-driver=overlay --bip=172.17.42.1/16
root     23319  0.0  0.1  80240  5004 pts/2    Sl+  16:35   0:00 docker exec -it 2167cbb5f3794dcc6cf0ef2d6710b30c54ed8b1234d3a861c62b45fc4ff1375c /bin/bash
root     30386  0.0  0.1  73388  5316 ?        Sl   13:47   0:00 docker-proxy -proto tcp -host-ip 0.0.0.0 -host-port 40000 -container-ip 172.17.0.3 -container-port 80

#2

Wie auch in https://help.univention.com/t/nextcloud-und-zugriff-auf-nfs-mounts/5351 würde ich zunächst fragen, ob es in Ihrem Netzwerk grundsätzliche Einschränkungen des Internetzugriffs gibt.

Desweiteren sieht es auf meiner Testmaschine so aus:

root@ucs-9843:~# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  172.17.0.0/16        0.0.0.0/0
MASQUERADE  tcp  --  172.17.0.1           172.17.0.1           tcp dpt:80

Chain DOCKER (2 references)
target     prot opt source               destination
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:40000 to:172.17.0.1:80

Die NAT-Regeln werden in der Funktion net_core_rules in /etc/security/packetfilter.d/20_docker.sh gebaut.


#3

Hallo,

ich habe einen neuen UCS 4.2.0 mit Kopano und Nextcloud installiert und erhalte beim Aufruf von Nextcloud folgenden Fehler:

Woran liegt es?

Danke

Frank


#4

@my_ucs_2017

sollen wir die hier oder im Thread nebenan antworten?

Cross-Posting macht den Helfern hier nur unnötige Arbeit.