Hallo!
Ich habe eine App in einem Container, die mit dem Internet kommuniziert. Gibt es irgendeine Möglichkeit diese durch einen VPN zu schleifen, und zwar OHNE dass der gesamte Verkehr des NAS über VPN läuft? Oder müsste ich dazu nen komplett neuen Container mit integrierten VPN erstellen!?
Vielen Dank schonmal! 
Ja, das ist möglich und beide Varianten sind denkbar. Ich persönlich habe das ganze auf meinem Laptop mit einem Openconnect VPN (Uni Zugang) und einem Chrome Browser realisiert. Auch eine Variante mit sshuttle habe ich schon mal getestet. Für die Openconnect Variante habe ich folgendes Dockerfile verwendet:
FROM ubuntu:latest
# Replace 1000 with your user / group id
RUN export uid=1000 gid=1000 && \
mkdir -p /home/developer && \
mkdir -p /etc/sudoers.d && \
mkdir -p /usr/share/desktop-directories/ && \
echo "developer:x:${uid}:${gid}:Developer,,,:/home/developer:/bin/bash" >> /etc/passwd && \
echo "developer:x:${uid}:" >> /etc/group && \
echo "developer ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers.d/developer && \
chmod 0440 /etc/sudoers.d/developer && \
chown ${uid}:${gid} -R /home/developer
RUN apt-get update
RUN apt-get install wget -y
RUN apt-get install sudo -y
RUN apt-get install sshuttle gnupg2 -y
RUN wget -q -O - https://dl.google.com/linux/linux_signing_key.pub | sudo apt-key add -
RUN echo "deb http://dl.google.com/linux/chrome/deb/ stable main" >> /etc/apt/sources.list.d/google.list
ADD start.sh /home/developer/
RUN chmod +x /home/developer/start.sh
RUN mkdir -p /home/developer/.config/google-chrome/
RUN touch "/home/developer/.config/google-chrome/First Run"
RUN apt-get update
RUN apt-get install google-chrome-stable dbus-x11 packagekit-gtk3-module libcanberra-gtk-module -y
RUN chown -R developer:developer /home/developer
RUN mkdir /var/run/dbus/
USER developer
ENV HOME /home/developer
CMD /home/developer/start.shund so sieht das dazu passende Startskrip start.sh aus:
#!/bin/bash
sudo dbus-daemon --system --fork
res=$(QT_X11_NO_MITSHM=1 yad --entry --text="VPN Password:" --hide-text)
echo "$res" | sudo openconnect --authgroup="HTW-vpn-all" --user="<USERNAME>" <MEINE_TOLLE_UNI>.de &
/usr/bin/google-chrome-stableDie grafischen Sachen und zu installierenden Pakete musst du bei dir natürlich anpassen, das soll nur ein Ansatz sein, der bei mir erfolg hatte. Nach dem bauen des oben genannten Images mittels docker build . habe ich den Container wie folgt gestartet:
docker run --privileged -ti --rm \
-e DISPLAY=$DISPLAY \
--env QT_X11_NO_MITSHM=1 \
-v /tmp/.X11-unix:/tmp/.X11-unix \
<IMAGE_HASH>Damit fragt er zunächst in einem kleinen Fenster nach dem VPN Passwort (welches ich ungern im Klartext speichern wollte) und startet dann einen Chrome Browser, dessen Traffic durch das VPN geleitet wird, während mein restlicher Internetverkehr über das normale Netz geleitet wird.
Die zweite Variante mit einem eigenen Container ist möglich, falls du dich mit Routing gut auskennst (was bei mir nicht der Fall ist...)