Hur skapa subnätverk uppkopplat till VPN? Med docker?

får man fråga varför du tänker att det är ett subnätverk du behöver? eller syftet med hela äventyret så att säga. Är det en VPN-tjänst du vill ansluta till, eller ska du köra en VPN-server från en docker container som du inte ska kunna ansluta till från det "vanliga" lokala nätverket?

Mig veterligen är det inte möjligt. Du behöver en routerfunktion typ pfsense för att kunna prata mellan nätverken och jag tror inte man kan köra pfsense eller motsv i en container. Det blir knöligt för om du vill isolera ett nätverk eller en del av ett nätverk (subnät) så kommer det nätverket inte kunna prata med din router som är anslutningen till internet. Beroende på vad du har för router så kan du göra ett separat nätverk och göra en ny anslutning till din server, men det medför att bara din server kommer kunna prata där, inga andra enheter såvida du inte har en switch ansluten.

Jag försökte köra en docker container från NordVPN (har dock bytt bort dem nu pga osäkra ägarförhållanden) och sedan internt i själva docker routa all trafik igenom NordVPN-containern. Som du skriver är det väldigt besvärligt med docker och jag har inte hittat något riktigt bra sätt för detta (typ att sätta dockern med VPN-container som default gateway för resterande dockers). Är ingen expert på docker-nätverk, men det verkar lämna en hel del övrigt att önska. Som nätverksnörd blir man bedrövad när man försöker hitta dokumentationen...

Det man kan göra är med policy based routing identifiera trafiken baserat på portnummer exempelvis. Då kan man välja att skicka viss trafik igenom en VPN-tunnel och viss trafik rakt ut med en router/firewall. Det känns dock inte som en riktigt bra variant.
Problemet är ju att datorn/servern med docker-miljön skickar ut trafiken från sin egna IP, så för routern ser det likadant ut oavsett om det är en docker eller datorn/servern själv.

Det slutade hur som helst med att all trafiken får burken med docker går ut krypterat. Då har jag fördelen att ha VMware, så jag kan ha ett par burkar som krypteras och ändå skicka min och de andras datorer rakt ut om jag vill.

Som jag tolkar det så vill du koppla upp en container till vpn, med killswitch.

Jag kör denna: https://hub.docker.com/repository/docker/aiwi/docker-qbittorr...

Det är qbittorent som kör över vpn med killswitch. Du kan se koden här, och modifiera efter behov:

https://github.com/aiwipro/docker-qBittorrentvpn

Det är mycket möjligt att du kan köra någon av de vpn-clienter du angett, och sedan skapa ett gemensamt nätverk för de containers som skall vara med i detta nätverk. Detta genom att i tex din docker compose definiera ett gemensamt nätverk för dina containers:

version: "3"
services:
    mycontainer:
        container_name: mycontainer
        restart: always
        networks:
          my_network:
        environment:
            - ...

networks:
  my_network:
    ipam:
     config:
       - subnet: 172.20.0.0/16

Jag kör nog ännu mer komplicerat där en Clavister segmenterar i VLAN och två PFSense sköter all kryptering med lastbalansering och redundans (eller snarare står Clavister för redundans och balansering, för PFSense skickar det bara ut via wireguard eller OpenVPN beroende på inkommande länk-VLAN).
Företrädelsevis är det precis som för dig segmenterat för VLAN, men inte helt då jag för vissa burkar bara vill att vissa tjänster ska krypteras osv.

Ska titta på macvlan senare, men det känns inte riktigt aktuellt då de containers som jag vill ha krypterade ligger på en burk där 100% krypteras. De containers (som Plex) som jag vill ha åtkomlig utifrån (via certfikat från Letsencrypt) ligger på en burk som inte krypterar något.

Sedan kör jag IOT-devices på 2.4GHZ och på ett eget VLAN. Fläktar (Dyson) och sådant ska inte in på det interna nätet!

Nej, jag förstår att det inte har med om burken kör krypterat eller inte att göra. Jag valde helt enkelt att låta allt från den burken bli krypterat för att jag inte visste om macvlan helt enkelt. Det låter som det alternativ jag letade, men då det inte fanns löste jag det på mitt sätt istället.

Dock kör jag uteslutande docker-compose, så jag får kolla hur man löser macvlan den vägen. Förmodligen skapar man väl macvlan utanför docker-compose, men man lägger de containers man vill ha på respektive VLAN under network på respektive container.

Off topic. Jäklar vad jag felsökte igår när kunden lagt vlan 1 taggat mot brandväggen. Jag har bara aldrig sett det, utan default vlan brukar alltid vara untagged. I alla fall i min värld.