< Startseite >

10.0.1.1

für den DSL-Router

10.0.1.2

für den Fileserver

10.0.1.3

für den Druck-Server

10.0.1.4

für den lokalen DNS mit Pihole

10.0.1.10 und 10.0.1.11

für zwei IP-Cams

10.0.1.20, 10.0.1.21 und 10.0.1.22

für drei headless auf dem Server betriebene virtuelle Maschinen

10.0.1.50 bis 10.0.1.99

für alle normalen Client-Geräte eine flexibel zugeteilte IP-Adresse via DHCP

Netzadressbereich

CIDR-Notation

Historische Netzklasse

Zweck

10.0.0.0    bis  10.255.255.255

172.16.0.0  bis  172.31.255.255

192.168.0.0 bis  192.168.255.255

10.0.0.0/8    

172.16.0.0/12  

192.168.0.0/16

A

B

C

Private Adressen für lokale Netzwerke ohne Zugang zum öffentlichen Adressraum (Internet)

169.254.0.0 bis  169.254.255.255

169.254.0.0/16

Link-Local-Addresses haben nur Gültigkeit innerhalb abgeschlossener Netzwerksegmente

127.0.0.0   bis  127.255.255.255

127.0.0.0/8

Loopback-Addresses = localhost, die Selbst-Adresse eines Hosts/NICs

224.0.0.0   bis  239.255.255.255

nicht definiert (Leading-Bits 1110)

Multicast-Adressen

Netzadressbereich

Zweck

fe80::/64

LLA

Link-Local-Adresses haben nur Gültigkeit innerhalb abgeschlossener Netzwerksegmente

fc00::/7    (fc00... bis fdff...)

ULA

Unique Local Addresses für lokale Netzwerke bzw. über Tunnel verbundene lokale Netze ohne Zugang zum öffentlichen Adressraum (Internet)

2000::/3    (2000... bis 3fff...)

GUA

Global Unicast Addresses für die Verwendung im öffentlichen Adressraum (Internet)

::1/128

lo

Loopback = localhost, die Selbst-Adresse eines Hosts/NICs

ff00::/8    (ff...)

Multicast-Adressen

[Match]

MACAddress=dd:1e:ca:km:08:xy

Type=wlan

[Link]

Name=wlan0

$ su -

# nano /etc/apt/sources.list

deb http://deb.debian.org/debian/ buster main contrib non-free

deb http://security.debian.org/debian-security buster/updates main contrib non-free

deb http://deb.debian.org/debian/ buster-updates main contrib non-free

# apt update

# apt full-upgrade

# journalctl -b | grep -i "firmware"

Jul 07 14:19:55 tomspc dhclient[466]: Failed to get interface index: No such device

Jul 07 14:19:56 tomspc kernel: r8169 0000:03:00.0: firmware: failed to load rtl_nic/rtl8168e-3.fw

Jul 07 14:19:56 tomspc kernel: iwlwifi 0000:05:00.0: firmware: failed to load iwlwifi.ucode (-2)

Jul 07 14:19:56 tomspc kernel: iwlwifi 0000:05:00.0: Direct firmware load for iwlwifi.ucode failed with error -2

Jul 07 14:19:56 tomspc NetworkManager[380]: <warn>  device (wlan0): firmware may be missing.

# apt search  rtl_nic/rtl8168e

firmware-realtek/stable,now 20190114-2            Binary firmware for Realtek wired/wifi/BT adapters

# apt search  iwlwifi

firmware-iwlwifi/stable 20190114-2                Binary firmware for Intel Wireless cards

# apt install firmware-realtek firmware-iwlwifi

# systemctl reboot

Für eine erste Diagnose zur Feststellung des Istzustands empfehle ich ‚systemctl‘ zur Abfrage der von systemd automatisch in der Bootphase gestarteten Dienste zu verwenden. Es handelt sich hier um die jeweiligen Ausgaben auf verschiedenen PCs.

# systemctl -l | egrep -i "network|connect"

1. Auf meinem Laptop wurde zum Beispiel der im Bash-Foreground laufende Network-Manager selnic gestartet:

2. Auf diesem System wurde das sysv-Script /etc/init.d/networking gestartet:

3. Auf  diesem PC wird das Netzwerk durch systemd-networkd.service gestartet.

4. Auf  diesem PC wurde der Network-Manager und das sysv-Script /etc/init.d/networking gestartet:

5. Auf  diesem PC wird das Netzwerk durch eine Custom-Service-Unit gestartet:

6. Auf  diesem PC wurde der Network-Manager ‚connman‘ und das sysv-Script /etc/init.d/networking gestartet:

Stellvertretend für alle obigen Varianten schauen wir uns nur den Status der Service-Units des letzten Systems an. Die Vorgehensweise ist bei allen anderen immer gleich.

Zusätzlich empfehle ich, auch einen Blick ins Journal zu werfen. Um einen Eindruck von den möglichen Ergebnissen bei der Suche im Journal zu vermitteln, beschreibe ich hier im folgenden die Log-Auszüge von verschiedenen Systemen, welches jedes für sich das Netzwerk auf eine eigene Art startet.  

# journalctl -b | egrep -i "network|connection"

1. Der folgende Journal-Auszug deutet auf das alte sysv-Script /etc/init.d/networking in Verbindung mit ifup@.service hin:

2. Auf diesem PC wird das Netzwerk durch systemd-networkd gestartet:

3. Auf diesem PC wird das Netzwerk durch den Netzwerk-Manager ‚connman‘ gestartet:

5. Auf diesem Laptop wird das Netzwerk durch den Bash-Netzwerk-Manager ‚selnic‘ gestartet:

4. Auf meinem PC wird das Netzwerk aufgrund besonderer Anforderungen durch eine spezielle Service-Unit gestartet:

Zielvorstellung bzw. beabsichtigter Verwendungszweck für diese Service-Unit:

Stationäre kabelverbundene PCs, die eine lokale IPv4-Adresse bzw. einen IPv6-Prefix vom DHCP-Server (DSL-Router) beziehen.

# cd /

# find /etc -iname "*networking" -print

/etc/rc0.d/K01networking

/etc/rc6.d/K01networking

/etc/rcS.d/S01networking

/etc/default/networking

/etc/init.d/networking

Hier wurde eine Verbindung nach altem Standard gefunden:

sysv = obsolet => ausplanen

Für die folgenden Beispiele entweder die Service-Units einzeln auf active und  enabled prüfen oder explizit nur die ansprechen, die zuvor (s.o.) ermittelt wurden!

Zielvorstellung bzw. beabsichtigter Verwendungszweck für diese Service-Unit:

Ein stationärer kabelverbundener PC,  der z.B. als Samba-Server die statische IPv4-Adresse 10.0.1.2 zugewiesen bekommen soll. IPv6-Global-Unicast-Adressen sind davon nicht betroffen und werden unabhängig davon via RA-Prefix-Delegation und SLAAC erstellt.

# dpkg -l wpasupplicant iw

||/ Name           Version       Architektur  Beschreibung

+++-==============-=============-============-==============================================

ii  iw             5.0.1-1       amd64        tool for configuring Linux wireless devices

ii  wpasupplicant  2:2.7+git     amd64        client support for WPA and WPA2 (IEEE 802.11i)

Wenn diese beiden Pakete noch nicht vorhanden sind, müssen sie jetzt installiert werden:

# apt install wpasupplicant iw

# ip link set wlan0 up

# iw wlan0 scan | grep -i ssid

SSID: Toms_AP  

SSID: FRITZ!Box 7430 IS

SSID: Vodafone Hotspot

SSID: FRITZ!Box 7412

SSID: DIRECT-06-HP DeskJet 2600 series

SSID: Vodafone-30AB

SSID: UschisNetz

SSID: KalleKloppersFritte

usw...

# ip link set wlan0 down

                 SSID    WLAN-Password                     

# wpa_passphrase Toms_AP mein_geheimes_wlan_password >/etc/wpa_supplicant/toms_ap.conf

# cat /etc/wpa_supplicant/toms_ap.conf

network={

    ssid="Toms_AP"

    #psk="mein_geheimes_wlan_password"

    psk=7425aa1c7133ea8f5b412a99c51fc6f32371719c03f3550f5d5cb780accbd8c3

}

# nano /etc/wpa_supplicant/toms_ap.conf

 ctrl_interface=/var/run/wpa_supplicant

 ap_scan=1

 network={

    scan_ssid=1

    priority=20

    id_str="Guest"

    ssid="Toms_AP"

    psk=7425aa1c7133ea8f5b412a99c51fc6f32371719c03f3550f5d5cb780accbd8c3

    proto=WPA RSN

    group=CCMP TKIP

    pairwise=CCMP TKIP

    key_mgmt=WPA-PSK

}

# ip link set dev wlan0 up

# wpa_supplicant -B -i wlan0 -c /etc/wpa_supplicant/toms_ap.conf

# dhclient wlan0

Interface und Verbindung öffnen, eine IP-Adresse anfordern

# ip a

Wenn eine IP-Adresse aus dem lokalen Netzwerk angezeigt wird, sollte es jetzt möglich sein, mit einem Browser Web-Seiten im Internet zu öffnen-

# pkill -f /etc/wpa_supplicant/toms_ap.conf

# ip link set dev wlan0 down

# ip addr flush dev wlan0

Zum Schluss den laufenden Prozess beenden und aufräumen

Zielvorstellung bzw. beabsichtigter Verwendungszweck für diese Service-Unit:

Stationär verwendete via WLAN verbundene PCs/Laptops/Notbooks, die eine lokale IPv4-Adresse bzw. einen IPv6-Prefix vom DHCP-Server (DSL-Router) beziehen.

# cd /etc/systemd/system

# systemctl start network.service

Teststart, um auf Fehler zu prüfen. Wenn fehlerfrei, dann wie zuvor neue Netzwerkverbindung aktivieren

# ip a

# systemctl status network.service

# systemctl enable network.service

Created symlink /etc/systemd/system/multi-user.target.wants/network.service → /etc/systemd/system/network.service.

Zielvorstellung bzw. beabsichtigter Verwendungszweck für diese Service-Unit:

Ein stationärer kabelverbundener Desktop-PC, der zusätzlich lokale ad hoc vom Anwender zu startende VMs beinhaltet. Die VMs treten im lokalen Netz als eigenständige Clients mit einer eigenen IP-Adresse im LAN auf. Und weil die VMs eigenständige LAN-Clients sind, ist dadurch verhindert, dass die Datenpakete einer VM im LAN nicht als scheinbar ursprünglich vom physischen Host kommend erkannt werden, was der Falle bei Host-NAT via Masquerading wäre. Die Netzwerkanbindung der VM erfolgt über ein virtuelles Bridge-Device.

# nano /etc/sysctl.d/sysctl_ipv6_tpc.conf

net.ipv6.conf.all.forwarding=1

net.ipv6.conf.default.disable_ipv6=0

net.ipv6.conf.default.forwarding=1

net.ipv6.conf.default.autoconf=0

net.ipv6.conf.default.use_tempaddr=0

net.ipv6.conf.default.accept_ra=0

net.ipv6.conf.eth0.disable_ipv6=1

net.ipv6.conf.eth0.forwarding=0

net.ipv6.conf.eth0.autoconf=0

net.ipv6.conf.eth0.use_tempaddr=0

net.ipv6.conf.eth0.accept_ra=0

# sysctl --system

$ export LIBVIRT_DEFAULT_URI='qemu:///system'

$ virt-install --connect qemu:///system \

--virt-type=kvm \

--network=bridge=br0,model=virtio \

--name=testsystem \

--memory 4096 \

--vcpus=4 \

--disk=/var/lib/libvirt/images/testsystem.cow2,format=qcow2,size=8  \

--cdrom=/tmp/firmware-10.4.0-amd64-netinst.iso \

--noautoconsole \

--os-type=linux \

--os-variant=debian10 \

--hvm \

--graphics spice,listen=127.0.0.1

Ist im Terminal notwendig, wenn die VM-Prozesse vom angemeldeten Users bedient werden sollen.

Dieses mehrzeilige „Kommando-Paket“ komplett als 1 Befehl im Terminal ausführen.

- Name der VM, kann geändert werden

- Der VM zugewieser RAM (hier sind 8 GB installiert)

- Anzahl CPUs erlauben  (dieses System hat nur 4)

- Default-Dir, änderbar (dann Rechte beachten)

- Installer-ISO         (liegt in Dir mit rwx r-x r-x)

Achtung: Bitte dieses „Kommando-Paket“ nicht direkt per Copy/Paste in ein Terminal einfügen, sondern lieber den Umweg über einen Editor wählen, um zu kontrollieren, ob sich unerwünschte Leerzeilen eingeschlichen haben. Wenn ja müssen diese zuerst entfernt werden!

Installation wird gestartet …

Zuweisen von 'testsystem.cow2'  8 GB

Sie können mit der Konsole verbinden, um den Installationsvorgang abzuschließen.

$ virt-viewer testsystem

Öffnen des virtuellen Monitors, hier den Installer

$ export LIBVIRT_DEFAULT_URI='qemu:///system'

Umgebungsvariable für die Qemu/KVM-Infrastruktur. Ist notwendig, damit ein Anwender die VM im Terminal bedienen kann. Die VM-Prozesse selber laufen dann unter dem virtuellen User libvirt-qemu.

$ virsh start testsystem

   Domain testsystem started

$ virt-viewer testsystem &

VM starten und den virtuellen Monitor anzeigen. Weil die Anzeige mit ‚&‘ in den Hintergrund gelegt wurde, kann das Terminal mit der Eingabe exit beendet werden.

Auf dem Host-PC:

# mkdir /media/kvm-share-dir

# chown root:root /media/kvm-share-dir

# chmod 777 /media/kvm-share-dir

Einrichten eines gemeinsam genutzten Share-Directory

# virsh edit surfer

<devices>

    <filesystem type='mount' accessmode='mapped'>

      <source dir='/media/kvm-share-dir'/>

      <target dir='sharedir'/>

    </filesystem>

</devices>

Kann auch grafisch über den Virt-Manager eingerichtet werden

Diese 4 Zeilen innerhalb der bereits in der Datei bestehenden Sektion <devices> einfügen

Alternativ kann auch im Virt-Manager im Settings-Menü der VM  über die Option „Gerät hinzufügen“ und dann über die Gerätebezeichnung „Dateisystem“ das gemeinsame Verzeichnis als Ressource der VM hinzugefügt werden.

‚sharedir‘ ist der symbolische Name des Verzeichnisses, unter dem die VM darauf zugreifen kann. Das tatsächliche Verzeichnis auf dem Host-PC ist der VM nicht bekannt.

In der laufenden VM:

# apt install spice-vdagent

Unterstützt in der VM ein bidirektionales Clipboard zwischen Host und VM.

# mkdir -p /media/kvm-share-dir

# chown root:root /media/kvm-share-dir

# chmod 777 /media/kvm-share-dir

Einrichten eines gemeinsam genutzten Verzeichnisses und der Mount des Verzeichnisses mit dem symlink „sharedir“  vom Host-PC.

# mount sharedir /media/kvm-share-dir -t 9p -o trans=virtio,version=9p2000.L

Die folgende Serve-Unit verbindet das Share-Dir in der VM automatisch bei Systemstart:

# nano /etc/systemd/system/kvm-share-dir.service

[Unit]

Description=thlu:kvm-share-dir.service      Mount a KVM-Host-Share-Directory

After=basic.target

Conflicts=shutdown.target

[Service]

Type=oneshot

RemainAfterExit=yes

ExecStart=/usr/bin/mount sharedir /media/kvm-share-dir -t 9p -o rw,trans=virtio,version=9p2000.L

ExecStop=/usr/bin/umount sharedir

[Install]

WantedBy=multi-user.target

# cd /etc/systemd/system

# systemctl enable kvm-share-dir.service

# ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000

    link/ether d0:3g:ff:9a:xy:zz brd ff:ff:ff:ff:ff:ff

    inet 10.0.1.56/24 brd 10.0.1.255 scope global dynamic eth0

       valid_lft 863975sec preferred_lft 863975sec

3: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000

    link/ether d0:3g:ff:9a:aa:bb brd ff:ff:ff:ff:ff:ff

    inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0

       valid_lft forever preferred_lft forever

4: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast master virbr0 state DOWN group default qlen 1000

    link/ether d0:3g:ff:9a:aa:bb brd ff:ff:ff:ff:ff:ff

# nft list ruleset

table ip filter {

 chain INPUT {

  type filter hook input priority 0; policy accept;

  iifname "virbr0" meta l4proto udp udp dport 53 counter packets 0 bytes 0 accept

  iifname "virbr0" meta l4proto tcp tcp dport 53 counter packets 0 bytes 0 accept

  iifname "virbr0" meta l4proto udp udp dport 67 counter packets 0 bytes 0 accept

  iifname "virbr0" meta l4proto tcp tcp dport 67 counter packets 0 bytes 0 accept

 }

 chain FORWARD {

  type filter hook forward priority 0; policy accept;

  oifname "virbr0" ip daddr 192.168.122.0/24 ct state related,established counter packets 0 bytes 0 accept

  iifname "virbr0" ip saddr 192.168.122.0/24 counter packets 0 bytes 0 accept

  iifname "virbr0" oifname "virbr0" counter packets 0 bytes 0 accept

  oifname "virbr0" counter packets 0 bytes 0 reject

  iifname "virbr0" counter packets 0 bytes 0 reject

 }

}

table ip nat {

 chain POSTROUTING {

  type nat hook postrouting priority 100; policy accept;

  ip saddr 192.168.122.0/24 ip daddr 224.0.0.0/24 counter packets 0 bytes 0 return

  ip saddr 192.168.122.0/24 ip daddr 255.255.255.255 counter packets 0 bytes 0 return

  meta l4proto tcp ip saddr 192.168.122.0/24 ip daddr != 192.168.122.0/24 counter masquerade to :1024-65535

  meta l4proto udp ip saddr 192.168.122.0/24 ip daddr != 192.168.122.0/24 counter masquerade to :1024-65535

  ip saddr 192.168.122.0/24 ip daddr != 192.168.122.0/24 counter packets 0 bytes 0 masquerade

 }

}

table ip mangle {

 chain POSTROUTING {

  type filter hook postrouting priority -150; policy accept;

  oifname "virbr0" meta l4proto udp udp dport 68 counter packets 0 bytes 0 # CHECKSUM fill

 }

}

Zum Beispiel manuell im Terminal:

$ export LIBVIRT_DEFAULT_URI='qemu:///system'

Umgebungsvariable für die Qemu/KVM-Infrastruktur setzen.

Achtung: Das ist immer einmalig notwendig, wenn ein neues User-Terminal geöffnet wird. In einem Terminal mit root-Rechten ist das nicht erforderlich.

Man kann dieses Statement natürlich auch direkt ans Ende der  eigenen .bashrc eintragen... kein Problem, das geht, kann man machen.

$ virsh list --all

Id   Name         State

-----------------------------

-    tor          shut off

1    archlinux    running

-    jdl2         shut off

-    lmde         shut off

-    lxqt         shut off

-    Win7         shut off

$ virsh net-list --all

Name        State      Autostart   Persistent

------------------------------------------------

default     inactive   no          yes

Vorhandene VMs auflisten

Vorhandene Netzwerk-Setups auflisten. Hier ist nur das „default“-Setup deklariert.

$ virsh net-start default

$ virsh start {vm-name}

$ virt-viewer {vm-name} &

$ virsh net-destroy default

$ virsh net-list --all

Name        State      Autostart   Persistent

------------------------------------------------

default     inactive   no          yes

$ virsh net-autostart default

Network default marked as autostarted

$ virsh net-list --all

Name        State      Autostart   Persistent

------------------------------------------------

default     inactive   yes         yes

Einrichten des Autostarts der Netzwerk-Infrastruktur beim Hochfahren des Rechners. Damit ist der manuelle Start über

$ virsh net-start default

nicht mehr notwendig.

$ virsh net-autostart {netname} --disable

Deaktivieren des Autostarts für das angegebene Netzwerk

Oder über die grafischen Dialoge des Virtmanagers, wofür es 2 Möglichkeiten gibt. Entweder das ausgewählte Netzwerk nur für die aktuelle Sitzung mit dem Start- oder Stop-Button nach Bedarf ein- und ausschalten. Oder die Checkbox für den Autostart aktivieren, wodurch die Netzwerk-Infrastruktur automatisch beim Starten des Host-PCs gestartet wird.

Die vom Virtmanager verwendete default-Netzwerk-Infrastruktur enthält sogar im Namen der jeweiligen Konfigurationsdateien als Hinweis „default“. Die primären Einstellungen für dieses Netzwerk sowie für eine bestimmte VM befinden sich auf meinen Debian-Systemen in den folgenden Verzeichnissen/Dateien:

# cat /etc/libvirt/qemu/networks/default.xml

# cat /var/lib/libvirt/dnsmasq/default.conf

# cat /etc/libvirt/qemu/{vm-name}.xml | grep "<interface" -A 5

table ip nat {

   chain POSTROUTING {

         type nat hook postrouting priority 100; policy accept;

         ip saddr 192.168.122.0/24 ip daddr 224.0.0.0/24 counter packets 0 bytes 0 return

         ip saddr 192.168.122.0/24 ip daddr 255.255.255.255 counter packets 0 bytes 0 return

         meta l4proto tcp ip saddr 192.168.122.0/24 ip daddr != 192.168.122.0/24 counter packets 0 bytes 0 masquerade to :1024-65535

         meta l4proto udp ip saddr 192.168.122.0/24 ip daddr != 192.168.122.0/24 counter packets 0 bytes 0 masquerade to :1024-65535

         ip saddr 192.168.122.0/24 ip daddr != 192.168.122.0/24 counter packets 0 bytes 0 masquerade

         }

}

$ export LIBVIRT_DEFAULT_URI='qemu:///system'

$ virsh net-start default

$ virt-install --connect qemu:///system \

--virt-type=kvm \

--network network=default \

--name testsystem \

--memory 4096 \

--vcpus=4 \

--disk=/var/lib/libvirt/images/testsystem.cow2,format=qcow2,size=8  \

--cdrom=/tmp/firmware-10.4.0-amd64-netinst.iso \

--noautoconsole \

--os-type linux \

--os-variant debian10 \

--hvm \

--graphics spice,listen=127.0.0.1

Shell-Vars setzen, Netzwerk starten

Dieses mehrzeilige „Kommando-Paket“ komplett als 1 Befehl im Terminal ausführen.

- Name der VM, kann geändert werden

- Der VM zugewieser RAM (hier sind 8 GB installiert)

- Anzahl CPUs erlauben  (dieses System hat nur 4)

- Default-Dir, änderbar (dann Rechte beachten)

- Installer-ISO         (liegt in Dir mit rwx r-x r-x)

Achtung: Bitte dieses „Kommando-Paket“ nicht direkt per Copy/Paste in ein Terminal einfügen, sondern lieber den Umweg über einen Editor wählen, um zu kontrollieren, ob sich unerwünschte Leerzeilen eingeschlichen haben. Wenn ja müssen diese zuerst entfernt werden!

Installation wird gestartet …

Zuweisen von 'testsystem.cow2'  8 GB

Sie können mit der Konsole verbinden, um den Installationsvorgang abzuschließen.

$ virt-viewer testsystem &

Öffnen des virtuellen Monitors, hier den Installer

$ virsh list --all

$ virsh start testsystem

$ virt-viewer testsystem &

Nach Abschluß der Installation und dem Auto-Shutdown kann es sein, dass sie nicht neu gestartet wurde. Ansonsten... fertig... das wars...

$ virsh net-destroy default

Nach Shutdown der VM das virtuelle Netzwerk beenden

Das lokale Netzwerk ist wie gehabt:

Das virtuelle/isolierte Netzwerk ist:

10.0.1.0   /24

172.16.0.0 /24

Zielvorstellung bzw. beabsichtigter Verwendungszweck für die folgenden Service-Units:

Ein mobiles Linux-Gerät (Laptop, Netbook, etc.), welches sich via WLAN an einem Accesspoint verbindet und zusätzlich lokale vom Anwender bei Bedarf zu startende VMs bereitstellt. Die Netzwerkanbindung der VM erfolgt über ein virtuelles Bridge-Device, die Datenpakete der VMs erfahren allerdings durch den Paketfilter des Host-PCs via Masquerading eine Network-Address-Translation (NAT).

Die Service-Unit zum Starten des Netzwerkes. Die Unit startet zusätzlich dnsmasq und die Paketfilter-Regeln.

Die Service-Unit zum Starten des DHCP-Servers mit dnsmasq:

Die Service-Unit zum Setzen sehr einfacher Paketfilter-Regeln. In diesem einfachen Beispiel werden die wenigen notwendigen Regeln automatisch beim Starten des isolierten KVM-Netzes gesetzt und beim Beenden ebenso automatisch wieder entfernt.

Dieses automatische Entfernen wäre allerdings bei einem quasi-persistenten ‚größeren‘ Regelwerk kontraproduktiv, wenn eine passende Unit zum Beispiel weitere explizite Regeln enthalten würde oder wenn sie einfach via nft -f {filename} ein komplettes individuelles Regelwerk laden würde. In einem solchem Fall empfiehlt es sich, Requires durch Wants zu ersetzen. Dann wird diese Unit zwar wie zuvor mitgestartet, aber bei Ende des KVM-Netzwerks nicht gleichzeitig auch beendet. Wäre als weitere denkbare Möglichkeit eine Desktop-Firewall installiert und aktiviert, ist es sogar unbedingt ratsam, diese Unit komplett aus den Abhängigkeiten zu entfernen und die notwendigen Regeln manuell über deren Frontend-Dialoge in die FW einzutragen.

Die Konfigurationseinstellungen für den DHCP-Server mit dnsmasq:

Die letzte noch fehlende Maßnahme ist entweder der manuelle Start der Netzwerk-Infrastrukrur, oder das Einrichten für den automatischen Start beim Booten des Host-PCs.

Ein einmaliger Start der Service-Units ist auf jeden Fall sinnvoll, um auf Fehler zu prüfen.

$ su -

# systemctl start kvm-isolated-network.service

Manuelle Handhabung vor und nach dem Start der VM. Bitte dabei die unterschiedlichen Rechte zur Ausführung der Statements beachten.

# systemctl status kvm-isolated-network kvm-isolated-network-dns kvm-isolated-network-nft

● kvm-isolated-network.service - thlu:isolated-network.service        Start isolated Network

   Loaded: loaded (/etc/systemd/system/kvm-isolated-network.service; disabled; vendor preset: enabled)

   Active: active (exited) since Wed 2020-07-29 16:23:31 CEST; 1min 52s ago

   Jul 29 16:23:31 thomaspc systemd[1]: Starting thlu:isolated-network.service       Start isolated Network...

   Jul 29 16:23:31 thomaspc systemd[1]: Started thlu:isolated-network.service        Start isolated Network.

● kvm-isolated-network-dns.service - thlu:isolated-network-dns.service    Start dnsmask

   Loaded: loaded (/etc/systemd/system/kvm-isolated-network-dns.service; disabled; vendor preset: enabled)

   Active: active (running) since Wed 2020-07-29 16:23:31 CEST; 1min 52s ago

  Process: 8624 ExecStart=/usr/sbin/dnsmasq --conf-file=/etc/dnsmasq.d/kvm-isolated-network-dnsmasq.conf ...

   Jul 29 16:23:31 thomaspc dnsmasq[8628]: gestartet, Version 2.80, Cachegröße 150

   Jul 29 16:23:31 thomaspc systemd[1]: Started thlu:isolated-network-dns.service    Start dnsmask.

● kvm-isolated-network-nft.service - thlu:isolated-network-nft.service    Set Netfiler

   Loaded: loaded (/etc/systemd/system/kvm-isolated-network-nft.service; disabled; vendor preset: enabled)

   Active: active (exited) since Wed 2020-07-29 16:23:32 CEST; 1min 52s ago

   Jul 29 16:23:31 thomaspc systemd[1]: Starting thlu:isolated-network-nft.service   Set Netfiler...

   Jul 29 16:23:32 thomaspc systemd[1]: Started thlu:isolated-network-nft.service    Set Netfiler.

# exit

$ export LIBVIRT_DEFAULT_URI='qemu:///system'

$ virsh start {vm-name}

$ virt-viewer {vm-name} &

$ su -

# systemctl stop kvm-isolated-network.service

# cd /etc/systemd/system

# systemctl enable kvm-isolated-network.service

Alternativ für den automatischen Start beim Booten des System aktivieren

Zielvorstellung bzw. beabsichtigter Verwendungszweck für die folgende Service-Unit:

Ein stationär eingesetzter Server, der verschiedene virtuelle Maschinen bereit stellt, die jede für sich reguläre LAN-Clients sind. Zusätzlich werden die für OpenVPN notwendigen tun-Devices erstellt.  OpenVPN selber wird mit einer eigenen Service-Unit gestartet.

$ ip a s dev eth0 | grep 'link/ether'

  link/ether d0:3g:ff:9a:xy:zz brd ff:ff:ff:ff:ff:ff

$ su -

MAC-Adresse vom phys. NIC wird für das virtuelle Bridge verwendet.

# nano /etc/systemd/system/network.service

[Unit]

Description=thlu:network.service    Start network connectivity

After=network.target

Wants=network.target

[Service]

Type=oneshot

RemainAfterExit=yes

Environment="PATH=/bin:/usr/sbin:/usr/bin"

ExecStart=ip link add br0 type bridge

ExecStart=ip link set br0 type bridge stp_state 0

ExecStart=ip link set br0 type bridge forward_delay 0

ExecStart=ip link set br0 address d0:3g:ff:9a:xy:zz

ExecStart=ip addr add 10.0.1.2/24 dev br0

ExecStart=sysctl -w net.ipv4.ip_forward=1

ExecStart=sysctl -w net.ipv6.conf.all.forwarding=1

ExecStart=sysctl -w net.ipv6.conf.br0.forwarding=1

ExecStart=sysctl -w net.ipv6.conf.br0.disable_ipv6=0

ExecStart=sysctl -w net.ipv6.conf.br0.autoconf=1

ExecStart=sysctl -w net.ipv6.conf.br0.use_tempaddr=2

ExecStart=sysctl -w net.ipv6.conf.br0.accept_ra=2

ExecStart=ip link set eth0 master br0

ExecStart=ip link set eth0 up

ExecStart=ip link set br0 up

ExecStart=ip route add default via 10.0.1.1

ExecStart=openvpn --mktun --dev tun0

ExecStart=openvpn --mktun --dev tun1

ExecStart=ip link set tun0 up

ExecStart=ip link set tun0 up

ExecStop=ip link set eth0 nomaster

ExecStop=ip link set eth0 down

ExecStop=ip addr flush dev eth0

ExecStop=ip link set br0 down

ExecStop=ip addr flush dev br0

ExecStop=ip link del br0 type bridge

ExecStop=ip link set tun0 down

ExecStop=ip link set tun1 down

ExecStop=openvpn --rmtun --dev tun0

ExecStop=openvpn --rmtun --dev tun1

[Install]

WantedBy=multi-user.target

Das Hardware-Interface eth0 erhält keine IPv4, sicherstellen, dass der Kernel auch keine IPv6 via SLAAC generiert:

# nano /etc/sysctl.d/sysctl_ipv6_server.conf

net.ipv6.conf.all.forwarding=1

net.ipv6.conf.default.disable_ipv6=0

net.ipv6.conf.default.forwarding=1

net.ipv6.conf.default.autoconf=0

net.ipv6.conf.default.use_tempaddr=0

net.ipv6.conf.default.accept_ra=0

net.ipv6.conf.eth0.disable_ipv6=1

net.ipv6.conf.eth0.forwarding=1

net.ipv6.conf.eth0.autoconf=0

net.ipv6.conf.eth0.use_tempaddr=0

net.ipv6.conf.eth0.accept_ra=0

Ein manueller Teststart.  Wenn der Teststart fehlerfrei verlaufen ist und die Netzwerkverbindung hergestellt ist, dann kann die Service-Unit für den Systemstart aktiviert werden:

# cd /etc/systemd/system

# systemctl start network.service

# systemctl status network.service

● network.service - thlu:network.service    Start network connectivity

   Loaded: loaded (/etc/systemd/system/network.service; enabled; vendor preset: enabled)

   Active: active (exited) since Sun 2020-08-02 12:21:19 CEST; 2h 34min ago

   Process: 462 ExecStart=/usr/sbin/ip link add br0 type bridge (code=exited, status=0/SUCCESS)

   Process: 481 ExecStart=usw…..

   Main PID: 601 (code=exited, status=0/SUCCESS)

Aug 02 12:21:19 server systemd[1]: Started thlu:network.service    Start network connectivity.

# systemctl enable network.service

Created symlink /etc/systemd/system/multi-user.target.wants/network.service → /etc/systemd/system/network.service.

Weil es sich bei diesem Server hier um einen Headless betriebenen Server handelt, muss natürlich für alle späteren Wartungsarbeiten OpenSSH-Server installiert und gestartet sein, ein berechtigter Benutzer und die Pubkey-Authentifizierung für die SSH-Verbindung ist eingerichtet.  

Wenn das gegeben ist, kann ich mich nun von jedem beliebigen anderen Client-System im LAN via SSH auf dem Server anmelden und eine VM erstellen, starten oder stoppen. Für den reinen Installationsvorgang auf der VM mit Debian nach dem Start der VM ist SSH zunächst nicht mehr notwendig, die Remote-Bedienung des Installers erfolgt bequem vom eigenen PC über einen VNC-Viewer.

$ ssh thomas@10.0.1.2

Via SSH zum Server verbinden

$ su -

# mkdir /srv/qemu

# chown root:libvirt-qemu /srv/qemu

# chmod 770 /srv/qemu

# ls /srv/qemu

insgesamt 8,0K

drwxrwx--- 2 root libvirt-qemu 4,0K 2020-08-02 15:52 .

drwxr-xr-x 3 root root         4,0K 2020-08-02 15:52 ..

Auf dem Server notwendige Vorbereitungen und dann den Start des Installers durchführen.

# virt-install --connect qemu:///system \

--virt-type=kvm \

--network=bridge=br0,model=virtio \

--name testsystem \

--memory 2048 \

--vcpus=2 \

--disk=/srv/qemu/testsystem.cow2,format=qcow2,size=8  \

--cdrom=/tmp/firmware-10.4.0-amd64-netinst.iso \

--noautoconsole \

--os-type linux \

--os-variant debian10 \

--hvm \

--graphics vnc,port=60000,listen=0.0.0.0,keymap='de'

Die Installation erfolgt durch root, später wird die VM unter dem virtuellen User ‚libvirt-qemu‘ laufen.

Achtung: Bitte dieses „Kommando-Paket“ nicht direkt per Copy/Paste in ein Terminal einfügen, sondern lieber den Umweg über einen Editor wählen, um zu kontrollieren, ob sich unerwünschte Leerzeilen eingeschlichen haben. Wenn ja müssen diese zuerst entfernt werden!

Die Verbindung aus dem LAN zur VM erfolgt via vncviewer über den Port 60000. Natürlich kann man auch den Default-Port für VNC (5900) verwenden, ich nehme hier nur einen anderen, um zu zeigen, dass das geht und wie es geht.

Installation wird gestartet …

Zuweisen von 'testsystem.cow2'  8 GB

Sie können mit der Konsole verbinden, um den Installationsvorgang abzuschließen.

# exit

Die aktivierte SSH-Verbindung kann wahlweise geschlossen werden oder auch offen bleiben.

Ich verlasse jetzt den Server und starte auf meinem eigenen PC ein neues lokales Terminal, um dort in einem Remote-Fenster alle Fragen des Installers zu beantworten:

$ vncviewer 10.0.1.2:60000 &

Die Verbindung von meinem PC zur auf dem Server neu einzurichtenden VM erfolgt mit der IP-Adresse des Server über den ‚vncviewer‘ aus dem Debian-Paket ‚xtightvncviewer‘. Diese Lösung hat sich hier über lange Zeit als sehr zuverlässig und stabil erwiesen.

Haftungsausschluss:

Ich erhebe keinen Anspruch darauf, dass dieser Artikel vollständig fehlerfrei ist und ich behaupte das auch nicht. Sowohl

- durch meine Fehler hier

- wie auch durch vorhandene Fehler in den hier verwendeten Linux-Programmen

- sowie durch ggf. zeitgleich auftretende äußere mechanische Einflüsse

- oder durch den Anwender selber verursacht durch Änderungen an Programmen

- oder durch unsachgemäße oder fehlerhafte Einrichtung der Programme beim Setup, z.B. wegen fehlerhafter  Parameter kann es zu Datenverlust kommen. Durch unsachgemäße Sicherung und dem Betrieb eines deswegen unsicheren von außen erreichbaren Zugang ins Heimnetzwerk kann sogar das ganze private Netzwerk kompromittiert werden.

Deshalb schließe ich jede Haftung für Schäden an Software oder Hardware oder Vermögensschäden oder für Datenverlust aus, die durch die Benutzung dieses Tutorials enstehen. Die Benutzung dieses Tutorials, die Einrichtung der Services danach und der produktive Einsatz erfolgt auf eigenes Risiko.