Linux Netzwerkkonfiguration - Workshop Dezember 2024

• IPv4 Adressen sind intern eine 32bit Zahl. Diese Zahl wird als 4 Gruppen zu je einem Byte (Octet) geschrieben
  • Beispiel: 192.0.2.10
• Wird eine IPv4 Adresse mit weniger Bytes/Octets geschrieben, so ist dies kein Fehler sondern die fehlenden Bytes werden mit Nullen "0" aufgefüllt

  # ping 1.1
  PING 1.1 (1.0.0.1) 56(84) bytes of data.
  

• Octets/Bytes in IPv4 Adresse mit führenden "0" werden oktal (Basis 8) interpretiert:

  # ping 0100.0200.010.001
  PING 0100.0200.010.001 (64.128.8.1) 56(84) bytes of data.
  

• ACHTUNG: Diese Schreibweisen können auch gemischt werden und werden von Angreifern benutzt um bösartige Konfigurationen zu verschleiern

• Classless vs. Class-based IPv4 Adressen
  • In den Anfangstagen von IPv4 waren IPv4 Adressen in Klassen (Classes) eingeteilt.
    • Class A: 10.0.0.0/8
    • Class B: 172.16.0.0/16
    • Class C: 192.168.1.0/24
    • Class D: 224.0.0.0 (Multicast)
    • Class E: 240.0.0.0 (Reserviert)
  • Der Anteil des Netzbereiches der IPv4 Adresse war allein durch die ersten Bits der Adresse vorbelegt, es gab keine Subnetzmasken und keine Prefix-Längen-Angaben
  • Diese Klassenunterteilung gibt es seit Anfang der 1990er Jahre nicht mehr. Seitdem werden classless Adressen benutzt, welche eine variable Prefix-Länge besitzen
• IPv4 Adressen setzen sich aus dem Netzwerk-Teil (Bits der Adresse von der linken Seite gezählt) und dem Host-Teil (Bits der Adresse von der rechten Seite gezählt) zusammen
• In den ersten 20 Jahren (ca. 199x-200x) der IPv4 Classless-Adressen wurden diese häufig zusammen mit einer Subnetzmaske spezifiziert: 192.168.1.10 Maske: 255.255.255.0
  • Seit dem Jahrtausendwechsel (und der Verbreitung vom IPv6) werden IPv4 Adressen (wie IPv6 Adressen) in der Regel als Kombination aus IP-Adresse und Prefix-Länge geschrieben: 192.168.1.10/24
  • Die Prefix-Länge beschreibt, welche Bits der Adresse von links aus gezählt vom Netzwerkteil der Adresse gehören. Die restlichen Bits machen daher die Host-Adresse der IP-Adresse aus

    Prefixnotation	Subnetzmaske
    /32	255.255.255.255
    /30	255.255.255.252
    /28	255.255.255.240
    /24	255.255.255.0
    /16	255.255.0.0
    /8	255.0.0.0

• Der IP-Befehl fasst die Funktionen der alten Befehle ethtool, arp, ifconfig und route zusammen. Zusätzlich bietet ip Funktionen zur Konfiguration von ipsec, /segment-routing, Netzwerk-/Namespaces, Eternet-over-TCP-Tunnel (ltp), Multicast, VRF, Tunnel (z.B. GRE)
• Der ip Befehl nimmt Parameter auf der Kommandozeile entgegen. Befehlsparameter werden mit Leerzeichen getrennt angegeben und beziehen sich auf die Funktion des ip Befehls. Konfigurationsparameter verändern die Ausführung des ip Befehls und beginnen mit einem - und einem Buchstaben oder einem oder mehreren Worten verbunden mit Bindestrichen (ASCII-Minus). Die kurzen Parameter können beim ip Befehl nicht kombiniert werden!
  • Beispiel kurzer Parameter: ip -4 route
  • Beispiel langer Parameter: ip -timestamp address show
• Wichtige globale Parameter des ip Befehls
  • -4 nur auf IPv4 arbeiten
  • -6 nur auf IPv6 arbeiten
  • -s Statistiken ausgeben
  • -d mehr Details
  • -r IP-Adressen in Hostnamen auflösen
  • -n <nsname> Befehl in Netzwerk-Namespace ausführen
  • -h Daten in für Menschen besser lesbare Einheiten ausgeben
  • -j Daten im JSON Format ausgeben (gut für Scripting)
  • -p JSON-Daten aufbereiten
• Sub-Befehle des ip Befehl können beliebig verkürzt werden, solange der Befehl eindeutig ist

# Voller Befehl
ip address show
# Abkürzung benutzt
ip addr sh
# Extreme Abkürzung
ip a s
# "show" ist der Default fÜr 'ip address' und kann daher
# weggelassen werden
ip a

• In IPv4 Systemen verbindet das ARP-Protokoll (Address-Resolution-Protocol) die IPv4-Adressen mit den Hardware-Adressen der Netzwerkschnittstellen.
• Um einen anderen Rechner im gleichen Subnetz zu erreichen muss der TCP/IP-Stack die Ziel-IP-Adresse in die Hardware-Adresse auflösen
  • Der Sender schickt ein ARP-Broadcast mit der Ziel-IP-Adresse in das Netzsegment
  • Der Besitzer der IPv4-Adresse (und Empfänger) sendet die eigene Hardware-Adresse (MAC-Adresse) zurück
  • Der Sender speichert diese Adresse für eine gewisse Zeit im ARP-Cache des TCP/IP-Stack
  • Ist eine Gegenstelle nicht mehr erreichbar (Timeout), so wird der ARP-Eintrag aus dem Cache vorzeitig entfernt (NUD - Neighbourhood Unreachability Detection)

• Auf der VM
  • Erstelle eine Schnittstelle von Typ dummy
  • Weise die IPv4 Adresse 192.0.2.10/27 dieser Schnittstelle zu
  • Aktiviere die Schnittstelle
  • Prüfe das die Schnittstelle per ping erreichbar ist
  • Schaue dir die ARP Tabelle an. Ist die neue IP-Adresse dort sichtbar?

ip link add dummy0 type dummy
ip address add 192.0.2.10/27 dev dummy0
ip link set dev dummy0 up
ip -4 neigh show

• Die IP-Adresse für lokale Schnittstelle wird nicht in der ARP-Tabelle gespeichert (nur externe Systeme werden in der ARP-Tabelle vermerkt)

• Der Befehl ip monitor zeigt die Änderungen an der Netzwerkkonfiguration an. Dieser Befehl kann zur Fehlersuche verwendet werden, speziell bei Netzwerk-Konfigurations-Diensten wie NetworkManager (RedHat) oder Wicked (SUSE)
  • Der Parameter -t gibt einen Zeitstempel vor jeder Ausgabezeile aus

• Starte tmux
• Starte ip monitor
• Öffne eine weitere Shell im tmux mit der Tastenkombination CTRL-b+" (CTRL/STRG halten und zusammen mit Taste 'b' betätigen, dann beide Tasten loslassen und die Taste '"' betätigen). Es sollte ein neues Shell Fenster unten erscheinen.
• Ändere in der zweiten Shell die IP-Adresse der dummy Schnittstelle auf eine neue IP-Adresse (bestehende IP-Adresse soll gelöscht werden). Verfolge die Meldungen vom ip monitor im oberen Fenster.

• ss (Socket stat) zeigt die aktiven TCP/IP und Unix-Sockets an
• Wichtige Parameter:
  • -t TCP Sockets anzeigen
  • -u UDP Sockets anzeigen
  • -l Auf Anfragen wartende Sockets (Listen)
  • -p Prozesse zu den Sockets anzeigen
  • -e Erweiterte Informationen anzeigen
  • -n keine Namensauflösung für IP-Adressen
  • -i Interne TCP-Informationen anzeigen
  • -Z SELinux Context anzeigen
  • -s Globale Statistiken anzeigen

ss -s
ss -tulpen
ss -tulip
ss -tulipe4

• Konfigurationsdateien in /etc/NetworkManager
  • Schnittstellenkonfiguration in /etc/NetworkManager/system-connections
  • Nach manueller änderungen in den Konfigurationsdateien:

# systemctl reload NetworkManager
# nmcli connection reload

• NetworkManager CLI

# nmcli networking
# nmcli general

# nmcli net off
# nmcli net on

# nmcli device status
# nmcli connection

ip link add eth1 type dummy

nmcli con add con-name my-eth1 ifname eth1 type ethernet ip4 192.168.100.100/24 \
      gw4 192.168.100.1
nmcli -p con show my-eth1
nmcli con mod my-eth1 ipv4.dns "8.8.8.8 8.8.4.4"
nmcli con mod my-eth1 ipv4.ignore-auto-dns yes
nmcli device up eth1
nmcli con up my-eth1
nmcli con down my-eth1
nmcli con mod my-eth1 connection.zone work
nmcli -p connection show my-eth1
nmcli con mod my-eth1 connection.id eth-ens14
nmcli con del "Wired connection 1"
nmcli con edit eth-ens14
nmcli> describe ipv4
nmcli> describe ethernet
nmcli> set ipv4.routes 192.168.122.0/24 10.10.10.1
nmcli>
nmcli> save persistent
Saving the connection with 'autoconnect=yes'. That might result in an immediate activation of the connection.
Do you still want to save? [yes] yes
nmcli> quit

[connection]
id=eth0
uuid=7f616ba0-9552-3ca3-afff-c07201d0794c
type=ethernet
autoconnect-priority=-999
interface-name=eth0
timestamp=1732647665

[ethernet]

[ipv4]
method=auto

[ipv6]
addr-gen-mode=eui64
method=auto

[proxy]

• Eine Verbindung aktivieren

nmcli con up <connection-name>

• Ein Verbindungsprofil soll automatisch beim Systemstart aktiv werden

nmcli con modify <connection-name> connection.autoconnect yes

• Eine Bridge Konfiguration erstellen

nmcli connection add type bridge ifname bridge0

• Eine Netzwerkschnittstelle der Bridge hinzufügen

nmcli connection add type bridge-slave ifname eth0 master bridge0

• Bridge Konfiguration anzeigen

nmcli connection show bridge-bridge0

• Bridge aktivieren

nmcli connection up bridge-bridge0

• Default-Route (Gateway) setzen

nmcli con modify my-eth0 ipv4.gateway 172.16.1.1

• Route hinzufügen (Syntax: netzwerk/prefix nexthop metric, [...] )

nmcli con modify my-eth0 ipv4.routes "192.0.2.0/24 10.0.0.1 4, 100.64.1.0/28 5, 1.0.0.0/8 192.0.2.100"

• DNS Resolver IP-Adressen der Konfiguration my-eth0 setzen

nmcli con modify my-eth0 ipv4.dns "1.1.1.1,9.9.9.9"

• DNS Resolver IP-Adresse der Konfiguration my-eth0 hinzufügen

nmcli con modify my-eth0 +ipv4.dns 8.8.8.8

systemctl status wicked
wicked show all

• Dokumentation: man 5 ifcfg
• Datei /etc/sysconfig/network/ifcfg-eth0 (für die Netzwerkschnittstelle eth0)

BOOTPROTO='static'
STARTMODE='auto'
WICKED='yes'
IPADDR=172.16.1.1/24
GATEWAY=172.16.1.254

• Konfiguration aktivieren (Achtung bei Administration via ssh, dieser Befehl kann die aktive Verbindung beenden!)

sudo systemctl restart network

• Dokumentation: man ifcfg-bridge
• Eine ifcfg-Konfigurationsdatei unter /etc/sysconfig/network/ mit dem Namen ifcfg-br0 erstellen

STARTMODE='auto'
BOOTPROTO='static'
WICKED='yes'
IPADDR=172.16.1.155/24
BRIDGE='yes'
BRIDGE_STP='off'
BRIDGE_FORWARDDELAY='0'
BRIDGE_PORTS='veth0 eth1'

• Neue Konfiguration aktivieren

systemctl restart network

• Konfiguriere die Netzwerkschnittelle eth1 mit der statischen IP-Adresse 172.16.1.x
• Teste das die Gegenstelle 172.16.1.200 erreichbar ist

• Erstelle eine Konfiguration für Wicked um die statische IP-Adresse aus Aufgabe 1 auf die Schnittstelle eth1 zu setzen
• Teste die Konfiguration mittels eines Netstart des Systems

• Erstelle eine Konfiguration für eine Bridge
• Füge die Netzwerkschnittstelle eth1 dieser Bridge hinzu
• Starte einen Systemd-nspawn Container mit privatem Netzwerk und VETH-Netzwerkschnittstellen systemd-nspawn -b -D /srv/container/suse15 --private-network --network-veth
• Konfigure the VETH-Network inside the container with the IP-Address 172.16.1.10x
• Füge die VETH-Schnittstelle auf dem Host der Bridge hinzu
• Teste die Verbindung vom Container zu der IP-Adresse 172.16.1.200

# chmod 600 /etc/netplan/01-network-manager-all.yaml 
# netplan status --all
# netplan get

# ip link add eth2 type dummy 

• Netplan Konfiguration prüfen

# netplan try

• Netplan Konfiguration aktivieren

# netplan apply

• Datei /etc/netplan/50-eth2-static-ipv4.yaml

network:
  version: 2
  renderer: NetworkManager
  ethernets:
    eth2:
      addresses:
        - 192.0.2.10/24
      nameservers:
        search:
          - "example.com"
        addresses:
          - 9.9.9.9
          - 8.8.8.8

• Berechtigungen anpassen

# chmod 600 /etc/netplan/50-eth1-static-ipv4.yaml

• Netplan Konfiguration aktivieren

# netplan apply

• Generierte NetworkManager Konfiguration

# cat /run/NetworkManager/system-connections/netplan-eth2.nmconnection 
[connection]
id=netplan-eth2
type=dummy
interface-name=eth2

[ethernet]
wake-on-lan=0

[ipv4]
method=manual
address1=192.0.2.10/24
dns=9.9.9.9;8.8.8.8;
dns-search=example.com;

[ipv6]
method=ignore

• Netplan Konfigurationsdatei in /etc/netplan/10-bridge.yaml

network:
 version: 2
 ethernets:
   eth0:
     dhcp4: no
   eth1:
     dhcp4: no
 bridges:
   br0:
     interfaces: [veth0, eth1]
     addresses:
       - 192.0.2.250/24

• Berechtigungen anpassen

# chmod 600 /etc/netplan/10-bridge.yaml

• Netplan Konfiguration aktivieren

# netplan apply

• Konfiguriere die Netzwerkschnittelle eth1 mit der statischen IP-Adresse 172.16.1.x
• Teste das die Gegenstelle 172.16.1.200 erreichbar ist

• Erstelle eine Konfiguration für Netplan um die statische IP-Adresse aus Aufgabe 1 auf die Schnittstelle eth1 zu setzen
• Teste die Konfiguration mittels eines Netstart des Systems

• Erstelle eine Konfiguration für eine Bridge
• Füge die Netzwerkschnittstelle eth1 dieser Bridge hinzu
• Starte einen Systemd-nspawn Container mit privatem Netzwerk und VETH-Netzwerkschnittstellen systemd-nspawn -b -D /srv/container/ubuntu24 --private-network --network-veth
• Konfigure the VETH-Network inside the container with the IP-Address 172.16.1.10x
• Füge die VETH-Schnittstelle auf dem Host der Bridge hinzu
• Teste die Verbindung vom Container zu der IP-Adresse 172.16.1.200

• Dateien mit der Endung .link Beschreiben die Konfiguration der Hardware-Schnittstellen (z.B. Ethernet)
• In diesen Dateien können z.B. Verbindungsparamter (Netzwerkgeschwindigkeit, MTU, Duplex) oder Schnittstellen-Parameter (MAC-Adresse, Name der Schnittstelle, Wake-on-LAN) konfiguriert werden
• Link-Dateien sollten mit mit einer zweistellingen Nummer im Dateinamen beginnen. Die Link-Dateien werden in der Sortierreihenfolge der Datei-Namen gelesen (00 - erste Datei, 99 - letzte Datei)
• Dokumentation: man systemd.link
• Beispiel: Umbenennung einer Netzwerkschnittstell anhand der MAC-Adresse

[Match]
MACAddress=00:a0:de:63:7a:e6

[Link]
Name=dmz0

• Nachdem eine neue .link-Datei erstellt oder eine bestehende .link-Datei geändert wurde, können die neuen Einstellungen mit den folgenden Befehlen auf die entsprechende Schnittstelle (hier eth0) angewendet werden:

$ sudo udevadm control --reload
$ sudo ip link set eth0 down
$ sudo udevadm trigger --verbose --settle --action add /sys/class/net/eth0

• Dateien mit der Endung .netdev definieren und konfigurieren virtuelle Netzwerkgeräte wie veth, macvlan, ipvlan, IPSec, Vlan oder bridge Schnittstellen
• Dokumentation man systemd.netdev
• Beispiel: Bridge

[NetDev]
Name=bridge0
Kind=bridge

[Bridge]
Priority=10
STP=true
VLANFiltering=true

• Beispiel: VLAN

Name=vlan1
Kind=vlan

[VLAN]
Id=1

• Beispiel: VETH-Schnittstelle

[NetDev]
Name=veth-cust0
Kind=veth

[Peer]
Name=veth-host0
MACAddress=00:AA:00:11:22:33

• Dateien mit der Endung .network Beschreiben die IP-Konfiguration (IPv4 oder IPv6) einer Netzwerkschnittstelle
• Die [Match] Sektion der Konfigurationsdatei wählt die Netzwerkschnittstelle anhand der Namens, des Netzwerktreibers, der Hardware-Adresse, SSID oder PCI-Pfad aus. Jede .network Datei sollte mit einer [Match] Sektion beginnen
• In der [Link] Sektion können einige Parameter der Hardware-Schicht konfiguriert werden, wie z.B. die MTU. Hier sind jedoch nicht alle Optionen der [Link] Dateien vorhanden
• In der [Network] wird das TCP/IP Netzwerk konfiguriert:
  • DHCP an/aus
  • Default-Route
  • DNS Resolver inkl. DNSSEC Validierungs-Status
  • Mulicast DNS und LLMNR
  • NTP-Server
  • Forwarding
• In der [Address] Sektion werden die IPv4- und IPv6 Adressen konfiguriert
• In der [Neighbor] Sektion können IPv4 ARP Einträge manuell vorgenommen werden
• In der [Route] Sektion wird die Routing-Konfiguration im Detail konfiguriert (Default-Gateway, weitere Host- oder Netz-Routen)
• In der [DHCPV4] Sektion kann die Funktion des DHCPv4-Clients im Detail konfiguriert werden
• In der [BRIDGE] Sektion werden die Einstellungen für eine Software Bridge konfiguriert
• Beispiel: statische Netzkonfiguration

[Match]
Name=enp2s0

[Network]
Address=192.0.2.15/24
Gateway=192.0.2.1

• Beispiel: Bridge mit 2 Schnittstellen

[NetDev]
Name=bridge0
Kind=bridge

[Match]
Name=bridge0

[Network]
Address=192.0.2.15/24
Gateway=192.0.2.1
DNS=192.0.2.53

[Match]
Name=eth0

[Network]
Bridge=bridge0

[Match]
Name=enp7s0

[Network]
Bridge=bridge0

• Konfiguriere die Netzwerkschnittelle eth1 mit der statischen IP-Adresse 172.16.1.x
• Teste das die Gegenstelle 172.16.1.200 erreichbar ist

• Erstelle eine Konfiguration für systemd-networkd um die statische IP-Adresse aus Aufgabe 1 auf die Schnittstelle eth1 zu setzen
• Teste die Konfiguration mittels eines Netstart des Systems

• Erstelle eine Konfiguration für eine Bridge
• Füge die Netzwerkschnittstelle eth1 dieser Bridge hinzu
• Starte einen Systemd-nspawn Container mit privatem Netzwerk und VETH-Netzwerkschnittstellen systemd-nspawn -b -D /srv/container/redhat --private-network --network-veth
• Konfigure the VETH-Network inside the container with the IP-Address 172.16.1.10x
• Füge die VETH-Schnittstelle auf dem Host der Bridge hinzu
• Teste die Verbindung vom Container zu der IP-Adresse 172.16.1.200