🖧 Réseau moderne sous linux: 1.Quelques astuces avec networkd

Dans cette nouvelle série d’articles, je vais parler de configuration réseau sous linux avec des outils modernes Gnu/Linux.

Dans ces premiers partis, je vais simplement présenter des astuces de configuration networkd, que j’ai découvert en passant beaucoup de temps dans la documentation, et parfois à l’aide de quelques articles de blog ou autre.

Personnellement, j’aime beaucoup networkd même si je trouve la documentation un peu difficile d’accès, l’internet ne contient pas assez d’exemple et d’article de blog à mon goût permettant de facilement trouver la solution à son problème, il faut donc parfois passer un temps non négligeable à creuser la documentation.

1.Activer Mdns

Pour accéder localement facilement aux machines via les adresse en nomdemachine.local, il est utile d’avoir mdns d’activé , pour cela si vous utilisez systemd-networkd, vous aurez besoin d’installer systemd-resolved et de vérifier qu’il est actif.

sudo apt install systemd-resolved
resolvectl

Si vous constater que mdns est désactivé sur votre interface (avec un résultat de commande contenant‑mDNS), il faut ajuster la configuration globale de resolved et/ou ajuster la configuration de l’interface:

Pour la configuration globale, vous devez créer un fichier :

# /etc/systemd/resolved.conf.d/99-enable-mdns.conf
[Resolve]
MulticastDNS=yes
# protocole similair à MDNS mais qui semble de moins en moins en usage
LLMNR=no

Pour la configuration spécifique de l’interface, il vous faudra dans le fichier .network :

# /etc/systemd/network/moninterface.network
...
[Network]
# Activer mdns (les addresse en .local)
MulticastDNS=yes

Note: ce dernier élément est un exemple, pas un vrai fichier .network fonctionnel, vous aurez besoin d’une directive [Match]

2.Renommer une interface

Dans un cas simple où vous avez une interface ethernet non usb, il est aisé de renommer son interface via un fichier .link :

# /etc/systemd/network/lan0.link
[Match]
MACAddress=00-00-5E-00-53-01

[Link]
# le nouveau nom
Name=lan0

comme vu précédemment le cas de périphérique USB est plus compliqué, certaines cartes change d’addresses mac à chaque connection tandis que certain conservent leur addresses mac.

La configuration des distributions peut changer les choses aussi. Ainsi, sous Debian Trixie, il peut être nécessaire de surcharger 73-usb-net-by-mac.link , pour éviter que le système renomme nos interfaces USB et ainsi nous permettre nous même de les modifier.

3. Switch Virtuel et virtualisation des interfaces

Il peut se trouver que les interface physiques ne correspondent pas exactement au réseau que vous voudriez obtenir :

• Vous voulez utiliser plusieurs ports ethernet de votre système comme switch réseau.
• Vous voulez des interfaces réseau virtuelles séparées, par exemple pour des conteneurs.

Ces ajustements sont possible via systemd-networkd.

Prénons un cas d’usage où l’on veut véritablement séparer les interfaces réseau utiliser des interfaces physiques réelles :

• Nous avons 4 interface réelle de lan0 à lan3.
• Nous voulons les regrouper dans un switch virtuel que nous nommeront vslan pour virtual switch lan.
• Nous voulons 2 interfaces virtuelles pour, vslan1 pour l’hôte et vslan2 pour une machine virtuelle.

Le switch virtuel

Il suffit de créer une interface pont :

# /etc/systemd/network/vslan.netdev
[NetDev]
Name=vslan
Kind=bridge

On attache un par un les ports lan à ce pont, par exemple pour lan0 :

# /etc/systemd/network/lan0.network
[Match]
Name=lan0

[Network]
Bridge=vslan

Il faut répéter cette étape pour les autres ou utiliser un pattern par exemple : Name=lan*.

À partir de cette étape, si vous redémarrez networkd ou toute la machine, vous avez bel et bien un switch virtuel.

MacVlan : plusieurs interfaces virtuelles réseau de niveau 2

Pour avoir plusieurs addresses sur la machine, au niveau 2, c’est-à-dire que chaque machine aura une interface avec une adresse mac dédié et sera donc virtuellement totalement séparées, on utilise une fonctionnalité appelée MACVLAN.

Une limitation de ce mécanisme sous 🐧 Linux est que l’interface parente ne peut pas communiquer avec l’interface enfant, ainsi si j’avais une interface eth0 que je séparerais par MACVLAN en virt10@eth0 et virt2@eth0 et que j’attribuerais des addresses à ces 3 interfaces, eth0 ne pourrait communiquer avec virt10@eth0 et virt10@eth1 et inversement.

L’astuce pour contourner le problème dans notre cas, est simplement :

• de ne pas attribuer d’adresse à notre pont, ainsi le pont ne sera pas utiliser directement pour la communication réseau.
• ajouter un macvlan spécifique pour l’hôte (vslan1 dans le cas présent).

On configure ce pont pour fournir des macvlan pour nos adresses virtuelles :

# /etc/systemd/network/vslan.network
[Match]
Name=vslan

[Network]
MACVLAN=vslan1
MACVLAN=vslan2
ConfigureWithoutCarrier=yes

# désactiver la récupèration/génération d'addresse en ipv6 et ipv4
IPv6AcceptRA=no
LinkLocalAddressing=no
DHCP=no

Il nous manque plus que les interfaces virtuelles MACLAN, ça se fait à l’aide de 2 fichiers. Par exemple pour vslan1, on définit notre macvlan :

# /etc/systemd/network/vslan1.netdev
[NetDev]
Name=vslan1
Kind=macvlan

[MACVLAN]
Mode=bridge

On peut ensuite configurer l’interface vslan1:

# /etc/systemd/network/vslan1.network
[Match]
Name=vslan1

[Network]
# Activer mdns (les addresse en .local)
MulticastDNS=yes

# Activer la récupèration d'ip via le dhcp utile pour ipv4
DHCP=yes

# La récupèration d'addresse ipv6 est ici implicite (valeur par défaut), mais il est possible d'être explicite:
# IPv6AcceptRA=yes
# LinkLocalAddressing=yes

# il est possible d'assigner si besoin manuellement une addresse ULA (locale) en plus de l'addresse globale obtenu
# via le routeur.
# un des avantages et que l'addressage ne changera pas même en cas de coupure de l'internet/changement du prefixe globale
# assigné. Il faut néanmoins ajuster le réseau et les autres machine pour que la connectivité suivent. Par défault, sur
# mon réseau, mon routeur ne "route" pas ces addresse. il faut donc que les différence machine soit assigné avec des
# ipv6 ULA du même sous réseau /64 ou ajuster le routeur en conséquence.
# Address=fd70::b/64

[IPv6AcceptRA]
# Optionel: cela force le suffixe de l'ip globale généré. C'est pertinent amha pour des machine dont l'ipv6 devra
# être indiqué dans des enregistrement dns AAAA.
Token=::b

Il vous suffira ensuite de donner l’autre interface vslan2 à votre conteneur/machine virtuel avec les outils dédiés.

Interface avec systemd-nspawn

Note : Si vous utilisez systemd-nspawn, vous pouvez aussi utiliser la directive MACVLAN qui vous permet de déléguer la création de l’interface.

# /etc/systemd/nspawn/container.nspawn
[Network]
Private=yes

# Solution basique : délégation de l'interface créer exprès pour le conteneur
Interface=vslan2

# Solution alternative, laissez nspawn gérer la création d'une interface MACVLAN à partir de vslan 
# l'interface s'appelera "lan" à l'intérieur.
# MACVLAN=vslan:lan

Allez plus loin

L’article suivant de cette série est à propos de réaliser un Routeur avec networkd.