Frage zu nic-assigment in virt-manager

[beefy]

Hallöchen,

ich bin ganz neu hier, erstmal lieben Gruß an alle!


Ich hab mir ne debian stretch kiste aufgesetzt und wollte mich mal an die Linux Virtualisierung heranwagen...

Ich habe rudimentäre Erfahrung mit VMware, daher habe ich micht für Klickibunti im virt-manager entschieden.

Es gibt allerdings eine Problematik die mir jetzt in der Anfangsphase etwas Kopfschmerzen bereitet... eventuell kann ja jemand helfen.



Die Hauptaufgabe der Kiste soll eine pfSense sein, ich möchte das Ganze aber als VM einrichten weil ich optional später noch ein paar weitere VM's aufsetzen will (daher nicht direkt auf metall installiert).

Ich habe 3 Netzwerkkarten verbaut (1 onboard 2 PCIe) und hatte mir überlegt zwei davon ausschließlich für pfSense zu nutzen (lan/wan). Das dritte Interface soll für das Debian/Hostsystem bleiben. Ich möchte die Kiste zunächst konfigurieren, und dann erst in die Finale Verkabelung gehen, das bedeutet ich möchte pfSense installieren, auf die GUI gehen, dort das "finale" Setup aufsetzen und dann den "Umbau" starten (kann nicht lange offline sein sonst macht Frau stress ). Soweit so gut, nun zu meiner Problematik:


1. Da ich mit der onboard nic des Hostsystems bereits mit meinem LAN verbunden bin, lässt mich virt-manager keine andere nic auf das selbe Netzwerk erstellen ( zur Erinnerung: bei der installation soll sich pfSense via DHCP noch eine Adresse vom Providergerät holen damit ich auf die GUI komme). Ich bekomme hier eine Fehlermeldung da das Netzwerk bereits von der onboard nic genutzt wird.

2. Ich habe versucht beim erstellen der VM meine onboard nic zuzuweisen, die anderen nic's dann hinzugefügt und nach der pfsense installation entsprechend zuzuweisen. Ergebnis: ich bekomme eine Adresse via DHCP, auch im richtigen Adressbereich... diese ist auch pingbar... ich komme aber weder mit http:// noch mit https:// auf die GUI... (habe auch schon die "gängigen" Fehlerquellen ausgeschlossen (Proxy im browser, Interfaces vertauscht etc...).


Also da bin ich irgendwie ein bisschen verzweifelt grad, im vcenter ist die Zuweisung bzw. die Konfiguration der nic's dann doch bedeutend einfacher... Ist aber sicherlich eher auf ich zurückzuführen dass es nicht funktioniert.

Falls also jemand eine Idee hat wie ich am besten die interfaces anlege/zuweise... ich bin für jede Hilfe dankbar!

[TomL]

Sorry, wenn ich nur vage zur Lösung beitragen kann... weil das doch alles ziemlich verwurschtelt kompliziert klingt... ich bin nicht sicher, dass ich das Problem verstanden habe. Deswegen von mir nur ein paar Anregungen.

• Ich würde kein Stretch verwenden, sondern das aktuelle Stable, und das ist Buster
• Debian ist kein Windows, Debian ist kein grafisches Betriebssystem. Man kann auf ein Debian ein grafisches Desktop-Environment aufsetzen und dabei aus mehreren Alternativen auswählen. Man kann, man muss das aber nicht.
• Ich würde das Problem mit den Beschränkungen der GUI ziemlich radikal dadurch beheben, dass ich auf einem solch geplanten System Buster Lite installieren würde, also völlig ohne GUI.
• Für ein solches security-relevantes System mit pfSense als Border-Device-Firewall zwischen WAN und LAN würde ich sowieso auf den unnötigen Overhead eines GUI verzichten
• Und sofern ich irgendwie das Problem richtig verstanden habe...?... man kann weitere Interfaces direkt in der VM-Konfiguration eintragen... mit dem Befehl "virsh edit {vmname}" und diese dann in der VM mit iproute2-Kommandos nach Belieben konfigurieren.

Eine persönliche Anmerkung von mir.... pfSense einzurichten und dann auch sicher zu sein, dass es den erwünschten Anforderungen tatsächlich genügt und die effektive Sicherheit nicht nur auf Glauben beruht...tja... das würde ich mir nach einigen Jahren Linux-Lernen momentan nicht zutrauen.

Ich habe vor einiger Zeit einen umfangreichen Artikel über den Paketfilter im Kernel (landläufig als Firewall bezeichnet) auf meiner Seite veröffentlicht... weils mir Spaß macht, solche harten Nüsse zu knacken... vielleicht erfährst Du da was neues. Darüber hinaus gibts im Hostapd- und Tor-Beispiel Hinweise darüber, wie ich das Netzwerk manuell konfiguriere, sowie einen kleinen Vordergrund-Netzwerk-Manager, dessen Tun Du im Vordergrund (Trace-Mode) komplett verfolgen kannst, also auch, wie er das Netzwerk startet. Ich glaube, dass alles könnte eine Basis sein, sich dem Härten eines Netzwerks zielgerichtet zu nähern. Wenn Du Lust hast, guckst Du hier.

[beefy]

Hallo Thomas,


danke für deine Rückmeldung und sorry dass es alles etwas durcheinander ist. Ich finde es immer schwer einzuschätzen wie viele Infos die "profis" im Forum brauchen um meine Probleme nachvollziehen zu können, daher ist es manchmal eventuell zu viel oder zu wenig... mea culpa.


Also ehrlich gesagt habe ich jetzt Probleme damit zu verstehen warum das Ganze kompliziert sein sollte (ohne deine Meinung anzweifeln zu wollen!). Letztendlich - wenn man jetzt mal davon absieht was für eine VM ich aufsetzen möchte - dürfte das doch eine relativ grundlegende Problematik sein.

Ich würde gern zwei virtuelle Netzwerke anlegen die auf jeweils eine nic zeigen. Eins davon statisch (wan) eins per dhcp (lan). Das ist ja ansich schon sehr basic. Schon da gibt es allerdings Probleme weil die nic des hostsystems eben auch in meinem LAN steht, ich gehe aber davon aus, dass dies eben nicht durch die GUI beschränkt wird ( würde für mich jedenfalls technisch keinen Sinn ergeben) sondern ich das gleich problem mit einem "virsh" command auch hätte.


Vielleicht ist mein Gedankengang auch einfach zu komisch, ich weiß es nicht...




Vielen Dank schonmal!

[TomL]

ich gehe aber davon aus, dass dies eben nicht durch die GUI beschränkt wird ( würde für mich jedenfalls technisch keinen Sinn ergeben) sondern ich das gleich problem mit einem "virsh" command auch hätte.

Nein, das wird nicht vorsätzlich beschränkt... warum sollte das auch. Die Beschränkung entsteht schlichtweg dadurch, dass Debian an sich kein grafisches Betriebssystem ist und jedes Desktop-Environment-Projekt eine eigene Tiefe der Unterstützung bei solchen Vorhaben zur Verfügung stellt. Im Vergleich zu dem, was mit Debian allerdings faktisch möglich ist, ist das also immer nur ein Annäherungsversuch, der mir jedoch immer zu vage und eben zu beschränkt ist.

Das eigentliche Probleme ist es also einzuschätzen, nicht nur was am Ende rauskommen soll, sondern das auch vor dem Hintergrund des persönlichen Aufwandes. Willst Du nur irgendeine Lösung per copy&paste übernehmen, ohne zu wissen, was und warum, also ohne Verständnis über die Zusammenhänge, dann war der Link auf meine Seite überflüssig und ist Zeitverschwendung. Aber eine solche Copy&Paste-Lösung habe ich leider auch nicht.... und nein, kein Profi... ich habe vielleicht ein wenig Erfahrung, aber die Profis sind hier andere....

[beefy]

Hallo Tom,

danke nochmal für deine Antwort. Also ich dachte dass die Gui eben nichts anderes macht als den "klick" eben in genau diese Befehle umzusetzen und habe nicht gedacht, dass es hier zur Problemen kommen kann... Ich werde es dann mal via "virsh" probieren.


Nochmal als Anmerkung: Wenn ich keine Lust auf Aufwand hätte, dann würde ich das so nicht durchziehen... Allerdings ist das zuweisen einer nic zu einem VM Gast in den meisten Lösungen (virtualbox, Proxmox, vmware) etwas, was du mit zwei mausklicks erledigt hast... Daher empfinde ich es schon als etwas nervig wenn ich auch dafür erstmal stundenlang irgendwo rumlesen muss... Soll jetzt kein Vorwurf sein oder so, bitte nicht falsch verstehen. Du kannst ja nix dazu.

[TomL]

Nun ja, das ist eben nicht ganz so einfach, wie man sich das manchmal vorstellt. Fakt ist, die grafischen Standard-Desktop-Umgebungen haben unter Debian (und bei den Debian-abhängigen Distributionen) eben die primäre Zielsetzung ein Desktop-System zu sein. Und ein Desktop-System hat völlig andere Schwerpunkte als ein als Server oder Firewall-Router geplantes System, die beide wiederum gar kein GUI benötigen. Insofern ist es naheliegend, dass ein Desktop-System eben nicht die volle grafische Unterstützung mitbringt, um auch ein Server-System vollumfänglich zu erstellen. Ich wiederhole mich, Debian ist kein grafisches Betriebssystem, die grafischen Umgebungen sind einfach -ums mal so lapidar zu umschreiben- auf das Debian oben drauf gesetzt. Debian selber braucht keine grafische Oberfäche, nur die Anwender brauchen das. BTW, momentan kann ich mir auch nur schwerlich Bedarf an einer solchen grafischen Unterstützung vorstellen... ich selber würde das wohl eher als massive Behinderung empfinden. Also...

... mir ist wirklich kein grafisches Desktop-Projekt bekannt, welches solche Funktionalität umfassend bereits im Standard unterstützt. Das ist eigentlich immer nur fokussiert auf die typischen kleinen Endanwender-Probleme. Um das noch mal kur zu umreissen... für Dein Projekt muss Du

• die Entscheidung treffen, ob die VM via NAT oder als LAN-Client angebunden wird
• die je nach Zielsetzung notwendigen Bridges zwischen physischen und virtuellen NIC herstellen
• bei NAT die entsprechenden Regeln im Paketfilter setzen und dabei darauf achten, sich sich eigene Regeln und pfSense nicht gegenseitig neutralisieren oder behindern
• in den VM-Confs die relevanten NIC-Parameter setzen
• ggf. das Routing komplett umbauen, wenn aller Traffic durch pfSense marschieren soll
• entscheiden, welche Rolle WLAN überhaupt dabei spielen soll (AP oder Client?)
• erkennen, dass virsh nur die VM konfiguriert, aber nix mit dem Netzwerk des physischen Hosts zu hat.

...keine Ahnung was noch.... aber ich denke schon, dass es für all das keine wirklich brauchbaren grafischen Dialoge gibt. Vielleicht kann man sich da irgendwas aus verschiedenen Quellen zusammenbasteln....was ich allerdings nicht empfehlen würde... ...insofern komme ich auf den Rat vom Anfang zurück: auf einem solchen System ist eine grafische Umgebung nicht hilfreich, sondern eher kontraproduktiv.

[beefy]

Das Ganze ist etwas umfangreicher zu erklären. Im Endeffekt ist es eine Art Projekt für die Arbeit, wir wollen einige Anwendungsbereiche in denen die Firma auf Enterprise Software/Hardware setzt durchleuchten und schauen ob man gleiche oder ähnliche Ergebnisse auch mit den open-source alternativen erreichen kann.

Pfsense würde in diesem Fall dazu dienen, Homeoffices via VPN an die Zentrale anzubinden und von dort aus einen Teil der internen Netze erreichbar zu machen. Ein Arbeitskollege und ich haben dafür jeweils eine Kiste zuhause stehen. Endgültiges Ziel soll es sein, dass jeder noch zwei drei weitere VM's anhängt (Dateiserver oder dergleichen) und man dann in einer Präsentation die Funktion und Performance zeigt. Daher ist das Ganze auch etwas Sandkasten und muss auch keine wirkliche Sicherheit erzeugen. Wenn wir in Zukunft auf so eine Option zurückgreifen, würden das so oder so die IT security guys übernehmen.


Vielleicht macht es das etwas deutlicher warum ich ein debian mit grafischer oberfläche gewählt habe bzw. es ist auch ein Teilgrund warum ich gerne mit virt-manager arbeiten würde. Mir ist aber auch schon klar, dass das im Realbetrieb jetzt nicht unbedingt gängig ist.


Bezüglich der zweiten nic im gleichen Netzwerk war halt meine Annahme dass das passiert weil man auf einem host eben nur einen TCP/IP Stack und dementsprechend auch nur eine routing table hat (stichwort: weak host model) ... Wenn ich also sagen wir mal nic1 die 192.168.178.30 gebe und nic2 die 192.168.178.31 dann kann ich beide IP's pingen, sehe im ARP chache aber nur die MAC der "primären" nic. Wenn beide nic's auf DHCP gesetzt werden, bekommt nur eine überhaupt ne IP.

[TomL]

...und schauen ob man gleiche oder ähnliche Ergebnisse auch mit den open-source alternativen erreichen kann.

Ich denke schon, dass so etwas mit Debian möglich ist. Auf meiner Seite findest Du z.B. auch ein komplettes VPN-Setup mit sehr viel Hintergrundinformationen. Und hier im Forum wirst Du ganz sicher bei den meisten Problemen Hilfe finden. Das Vorgehen für Hilfe ist dabei relativ einfach: das den Fehler auslösende Szenario möglichst kompakt und nachvollziehbar beschreiben, die Rahmenbedingungen dazu, wie z.B. bestimmte Parameter, Aufruf-Syntax... und weil man bei Debian so gut wie alles manuell starten kann (teilweise sogar im Vordergrund), immer zum Problem auch die Fehlermeldungen posten, entweder die der Ausgabe oder die des Journals. Damit kriegen wir hier sicher die Probleme gelöst.

Vielleicht macht es das etwas deutlicher warum ich ein debian mit grafischer oberfläche gewählt habe bzw. es ist auch ein Teilgrund warum ich gerne mit virt-manager arbeiten würde.

Ich sehe das im Moment nur so, dass Du quasi bei Null anfängst. Und da wiederhole ich meinen Rat, nimm Debian Buster für ein solches aufwendiges Vorhaben, und zwar ohne grafischen Tüddelkram. Debian-Server lassen sich meiner Meinung nach nicht oder nur sehr unzureichend in Windows-Manier mit Klicki-Bunti konfigurieren..... das ist eher immer nur rudimentär unterstützt. Und mal ganz im Ernst, nen Firewall-Router, ankommende oder statische VPN-Verbindungen, integrierte VMs, usw. wirst Du nicht wirklich grafisch warten wollen... *lol*

Der Virtmanager macht meines Erachtens nur auf Enduser-Desktop-Systemen richtig Sinn... damit kann ich mir dann auf meinem Desktop VMs einrichten, um z.B. mal einen Blick auf eine andere Distribution zu werfen, oder um 'bestimmtes' Surfen zu isolieren. Sobald aber Server-Funktionalität das Ziel ist, würde ich solche VMs immer Headless einrichten. Das ist übrigens auch noch eine Entscheidung, die Du treffen musst: Willst Du Oracle VirtualBox verwenden oder solls QEMU/KVM sein? Ich habe jetzt nach Jahren VB endgültig abgelöst und alle meine VMs auf dem Server headless mit KVM realisiert. Ganz nebenbei bemerkt ist auf einem solchen Multi-System-Server der grafische Kram in mehrfacher Ausprägung nur eine völlig unnötige CPU-Bremse, die schlichtweg die Server-Performance negativ beeinflusst. Vergiss das am besten einfach....