KVM\настройка сети

[jmur]

долго ковырялся с настройками - как только поднимаю мост пропадает инет на хосте, причём br0 нормально получает адрес по dhcp.
 потом понял что мешает iptables -  если в таблицах по умолчанию ставить ACCEPT то инет на хосте с мостом есть.
Вопрос - что нужно конкретно разрешить в правилах iptables?

[Andreysen]

Была такая проблема. Установил KVM,  установил гостевую XP, настроил бридж. Как только запускал гостевую - пропадал инет на хосте. После целого дня мучений (использовал три разные инструкции настройки бриджа), где-то нашел информацию, что бридж надо создавать до установки гостевой ОС. Я решил это глобально.  Удалил network-manager, удалил KVM, создал бридж,  установил  KVM,  установил гостевую. Инет есть на обоих машинах. В сети друг друга видят (хост стал виден после прописывания рабочей группы в  samba). Вот как все просто оказалось.
Содержимое файла interfaces:

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet manual
auto br0
iface br0 inet static
   address 192.168.0.2
   netmask 255.255.255.0
   network 192.168.0.0
   broadcast 192.168.0.255
   gateway 192.168.0.1
   bridge_ports eth0
   bridge_fd 9
   bridge_hello 2
   bridge_maxage 12
   bridge_stp off

Хостовая система Ubuntu server 10.04
Физически имеется две сетевые  карты, но используется только одна. Интернет и локальная сеть через роутер dlink dir-320
Пользователь решил продолжить мысль 11 Сентября 2010, 10:57:11:
Первая проблема решена, но теперь прошу помочь решить вторую:
Мне нужен одновременно удаленный доступ и на хост и на гостевую. Когда запускается гостевая XP, к ней есть доступ как из локалки так и из интернета по RDP порт 3389. На хост не могу зайти ни по VNC (порт 5900) ни по SSH (порт 22). В настройках "Удаленный рабочий стол" на хосте пишет, что доступ есть только из локальной сети. Но доступа нет ниоткуда. Айпи адреса назначены вручную.
IP гостевой 192.168.0.25
IP хоста 192.168.0.2
IP роутера 192.168.0.1

На роутере настроен проброс портов:
3389 на 192.168.0.25
22 на 192.168.0.2
5900 на 192.168.0.2

Если выключаю виртуальную машину, то доступ на хост появляется и из локалки и из инета.

Подскажите, пожалуйста, что и как надо настроить.

Хост: Ubuntu Server 10.04, установлен графический интерфейс ubuntu-desktop, network-manager удален.
Содержимое файла interfaces:

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet manual
auto br0
iface br0 inet static
   address 192.168.0.2
   netmask 255.255.255.0
   network 192.168.0.0
   broadcast 192.168.0.255
   gateway 192.168.0.1
   bridge_ports eth0
   bridge_fd 9
   bridge_hello 2
   bridge_maxage 12
   bridge_stp off

[cyber-punk]

Бодрого времени суток, господа.
Прочитал пост, но вопросы остались. А именно.
Если я правильно понимаю инструкцию https://help.ubuntu.com/community/KVM/Networking#bridgednetworking
то для того, чтобы поднять bridge, надо выполнить непонятные манипуляции с Assign CAP_NET_ADMIN Capability
Донесите до моего воспаленного множеством буржуйских статей мозга, что здесь имеется ввиду?
А еще лучше помогите перевести вот эту часть:

(Нажмите, чтобы показать/скрыть)

Configuring Bridged Networking

Bridged networking allows the virtual interfaces to connect to the outside network through the physical interface, making them appear as normal hosts to the rest of the network.

Warning: Network bridging will not work when the physical network device (e.g., eth1, ath0) used for bridging is a wireless device (e.g., ipw3945), as most wireless device drivers do not support bridging!

Assign CAP_NET_ADMIN Capability

Bridged networking does not work by default. Since the release of kernel 2.6.18 in Sep 2006, the CAP_NET_ADMIN capability is required to use TUN/TAP networking (bug #103010).

    *

      Install the qemu package (qemu-kvm in lucid or newer):

      sudo apt-get install qemu

    *

      Install the Linux capabilities tools:

      sudo apt-get install libcap2-bin

    *

      Ubuntu 10.4 (Lucid) and later - Grant specific users the CAP_NET_ADMIN capability. This capability should be assigned cautiously, as it will allow those users to disrupt all networking on the system.
          o

            Give qemu the inheritable CAP_NET_ADMIN capability, for 64-bit:

            sudo setcap cap_net_admin=ei /usr/bin/qemu-system-x86_64

            for 32-bit:

            sudo setcap cap_net_admin=ei /usr/bin/qemu

          o

            Allow specific users to gain the inheritable CAP_NET_ADMIN capability by editing /etc/security/capability.conf:

            cap_net_admin        USER-NAME-HERE

    *

      Releases prior to Ubuntu 10.4 (Lucid) - Grant all users the CAP_NET_ADMIN capability. Use with extreme caution as it will give all users the ability to disrupt all networking on the system.
          o

            Give qemu the forced CAP_NET_ADMIN capability:

            sudo setcap cap_net_admin=ep /usr/bin/qemu-system-*

    *

      Note that the filesystem capabilities above will be lost on every qemu upgrade, since setting of the file system capability is not supported by Ubuntu packaging (see FilesystemCapabilities for details on the blockers). For a good overview of Linux capabilities and QEMU see this writeup.

Потому что после автоперевода гугля мозг просто вытекает в виде слёз...

Спасибо...

To Andreysen
Пользователь решил продолжить мысль 17 Марта 2011, 19:52:17:

Подскажите, пожалуйста, что и как надо настроить.

Думаю, что в твоем случае поможет совет от Александра Фёдорова « Ответ #6 : 31-03-2010, 14:45:40 »
Пропиши отдельно настройки адреса на eth0 и на br0
По идее, тогда ты сможешь ходить и на хост и на гостя.
По крайней мере логика подсказывает именно так...

[MadKox]

Там написано, что начиная с ядра 2.6.18 для использования TUN/TAP интерфейсов нужно иметь права CAP_NET_ADMIN. Для этого сначала нужно поставить libcap2-bin:

Код: [Выделить]

sudo aptitude install libcap2-bin
потом дать qemu эти права:

Код: [Выделить]

# для amd64
sudo setcap cap_net_admin=ei /usr/bin/qemu-system-x86_64
# для i386
sudo setcap cap_net_admin=ei /usr/bin/qemu
и дать права пользователю, для этого правим /etc/security/capability.conf:

Код: [Выделить]

cap_net_admin        имя_пользователя
(все вышеперечисленное для версий больших или равных 10.04)

Еще могу добавить, что если используется бриджинг - лучше снести родной qem'увский NAT интерфейс:

Код: [Выделить]

virsh net-destroy default
virsh net-undefine default
И если нужно иметь доступ как до хоста, так и до гостей (например все сидят на разных реальных IP), и при этом хочется закрыть хост iptables'ами нужно рассказать об этом iptables. Для этого правим /etc/sysctl.conf и добавляем в него:

Код: [Выделить]

net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0
А при каждой загрузке делаем:

Код: [Выделить]

/sbin/sysctl -p /etc/sysctl.conf
Вот и все.

ЗЫ: еще вот эта WiKi очень просветляет 

[cyber-punk]

Там написано, что начиная с ядра 2.6.18 для использования TUN/TAP интерфейсов нужно иметь права CAP_NET_ADMIN. Для этого сначала нужно поставить libcap2-bin:

Ну это, более или менее, понятно.
Непонятно, зачем это делать? Или, если этого не сделать, то я не смогу поднять бридж? Или я не смогу поднять бридж от пользовуателя, которому эти права не даны? Как же тогда быть с автоматическим запуском виртуалок?..

[MadKox]

Ну это все критично при работе не от рута. Рут - естественно имеет все необходимые привилегии "из каропки". Т.ч. если у вас qemu работает от рута - все пункты про CAP_NET_ADMIN можно пропустить...

[Sliver]

А еще можно сделать гостя, который имеет и br0 и br1 интерфейсы и соответственно "живет" в 2-х сетях =)

Подскажите, если стоит задача сделать мост br0 с рррое-соединения ppp0, установленного на сетевом интерфейсе eth0. При этом, через рррое сессию промаршрутизирована сеть из двух реальных IP. Необходимо поднять рррое-соединение ppp0, на мосту br0 настроить один из реальных IP в качестве шлюза, а на гостевой VM настроить внешний реальный IP и указать ему шлюзом поднятый мост. При этом, есть необходимость в мосте br1, поднятым на интерфейсе eth1 для доступа к гостевым VM из локальной сети. Как это реализовать с рррое сессией?
В инете пишут, что нужно сразу поднимать мост br0 с интерфейсом eth0, а на гостевой VM устанавливать рррое-соединение с провайдером. Но как в таком случае установить два реальных IP, выдаваемых провайдером? Или как логичнее их использовать?