Gateway mit Linux Network Namespaces

Aus Freifunk Franken

In dieser Anleitung sollen alle nötigen Schritte gezeigt werden, um auf einer nahezu beliebigen Linux Maschine ein Freifunk Gateway in einem separatem Network Namespace zu betreiben. Inspiriert ist die Konstruktion durch diese Anleitung zu Routing mit Wireguard.

Motivation

Überblick
Namespaces bieten eine elegante Alternative um auf (vorhandenen) Systemen zusätzlich Freifunk zu integrieren ohne zu schwer ins Hostsystem einzugreifen. Gleichzeitig ist diese Lösung schlanker als eine VM, oder sogar Container, wobei diese Anleitung auch gut als Blaupause für einen Docker-, oder LXC-Container benutzt werden kann. Wer schon einen Linuxrouter betreibt und jetzt zusätzlich ein Freifunknetz zum Beispiel über ein separates VLAN bereit stellen möchte, braucht so keine extra Hardware, hat aber aber trotzdem eine saubere Trennung zwischen seinen Netzen.
Keine aufwendiges Policy Routing nötig
Die aktuelle Firmware und andere Anleitungen benutzen Policy Routing, um Routingloops usw. aufzulösen. Die Rules sind kompliziert und müssen separate für IPv4 und IPv6 erstellt werden. Mit Networknamespaces ist dies nicht mehr nötig.

Namespaces

Den meisten sollten Container ein Begriff sein. Mit Containern kann man Prozesse vom Hostsystem isolieren, ohne gleich eine Virtuelle Maschine starten zu müssen. Der Linux Kernel stellt dazu Namespaces bereit, mit denen einzelne Teile des Systems separat vom Hostsystem isoliert werden können. Man kann Beispielsweise die Sicht auf das Dateisystem, Prozesse, Benutzer und eben Netzwerk separat einschränken. Nimmt man alles richtig zusammen, kann man mit diesen Namespaces Container bauen.

Die Liste aller Namespaces findet ihr in der man 7 namespaces man-page.

In dieser Anleitung benutzen wir aber nur den Network Namespace und später den UTS Namespace. Wir behalten also mehr oder weniger die Umgebung bei (Dateisysteme, Prozesse...) und isolieren nur Netzwerk und den UTS Namespace.

Die wichtigsten Programme um mit diesen Namespaces umzugehen sind:

Network Namespaces

Aus der man 8 ip-netns man-page:

A network namespace is logically another copy of the network stack, with its own routes, firewall rules, and network devices.

Wir werden einen Networknamespace erstellen, indem sämtlicher Freifunkverkehr verwaltet wird - komplett getrennt vom Hostsystem.

Network Namespace TL;DR

# ip netns add f3
# ip netns
f3
# ip netns exec f3 /bin/bash
# ip a 
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
# exit
# ip netns del f3
# ip netns
#

In diesem Beispiel wird mit ip netns add f3 ein Network Namespace mit dem Namen "f3" erstellt.

ip netns zeigt alle vorhanden Namespaces außer den default Namespace an.

ip netns exec [NAME] [CMD] startet einen neuen Prozess [CMD] in einem Network Namespace mit dem Namen [NAME]. Im Beispiel wird eine neue Bash im f3 Namespace gestartet.

Ein neuer Namespace hat immer ein unkonfiguriertes lo Interface. Dieses ist nicht das gleiche Interface wie im default Namesapce.

Mit exit oder Ctrl-D wird die Shell beendet und man ist wieder im default Namespace.

ip netns del [NAME] löscht einen Namespace

UTS Namespace (Optional)

Network Namespaces erstellen leider keinen separaten Hostname zur Verfügung. Dazu braucht es den UTS Namespace.

host # touch /tmp/uts
host # unshare --uts=/tmp/uts hostname f3-test
host # nsenter --uts=/tmp/uts /bin/bash
f3-test # exit
host # umount /tmp/uts

Mit unshare erstellen wir einen neuen UTS Namespace und assoziieren diesen mit der Datei /tmp/uts. Als Befehl geben wir unshare hostname f3-test mit. Dieser Befehl wird in dem neuen Namespace ausgeführt und setzt dort den Hostname zu f3-test.

ns-enter kann jetzt verwendet werden um weitere Prozesse in diesem Namespace zu starten, im Beispiel wieder eine Shell. Wenn eure Shell passend konfiguriert ist und stets euren Hostname anzeigt, dann solltet ihr im Prompt sofort f3-test stehen haben.

Da die ganze Namespacemagie Bindmounts benutzt, kann man mit umount den Namespace wieder löschen. Dazu müssen aber alle Prozesse darin beendet sein, oder umount blockiert.

TODO

  • Network Namespace
  • UTS Namespace
  • wireguard
  • babeld
  • dnsmasq
  • monitoring
  • firewall
  • shell screencaps