Systemd-networkd

systemd-networkd — системная служба для управления сетевыми настройками. Её задачей является обнаружение и настройка сетевых устройств по мере их появления, а также создание виртуальных сетевых интерфейсов.

systemd/udev автоматически назначает постоянные имена для обнаруженных Ethernet, WLAN и WWAN-интерфейсов, список которых можно увидеть по команде networkctl.

Чтобы изменения файлов конфигурации вступили в силу, необходимо перезапустить службу systemd-networkd или выполнить команду # networkctl reload.

Конфигурационные файлы

Конфигурационные файлы сетевых служб systemd хранятся в каталоге /etc/systemd/network.

Существует четыре типа конфигурационных файлов:

• .network — описывают параметры сети: IP, маршруты, DNS и другие;
• .link — описывают физические параметры каждого интерфейса: имя, MAC, MTU и т.д.;
• .netdev — описывают виртуальные интерфейсы, мосты;
• networkd.conf — содержит общие параметры из конфигурационных файлов других типов, справедливые для всех сетей и интерфейсов, находится в /etc/systemd.

Файл .network

Ниже приведены некоторые параметры основных секций такого файла (подробнее см. man systemd.network(5)).

Секция [Match]

Определяет, может ли такой сетевой файл быть применен к заданному устройству.

Секция [Network]

Определяет способ настройки устройства.

Секция [Route]

Таких секций может быть указано несколько — для каждой сети назначения.

Секция [DHCPv4]

Принимает настройки от DHCP-сервера.

Секция [DHCPServer]

Отправляет настройки DHCP-клиентам.

Секция [DHCPServerStaticLease]

Таких секций может быть столько, скольки устройствам следует присвоить постоянные адреса.

Пример скрипта для просмотра выданных адресов (потребуется установить пакет jq):

#!/bin/sh
# https://askubuntu.com/questions/1415200/where-does-systemd-networkd-keep-dhcp-leases-when-acting-as-dhcpserver

NET=wifi
NUM=`ip -o li sh $NET`
ORG=org.freedesktop.network1

busctl -j get-property $ORG /${ORG//.//}/link/${NUM%%:*} $ORG.DHCPServer Leases |
jq -r  'def bytehex: [(./16|floor), .%16] | map(if . < 10 then 48 + . else . + 87 end) | implode;
    def formatentry:
        (.[2]|map(tostring)|join(".")) as $ip | (.[1][1:]|map(bytehex)|join(":")) as $mac | "\($ip)\t\($mac)";
    .data[] | formatentry' | sort -V

Файл .netdev

В таких файлах прописывается создание виртуальных сетевых интерфейсов. Ниже приведены некоторые параметры (подробнее см. man systemd.netdev(5)).

Секция [Match]

Определяет, может ли такой сетевой файл быть применен к заданному устройству.

Секция [Netdev]

Секция [Bond]

Применяется для сетевых связок/объединений.

Пример настройки:

[NetDev]
Name=bond1
Kind=bond

[Bond]
Mode=802.3ad
TransmitHashPolicy=layer3+4
MIIMonitorSec=1s
LACPTransmitRate=fast

Секция [VLAN]

Применяется только для сетевых устройств типа «vlan».

Пример настройки:

[Match]
Virtualization=no

[NetDev]
Name=vlan100
Kind=vlan

[VLAN]
Id=100

Файл .link

Такие файлы выступают в качестве альтернативы пользовательским правилам udev и применяются при обнаружении менеджером нового устройства. Их можно использовать (но не всегда срабатывает) вместо редактирования правил udev для назначения интерфейсу нового имени. Файл состоит из секций [Match] и [Link]. Ниже приведены основные параметры обеих секций (подробнее см. man systemd.link(5)).

Секция [Match]

Определяет, может ли файл .link быть применен к заданному устройству.

Секция [Link]

Глобальный файл networkd.conf

В этом файле можно для всех интерфейсов и сетевых подключений указать некоторые параметры, свойственные файлам типа .network и .link.

Секция [Network]

Подробнее см. man networkd.conf(5).

Примеры

Переключение с etcnet/NetworkManager на systemd-networkd

Подготовка

1. Установка пакета systemd-timesyncd, который пригодится сразу после переезда, автоматически тянет за собой собственно systemd-networkd:

   # apt-get install -y systemd-timesyncd

2. Дабы оставить возможность отката, вместо сноса etcnet пока достаточно просто переименовать его каталог:

   # mv -f /etc/net /etc/net.old

3. Создать в каталоге /etc/systemd/network/ пару файлов автонастройки по DHCP для проводных (lan.network) и беспроводных (wifi.network) интерфейсов (предварительно удостоверившись в отсутствии настроенных на статические адреса туннелей, вланов, мостов и т.п.) со следующим содержимым:

   [Match]
   Name = X* # вместо "Х" — "e" для lan.network и "w" для wifi.network
   
   [Network]
   DHCP = ipv4
   

Проводная сеть

Пора переключиться с etcnet/NetworkManager на systemd-networkd:

# systemctl disable --now network NetworkManager && systemctl enable --now systemd-networkd

Для проверки работоспособности нового сервиса следует перезагрузиться с воткнутым сетевым кабелем (поскольку Wi-Fi ещё не настроен) и сразу после перезагрузки — убедиться, что адрес получен каким-то из интерфейсов:

$ networkctl
$ ip -o a | awk '!/inet6|lo /'
...или ровненько:
$ ip -o a | sed '/inet6/d;/lo /d;s|\s*inet|  \tinet|;s|brd|\tbrd|;s|scope|\tscope|;s|\\\s*|\t|'

Беспроводная сеть

Для подключения к Wi-Fi понадобится...

1. Создать конфиг, например /etc/wpa_supplicant/wpa_supplicant-wlan0.conf:

    ctrl_interface=/run/wpa_supplicant
    ctrl_interface_group=wheel
    eapol_version=2
    fast_reauth=1
    ## Только для бродкомов ##
    #preassoc_mac_addr=0
    #mac_addr=0
    ##########################
   

2. Добавить в этот файл точку доступа, не светя пароль в настройках:

   # wpa_passphrase "BSSID" "пароль" | sed '/#/d' >>/etc/wpa_supplicant/wpa_supplicant-wlan0.conf

3. Включить авторизацию: # systemctl enable wpa_supplicant@wlan0
4. Перезагрузиться с выдернутым сетевым кабелем и вышеописанным способом проверить работоспособность уже Wi-Fi.

Для отключения Wi-Fi достаточно остановить авторизацию: # systemctl stop wpa_supplicant@wlan0

DNS

С получением ДНС-серверов по сети прекрасно справляется systemd-resolved, который нужно установить, запустить и нацелиться на /run/systemd/resolve/resolv.conf символьной ссылкой /etc/resolv.conf, заменив ею файл openresolv'а:

# apt-get install systemd-resolved
# systemctl enable --now systemd-resolved
# ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf

Для закрепления имени компьютера можно создать файл /etc/sysctl.d/sysname.conf со следующим содержимым:

kernel.hostname = <имя компьютера>
kernel.domainname = <имя домена> # опционально

Уборка

Если всё получилось, можно:

• вернуть на место каталог /etc/net:

  # mv -f /etc/net.old /etc/net

• удалить ненужные более openresolv и etcnet:

  # apt-get remove etcnet openresolv

• перезагрузиться.

Заключение

Преимущества такого подхода к настройке сети:

• работает в любом современном дистрибутиве linux в отличие от дистроспецифичных netplan, upstart, etcnet и пр.;
• Wi-Fi подключается ещё при загрузке подобно проводному соединению, а не после входа юзера в иксы, как с NetworkManager;
• ключи от точек доступа из системы не выудить, поскольку в конфиге — только их хэши.

Данная заметка — лишь первый шаг в освоении systemd-networkd и малая часть того, чем я пользуюсь и что он вообще умеет:

• поднимать связки интерфейсов (bonds),
• делить тегированные вланы,
• строить мосты и туннели всех со всеми,
• пробрасывать сети второго уровня поверх третьего,
• выступать не только клиентом DHCP, но и его сервером (пусть и с минимумом настроек),
• прибивать отдельные статические маршруты через винегрет интерфейсов и даже заполнять для них пространные таблицы маршрутизации…

…и многое другое.

Проводной интерфейс

[Match]
Name = enp0s3

[Network]
DHCP = ipv4
LinkLocalAddressing = no
IPv6AcceptRA = false

[DHCPv4]
UseDomains = true
UseDNS = yes

[Match]
Name = enp0s3

[Network]
IPv6AcceptRA = false
Address = 192.168.0.196/24
Gateway = 192.168.0.1
NTP = 192.168.0.100
DNS = 8.8.8.8
Domains = test.alt

Сетевой мост с DHCP

Для создания моста на интерфейсе enp0s8 следует выполнить следующие действия:

1. Создать виртуальный интерфейс моста. Для этого создать файл, например, /etc/systemd/network/20-bridge.netdev со следующим содержимым:

   [NetDev]
   Name = vmbr0
   Kind = bridge
   MACAddress = 08:00:27:43:79:7b
   

   Можно не задавать MAC-адрес, в этом случае он будет сгенерирован на основе названия интерфейса и идентификатора машины.

2. Перезапустить systemd-networkd.service, чтобы настройки вступили в силу: # systemctl restart systemd-networkd
3. Проверка:

   $ ip a
   3: enp0s8: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
       link/ether 08:00:27:43:79:7a brd ff:ff:ff:ff:ff:ff
   4: vmbr0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
       link/ether 08:00:27:43:79:7b brd ff:ff:ff:ff:ff:ff
   

   Интерфейс vmbr0 обнаружен, но выключен (DOWN).

4. Привязать реальный интерфейс (в примере — enp0s8) к виртуальному мосту. Для этого создать файл, например, /etc/systemd/network/20-bridge.network со следующим содержимым:

   [Match]
   Name = enp0s8
   
   [Network]
   Bridge = vmbr0
   

   Реальному сетевому интерфейсу не должно быть назначено никакого IP-адреса.

5. Указать сетевые настройки виртуального моста. Для этого создать файл, например, /etc/systemd/network/20-bridge-dhcp.network со следующим содержимым:

   [Match]
   Name = vmbr0
   
   [Network]
   DHCP = ipv4
   

6. Перезапустить systemd-networkd.service, чтобы настройки вступили в силу: # systemctl restart systemd-networkd
7. Проверка:

   $ ip a
   3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master vmbr0 state UP group default qlen 1000
       link/ether 08:00:27:43:79:7a brd ff:ff:ff:ff:ff:ff
   4: vmbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
       link/ether 08:00:27:43:79:7b brd ff:ff:ff:ff:ff:ff
       inet 192.168.0.189/24 metric 1024 brd 192.168.0.255 scope global dynamic vmbr0
          valid_lft 258385sec preferred_lft 258385sec
       inet6 fd47:d11e:43c1:0:a00:27ff:fe43:797b/64 scope global mngtmpaddr noprefixroute 
          valid_lft forever preferred_lft forever
       inet6 fe80::a00:27ff:fe43:797b/64 scope link 
          valid_lft forever preferred_lft forever
   

Объединение/связка (bonding) сетевых интерфейсов

1) Создать связку bond0 с режимом работы active-backup и задать для неё сетевые настройки:

[NetDev]
Name = bond0
Kind = bond

[Bond]
Mode = active-backup
PrimaryReselectPolicy = always
MIIMonitorSec = 10s

[Match]
Name = bond0

[Network]
DHCP = ipv4

2) Включить в связку только enp0s8 и enp0s9 (первые два столбца) либо все интерфейсы по маске скопом (третий):

[Match]
Name = enp0s8

[Network]
Bond = bond0
PrimarySlave = true

[Match]
Name = enp0s9

[Network]
Bond=bond0

[Match]
Name = enp0s*

[Network]
Bond = bond0

3) Перезапустить systemd-networkd или перечитать настройки через # networkctl reload

4) Пример проверки командой networkctl:

IDX LINK   TYPE     OPERATIONAL SETUP     
  1 lo     loopback carrier     unmanaged
  2 enp0s3 ether    routable    configured
  3 enp0s8 ether    enslaved    configured
  4 enp0s9 ether    enslaved    configured
  6 bond0  bond     routable    configured

5 links listed.

IDX LINK   TYPE     OPERATIONAL      SETUP     
  1 lo     loopback carrier          unmanaged
  2 enp0s3 ether    routable         configured
  3 enp0s8 ether    no-carrier       configured
  4 enp0s9 ether    enslaved         configured
  6 bond0  bond     degraded-carrier configured

5 links listed.

VLAN

В данном примере создадим два VLAN-интерфейса с идентификаторами 100 и 200 на интерфейсе enp0s3.

1) Привязать сетевой интерфейс к VLAN-ам, для чего в его файл (например, /etc/systemd/network/enp0s3.network) добавить имена будущих VLAN-интерфейсов:

[Match]
Name = enp0s3

[Network]
DHCP = ipv4
LinkLocalAddressing = no
IPv6AcceptRA = false
VLAN = vlan100
VLAN = vlan200

[DHCPv4]
UseDomains = true
UseDNS = yes

2) Создать эту пару VLAN-интерфейсов:

[NetDev]
Name = vlan100
Kind = vlan

[VLAN]
Id = 100

[NetDev]
Name = vlan200
Kind = vlan

[VLAN]
Id = 200

3) Указать сетевые настройки для каждой VLAN:

[Match]
Name = vlan100

[Network]
DHCP = no

[Address]
Address = 192.168.30.25/25

[Match]
Name = vlan200

[Network]
DHCP = no

[Address]
Address = 192.168.30.145/25

4) Перезапустить службу для вступления настроек в силу: # systemctl restart systemd-networkd

5) Проверка:

$ ip -br a
lo              UNKNOWN  127.0.0.1/8       ::1/128 
enp0s3          UP       192.168.0.196/24  fe80::a00:27ff:fe85:1f31/64 
vlan100@enp0s3  UP       192.168.30.25/25  fe80::a00:27ff:fe43:79aa/64 
vlan200@enp0s3  UP       192.168.30.145/25 fe80::a00:27ff:fe85:1f31/64

• или

$ networkctl 
IDX LINK    TYPE     OPERATIONAL SETUP      
  1 lo      loopback carrier     unmanaged
  2 enp0s3  ether    routable    configured 
  3 vlan100 vlan     routable    configured 
  4 vlan200 vlan     routable    configured 

4 links listed.

Ссылки

Настройка сети для контейнера nspawn

Туннелирование через WireGuard (в т.ч. посредством systemd-networkd)

Проброс L2 поверх L3 посредством VXLAN

Благодарности

Заготовку статьи вчерне накропал @NeuroFreak по следам моей ему помощи с настройкой домашней сети на лаптопе. Мне оставалось её вычитать, отрихтовать, дополнить и структурировать (на данный момент это вся первая часть раздела примеров, а также секции [Route], [DHCPServer] и [DHCPServerStaticLease]).

После чего подключились и другие, наполняя статью таблицами параметров и примерами настроек.

Обратная связь

• @gbIMoBou
• Другие статьи