网桥wlan和4addr:
桥接wlan0是很痛苦的。通常,您不能将其添加到桥接接口(brctl返回“不允许的操作”),并且使用VirtualBox的“桥接”过滤器会导致ARP和DHCP冲突。原因是默认情况下802.11帧仅包含三个地址:两个无线设备(笔记本电脑和AP)以及最终接收者(如在以太网中)的MAC地址。始终假定只有一个可能的发起者。
802.11可以携带第四个始发者的MAC地址,转发器在WDS模式下使用它。也可以使用iw在Linux上启用此功能,启用此模式将允许在桥接接口以及VirtualBox桥接网络中使用wlan0:
iw dev wlan0 set 4addr on
但是,启用4addr后,AP可能会完全忽略您:关联成功,但所有数据帧都消失在以太帧中。这可能是出于安全原因(因为很难欺骗源MAC地址。是的。)在我的路由器(运行OpenRG)中,有必要为无线AP接口启用“ WDS”模式,添加仅限于我的WDS设备笔记本电脑的MAC地址,并将其添加到LAN桥。4addr数据包现在可以工作了。
但是,这还有另一个问题–路由器现在拒绝来自笔记本电脑的三地址数据包,这可能非常不方便(每次更改WLAN网络时都必须切换4addr)。解决方法是在笔记本电脑上添加链接到同一设备但具有不同MAC地址的第二个无线接口。首先撤消较早的配置:
iw dev wlan0 set 4addr off
然后,添加另一个接口-名称是任意选择的-具有不同的MAC地址:
iw dev wlan0 interface add wds.wlan0 type managed 4addr on
ip link set dev wds.wlan0 addr <addr>
ip link set dev wds.wlan0 up
这里必须匹配路由器中配置的WDS设备地址;除此之外,它可以是任何有效的MAC地址。然后保留wlan0的原始MAC,以供“正常”使用。
可以同时使用wlan0和wds.wlan0-尽管我只测试了两次与同一AP关联,而不是与不同AP关联。我猜他们至少需要在同一频道上。
有人问,当VirtualBox可以桥接WiFi时,为什么要使用此功能。答案是VirtualBox不会发送虚拟机的MAC地址;它会发送虚拟机的MAC地址。相反,它也在MAC层执行NAT。– 2014-08-22
直接WLAN桥
在某些情况下,您也可以使用wlan_kabel。它使用数据包套接字直接将wlan *-设备与以太网设备桥接。但是,一次只能使用wlan_kabel桥接一个MAC。它没有被接入点禁止的缺点,因为仅使用了wlan设备的原始MAC。在您的情况下,这意味着wlan0只能由一个VM使用,甚至不能由主机使用。您可以在这里获取wlan_kabel。这类似于macvlans解决方案。
与ipvlan桥接
IP Vlan没有网桥的限制,可用于网桥网络,有关如何使用它的详细信息,请参见此处。
假面舞会替代品
可以将Linux路由与iptables-masquerade和ip_forward结合使用以实现桥接,但是如前所述,这需要启用ip_forward并使Linux像路由器一样工作,因此需要谨慎设置,因为这可能会引起一些安全隐患。
# bridge setup
brctl addbr br0
ifconfig br0 10.10.20.1/24 up
# enable ipv4 forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
# netfilter cleanup
iptables --flush
iptables -t nat -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
# netfilter network address translation
iptables -t nat -A POSTROUTING -o wlan0 -s 10.10.20.0/24 -j MASQUERADE
然后,接口br0将可以访问wlan0网络
重要及相关
另外,非常重要的一点是,您不应使用过时的,过时的命令,例如ifconfig,brctl等。iproute2套件包含用于所有这些功能的命令,包括设置虚拟接口(我们曾经不得不使用openvpn的接口)和创建网桥。如果您不知道如何使用ip建立网桥,那么我们开始吧
ip tuntap add tap0 mode tap user root
ip link set tap0 up
ip link add br0 type bridge
ip link set tap0 master br0
ip link set eth0 master br0
ip addr add 10.173.10.1/24 dev br0
ip link set br0 up
使用这组命令,我们创建了一个名为tap0的虚拟接口,然后创建了一个名为br0的网桥,然后将eth0和tap0奴役到该网桥,并为其分配IP地址10.173.10.1,然后将其全部启动。需要三个单独的实例来启动接口(对于tap0,eth0和br0)。
完成这项工作的技巧是使用proxy.arp,它使您的PC(而不是VM / Linux容器/网络名称空间)可以代替它们来回答ARP查询。
换句话说,通过在硬件接口和虚拟接口之间使用IPv4转发,您认为可以将VM / LXC / NNS像物理接口一样连接到LAN,但这不是真的:您完全忘记了基本的ARP流量,这才是真正允许LAN运行的功能。因此,问题是:如果我正确转发了IPv4流量,又如何转发ARP流量,以便我的VM / LXC / NNS正常工作?诀窍是使用proxy-arp。
完整的答案在Bohdi Zazen的Blog中,标题很显眼:Bridge无线卡。他使用过时的软件包uml-utilities来通过命令tunctl创建虚拟接口:这是他唯一使用uml-utilities的命令,因此您可以放心地忽略下载该软件包,并使用命令I上面写的创建了一个tap或tun界面,您可以随意修改相应的命令。然后为您的LXC创建一个veth对,现在在tap0和veth0之间创建一个桥接。必须将此桥称为br0,而不是Bohdi Zazen描述的简单tap0接口。
来源:askubuntu.com,nullroute.eu.org,firejail.wordpress.com,superuser.com