问题[nmcli](server)

我有一个 manjaro linux 服务器，至少有两个网络接口控制器 (NIC)，并且希望将所有流量路由到某个 IP 地址范围或子网，通过一个路由，其他所有流量路由到另一个。

到目前为止，我已经通过 配置了网络nmcli，但我对这个主题的了解很有限。

理想情况下，该解决方案将通过命令行工作，持久且不强烈依赖于使用的发行版。

编辑：根据使用 nmcli / Centos 7的路由 IP 流量，类似于

nmcli connection modify "Wired connection 1" +ipv4.routes "10.0.0.0/16"

应该可以工作，但是这些包似乎没有通过正确的网络路由。

A/ 带有以太网的主机 (Fedora 33) 如果eth0. ip 192.168.18.11(/24)
和
B1/ Kvm guest with ifvnet0被奴役到virbr101. ip 192.168.101.88(/24)（手动路由，静态 IP）
或
B2/Kvm guest with ifvnet1被奴役到virbr102. ip 192.168.102.210(/24) (virt-manager 路由, DHCP)

使用下面显示的配置，我似乎缺少让它工作的步骤。不知道如何调试我的设置。

会发生什么：

1. 从 A，我可以 ping B 和 ssh 进入 B
2. 从 B，我可以 ping A
3. 从A，我可以ping 192.168.18.1
4. 从 B，我无法 ping 192.168.18.1，这就是我现阶段要解决的问题

B1 和 B2 之间的区别在于，如果我 ping 一个命名服务器，例如 google.com，用 B1 它说没有到主机的路由，用 B2 它找到 IP 地址，但没有 ping 回复。

nmcli使用+ brctl+的路由网络nft

在主机上，virbr101：

ip link add virbr101-mac address 52:54:41:0b:00:01 type dummy
brctl addif virbr101 virbr101-mac

文件ifcfg-virbr101：

DEVICE=virbr101
NAME=virbr101
# Change to 'no' to disable NetworkManager for this interface.
NM_CONTROLLED=yes
ONBOOT=yes
TYPE=Bridge
DELAY=2
STP=on

IPADDR=192.168.101.1
NETMASK=255.255.255.0

激活此界面：

nmcli connection load /etc/sysconfig/network-scripts/ifcfg-virbr101
nmcli connection up virbr101

启用 ip 转发：

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
echo "net.ipv4.conf.all.forwarding=1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding=1" >> /etc/sysctl.conf
sysctl -p

使用以下nft命令路由接口：

delete table ip filter
add table ip filter
add chain ip filter INPUT
add chain ip filter FORWARD
add chain ip filter OUTPUT
add rule ip filter FORWARD oifname "virbr101" ip daddr 192.168.101.0/24 counter accept
add rule ip filter FORWARD iifname "virbr101" ip saddr 192.168.101.0/24 counter accept
add rule ip filter FORWARD iifname "virbr101" oifname "virbr101" counter accept
add rule ip filter FORWARD iifname "virbr101" counter reject
add rule ip filter FORWARD oifname "virbr101" counter reject

路由网络使用virt-manager

网络：

<network>
  <name>bridged102</name>
  <uuid>2e8d6e42-b70e-43c8-8523-02008070f03c</uuid>
  <forward dev="ens3" mode="route">
    <interface dev="ens3"/>
  </forward>
  <bridge name="virbr0" stp="on" delay="0"/>
  <mac address="52:54:00:42:1d:e4"/>
  <domain name="bridged102"/>
  <ip address="192.168.102.1" netmask="255.255.255.0">
    <dhcp>
      <range start="192.168.102.128" end="192.168.102.254"/>
    </dhcp>
  </ip>
</network>

访客界面：

<interface type="network">
  <mac address="52:54:00:ee:a6:67"/>
  <source network="bridged102" portid="238df934-14ac-422e-bfbd-a4047a9444fb" bridge="virbr0"/>
  <target dev="vnet1"/>
  <model type="virtio"/>
  <link state="up"/>
  <alias name="net1"/>
  <address type="pci" domain="0x0000" bus="0x00" slot="0x08" function="0x0"/>
</interface>

对于virt-manager解决方案，我遵循了以下示例：libvirt docs // Network XML format // Routed network config

我正在向运行 NetworkManager 的 CentOS 8 服务器添加辅助 IP。我以前会使用ifcfg样式的配置文件来完成此操作，但我正在尝试拥抱未来和 RHEL/CentOS 设定的方向。不幸的是，这并没有按照我的预期进行。

我所期待的是一个新的以太网接口。想要这个的原因是，它允许我将不同的服务绑定到不同的 IP，可能在同一个端口上。这不是什么新鲜事，它在以前版本的 CentOS 中“只是适用于”像ifcfg-eth0:1这样的文件。现在，我的ifcfg-eth0:1别名文件要么被完全忽略，要么导致将额外的 IP 添加到主接口。到目前为止，还没有任何方法创建额外的网络接口。

我现在的问题是：这在 CentOS8 中是否真的可能而无需恢复到网络脚本？将服务绑定到特定网络接口的概念是否已成为过去？

我想将 VPN 连接添加到多台机器，并在使用默认以太网连接时让它们自动激活。但是我需要我刚刚添加的 VPN 连接的 UUID 来配置自动连接。

到目前为止，我使用以下方法导入 VPN 连接：

$ sudo nmcli connection import type openvpn file some_dynamic_name.ovpn
Verbindung »some_dynamic_name« (0724d07e-4a31-488d-91e8-fd6031679dd6) erfolgreich hinzugefügt.

some_dynamic_name应该在哪里，connection.id并且uuid对应于connection.uuid。鉴于此 UUID，我现在可以将目标连接配置为自动使用 VPN：

$ nmcli connection modify "Kabelgebundene Verbindung 1" connection.secondaries 0724d07e-4a31-488d-91e8-fd6031679dd6

从理论上讲，我可以解析输出并将其传递给第二个命令，尽管我不知道输出是否可以被认为是稳定的，我想将其添加到脚本以进行无人值守设置。我可以以某种方式指定响应的输出格式吗？我知道我可以传递--get-values connection.uuid给 import 命令（直接在之后nmcli），尽管这并没有改变任何东西

我想为 eth0 接口分配一个静态 IP 地址，而不需要 DHCP 分配一个动态地址。我尝试将方法设置为手动，但这并没有帮助，我最终在接口上获得了 2 个 IP，一个是静态的，另一个是动态的。我希望使用 nmcli 在接口上只有一个静态 IP

/etc/NetworkManager/system-connections/static.nmconnection：

[connection]
id=static
uuid=5da74c14-d9da-4e15-90c9-5f37913d5610
type=ethernet
interface-name=eth0
permissions=
timestamp=1584007539

[ethernet]
mac-address-blacklist=

[ipv4]
address1=172.17.1.222/24,172.17.0.1
dns=172.17.0.221;172.17.0.220;
dns-search=
method=manual

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
method=ignore

ip一个：

eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether dc:a6:32:3b:22:03 brd ff:ff:ff:ff:ff:ff
inet 172.17.1.222/24 brd 172.17.1.255 scope global noprefixroute eth0
   valid_lft forever preferred_lft forever
inet 172.17.12.14/16 brd 172.17.255.255 scope global dynamic noprefixroute eth0
   valid_lft 602857sec preferred_lft 527257sec
inet6 fe80::dea6:32ff:fe3b:2203/64 scope link 
   valid_lft forever preferred_lft forever