Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über www.dnb.de abrufbar.

© 2017 Markus Stubbig

Herstellung und Verlag: BoD – Books on Demand GmbH, Norderstedt

1. Auflage 2017

ISBN: 978-3-7460-8301-8 (Paperback)

Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sonstige Vervielfältigung, Übersetzung, Verbreitung und öffentliche Zugänglichmachung.

Inhaltsverzeichnis

Vorwort

VyOS? Nie gehört!

Das ist die übliche Reaktion. Dennoch halten Sie dieses Buch in der Hand. Recherche? Schnäppchen?

Oder einfach nur neugierig? Wenn VyOS so toll ist, dass es ein ganzes Buch füllen kann, warum wird es dann nicht überall eingesetzt und in den Fachzeitschriften besungen?

Berechtigte Frage, denn grundsätzlich kann VyOS alles! Die kleinen Fehler tauchen erst im Lauf der Kapitel auf. Wenn Sie dieses Buch tatsächlich ganz oder teilweise durcharbeiten, werden Sie merken, ob VyOS zu Ihnen passt und in Ihrem Umfeld Aufgaben übernehmen darf.

Allzu häufig gehört der persönliche Geschmack mit zu den Entscheidungskriterien. Wer kauft schon Cisco, wenn er für diese Firma nichts übrig hat? VyOS macht da keinen Unterschied, also bitte: Gehen Sie neutral an die Sache heran. Und wenn Sie nur Aufgrund von Neugierde durchblättern, haben Sie die besten Voraussetzungen.

VyOS kam mir bei einer Recherche unter die Finger: Ich brauchte ein offenes Router-Betriebssystem, dass ich um Dynamic Multipoint–VPN erweitern wollte. Kandidaten gab es viele und mit fast allen war dieses Vorhaben möglich, wenn auch mit unterschiedlich hohem Aufwand. Die alphabetische Vorgehensweise brachte VyOS ans Ende der Liste. Die Evaluierung ist immer gleich: Distro installieren, Paketsystem untersuchen, Software kompilieren, Konfiguration in vorhandene GUI/CLI einbauen. Bei VyOS kam die Überraschung: DMVPN war bereits integriert und vollständig nutzbar. Recherche beendet.

In meinen Fingern lebt die Kommandostruktur eines Cisco-Routers, daher war die Bedienung von VyOS erst mal anders und blöd. Aber der Rest hat mich überzeugt. Und hier liegt diese Überzeugung gebunden oder als E-Book vor Ihnen.

Viel Spaß beim Ausprobieren, Staunen und Fluchen.

Übersicht

Teil 1, Für Einsteiger, beginnt mit dem Aufbau der Netzwerk-Umgebung mit physikalischen Geräten oder auf einer virtuellen Plattform. Die erstellten Maschinen erhalten ihr Betriebssystem und eine erste Konfiguration. Anschließend gesellen sich die grundlegenden Funktionen Routing und Logging dazu.

In Teil 2, Für Fortgeschrittene, bekommen die Router ernsthafte Aufgaben, die in jedem Netzwerk unabhängig von seiner Größe, erfüllt sein müssen. Neben dem Einsatz als Firewall und Adressumsetzer, zeigt VyOS seine Fähigkeiten bei IPv6 und als Webproxy.

Teil 3, Für Experten, taucht in Enterprise-Themen ein und baut standortverbindende VPN-Tunnel und Router-Cluster zur Verfügbarkeitssteigerung. Ein Kompatibilitätstest zeigt die Zusammenarbeit mit Routern von Cisco Systems.

Softwareentwickler kommen in Teil 4, Für Entwickler, auf ihre Kosten. VyOS bringt viele Methoden mit, um eigene Kommandos zu bauen oder Konfigurationsabläufe zu automatisieren. Ein einfaches Managementframework ermöglicht Massenänderungen auf Basis von Python und SSH.

Außerhalb der Laborumgebung macht VyOS in Teil 5, Für Praktiker, eine gute Figur als DSL-Router und Lastverteiler für mehrere Internetleitungen.

Teil 6, Für Trickser, zeigt Möglichkeiten zur Leistungssteigerung und viele kleine Handgriffe, die die tägliche Arbeit mit VyOS reibungsfreier gestalten. Zuletzt wandert die Konfigurationsdatei in die Cloud und landet revisionssicher bei Dropbox oder Google-Drive.

Ressourcen

https://vyos.io

Die Homepage von VyOS liefert einen guten Einstieg ins Thema und verlinkt zum Wiki, Forum, Download-Bereich und zu Video-Anleitungen.

http://blog.vyos.net

Hier verkünden die Entwickler Neuigkeiten oder machen Ankündigungen für Änderungen und Aufrufe an die Community.

http://www.vyatta4people.org

Inoffizielle Verbesserungen, kleine Helper-Tools aus der Community und eigene Softwareentwicklungen sammeln sich auf dieser Webseite. Viele der Angaben beziehen sich auf Vyatta, funktionieren aber auch unter VyOS.

https://dl.networklinx.com/vyatta/

http://www.osvx.net/downloads/docs/vyatta/

Die Handbücher von Vyatta sind hervorragende Nachschlagewerke zur Syntax und Verwendung von einzelnen Kommandos.

Schriftkonventionen

Nichtproportionalschrift zeigt die erzeugte Ausgabe eines Kommandos.

Schreibmaschinenschrift wird für Konfigurationen und Schlüsselwörter benutzt, die buchstabengetreu eingetippt werden müssen.

Nichtproportionalschrift Fett zeigt Befehle, die eine Ausgabe erwarten.

Hervorhebungen weisen auf besondere Wörter oder Zeilen innerhalb von Kommandos oder Bildschirmausgaben hin.

ein-sehr-langer-kommando-aufruf --mit --sehr \ --vielen "Optionen"

Kommandos mit vielen Argumenten können länger als eine Zeile sein. Für die bessere Übersicht werden diese Kommandos mehrzeilig abgedruckt und um zwei Zeichen eingerückt. Am Ende jeder Zeile steht der Backslash als Hinweis darauf, dass es in der nächsten Zeile weitergeht.

Rechtliches

Warennamen und Bezeichnungen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Es ist davon auszugehen, dass viele der Warennamen gleichzeitig eingetragene Warenzeichnen oder als solche zu betrachten sind.

Bei der Zusammenstellung von Texten, Bildern und Daten wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Der Autor lehnt daher jede juristische Verantwortung oder Haftung ab. Für Verbesserungsvorschläge und Hinweise auf Fehler ist der Verfasser dankbar.

Einleitung

VyOS ist ein quelloffenes Netzwerk-Betriebssystem für Router und Firewalls. Es basiert auf Debian-Linux und vereint Applikationen wie Quagga, Netfilter, StrongSwan und OpenVPN unter einem einheitlichen Kommandozeileninterface. VyOS läuft als physikalische Hardware, virtuelle Maschine oder in der Cloud.

Zu den bekannten Namen gehört VyOS noch nicht. Eher unbekannt punktet es in den Bereichen Funktionalität und Bedienung. Denn VyOS hat das Herz von Linux und das Aussehen von Juniper mit der Budgetanforderung eines Freibiers.

VyOS ist:

Unvollkommen. Und das ist positiv gemeint. Da ist noch genug Raum zum Wachsen. Auch die Implementierung von Features ist teilweise eigenartig: Das moderne, und auf besondere Anwendungsfälle spezialisierte VXLAN ist dabei. Bei IPv6 fehlt allerdings noch sehr viel.

Open Source. Der Vorteil einer quelloffenen Lösung ist nicht immer sein Preis. Denn wirklich umsonst ist Open-Source–Software auch nicht! Lizenzgebühren fallen nicht an, aber die Zeit der IT-Abteilung zum Einrichten einer wenig dokumentierten Software ohne Herstellersupport darf nicht unterschätzt werden.

Bis heute stehen die unbewiesenen Vermutungen im Raum, dass der US-Geheimdienst NSA Hintertüren in die Sicherheitssoftware von namhaften Herstellern einbauen lässt. Als Endkunde lässt sich das nicht überprüfen, aber es bleibt eine Spur von Zweifel, wenn diese Geräte im eigenen Netz zum Einsatz kommen.

In Open-Source–Produkten können sich Sicherheitsexperten austoben und haben eine realistische Chance, den Schadcode zu finden. Andersherum ist es für Hersteller auch deutlich schwieriger eine Hintertür im Quellcode zu verstecken, wenn dieser für jedermann offen zugänglich ist.

Try before Buy. Wie bei Shareware-Programmen kann (und sollte) VyOS vor dem Einsatz getestet werden, bevor irgendwelche Investitionen in die Infrastruktur beginnen. Und wer freut sich über eingeschränkten Funktionsumfang, eine Evaluierungslizenz oder einen 30-Tage-Zeitraum? In diesem Zusammenhang steht Try für Ausprobieren mit Beispielszenarien und Buy für den Einsatz in der eigenen Umgebung.

Hardware-frei. VyOS ist Software. Diese Software braucht Hardware. Aber die Wahl der Hardware oder einer virtuellen Umgebung bleibt offen. Das macht eine sichere Kaufentscheidung schwierig. Welche Komponenten sind notwendig, um beispielsweise eine 34 Mbit/s–Leitung mit einem VPN-Tunnel und starker Verschlüsselung zu sättigen?

In der Vergangenheit gab es viele limitierende Gründe, warum eine softwarebasierte Lösung für Netzwerkinfrastruktur nicht an die Leistung der physikalischen Geräte herankam. Der Hauptgrund war das suboptimale Zusammenspiel von Software und Treiber mit der darunterliegenden Hardware. Bei der immens großen Auswahl von Netzwerkkarten, Mainboards, Prozessoren und Memory ist es für eine Software schwierig auf jede Kombination der Komponenten optimal vorbereitet zu sein.

Heutzutage sind normale Server oder eingebettete Systeme überraschend performant, sodass auch eine nicht-optimierte Software bei kleiner Paketgröße Bandbreiten jenseits der 100 Mbit/s durchbrechen kann.

Die Hardware-Frage klärt das Unternehmen Ubiquiti, die ihre EdgeRouter mit einem modifizierten VyOS betreiben. Anpassung, Optimierung und Weiterentwicklung machen daraus mittlerweile das unabhängige EdgeOS. Es gibt immer noch viele Parallelen zwischen EdgeOS und VyOS. EdgeOS kommt in vielen Kapiteln unter die Lupe und zeigt seine Stärken und Schwächen.

Linux. Unter VyOS läuft ein angepasstes Debian. Der Zugriff aufs Betriebssystem ist nicht gesperrt oder passwortgeschützt. Mit einem einfachen sudo bash liegt der Zugang offen.

Das bringt Möglichkeiten zum Anpassen, Verbessern und Nachinstallieren von Tools. Dagegen steht die Gefahr, dass die eigene Änderung ungewollte Instabilität mitbringt.

Best Of. VyOS erfindet das Rad nicht neu und bedient sich für seine Features an den vertrauten Linux-Diensten, die nach Jahren der Entwicklung eine hohe Stabilität erreicht haben. Die Daemons der Routingprotokolle stammen von Quagga. Der SSH-Server gehört zu OpenSSH und für die Umsetzung der Firewallregeln helfen netfilter bzw. iptables.

Diebstahl? Keineswegs! Eher ein Nachweis, dass Open-Source funktioniert. Solange Lizenzbedingungen eingehalten werden, darf Fremdsoftware beigemischt werden. Gerade im Security-Umfeld ist es höchst erwünscht, dass Anwendungsentwickler keine eigenen Implementierungen stricken, sondern sich an den freien und stabilen Bibliotheken bedienen.

Geschichte

Die Historie von VyOS ist eng verbunden mit Vyatta und Brocade. Angefangen hat es mit der Vyatta Corporation, die 2006 als Abspaltung von Debian eine eigene Firewalldistribution sein wollte. Das war auch relativ erfolgreich, denn in den darauffolgenden Jahren bis 2010 wurde eine Version nach der anderen veröffentlicht.

Mitte 2011 hat Ubiquiti aus der Vyatta-Version 6.3 ein eigenes EdgeOS gebaut und für seine Produkte EdgeRouter optimiert.

Ende 2012 kam der Paradigmenwechsel: Die Firma hinter der kostenfreien und quelloffenen Software verkaufte an den Netzwerkausrüster Brocade. Wenig überraschend erschien kurz darauf das letzte freie Release 6.6 Anfang 2013. Vyatta war kommerzialisiert.

Eine kleine Projektgruppe wollte Vyatta weiterführen und begann mit VyOS als eine Abspaltung von Vyatta. Das im Dezember 2013 veröffentlichte VyOS 1.0 ist also nichts anderes als Vyatta 6.6 mit Änderungen im Namen und beim Logo. Die Entwicklung von VyOS beginnt.

2014 erschien ein kurzlebiger Fork von VyOS unter dem Namen VX/OS. Die Versprechungen der Roadmap waren vielseitig, aber das Projekt ist kurz darauf eingeschlafen.

Mitte 2014 macht Brocade Ernst und entfernt jede Webseite bezogen auf Vyatta aus seinem Angebot. Vyatta heißt jetzt Brocade vRouter 5400. Die Bedienung und Versionierung ist unverändert, aber für die Nutzung werden Lizenzgebühren fällig.

Parallel dazu geht die Entwicklung an VyOS weiter. Ende 2014 gibts bereits VyOS 1.1.0 und Anfang 2016 kommt die aktuelle Version 1.1.7 auf den Markt.

EdgeRouter

Den kommerziellen Routern von Ubiquiti [1] kommt eine besondere Bedeutung zu, denn sie nutzen ein weiterentwickeltes Vyatta auf performanter und gleichzeitig günstiger Hardware. Das Ergebnis ist ein VyOS-ähnliches Betriebssystem, bei dem die Hardware-Frage bereits beantwortet ist.

Andersherum gibt es das Betriebssystem der EdgeRouter nicht als virtuelle Variante. Das liegt hauptsächlich an der Produktpolitik von Ubiquiti. Außerdem ist es schwierig, das Betriebssystem für die MIPS64-Architektur so zu optimieren, dass es auf der eigenen Hardware und in einer virtuellen Umgebung leistungsstark arbeitet. Beides ist möglich, bedeutet aber Entwicklungsaufwand seitens des Herstellers.

Zur Begriffsklärung: Ubiquiti ist der Hersteller. Die Produktserie rund um Routing und Switching heißt EdgeMAX. Als EdgeRouter bietet Ubiquiti verschiedene Routermodelle mit drei bis acht Ethernet-Ports an. Das angepasste Vyatta läuft unter der Bezeichnung EdgeOS und ist das Betriebssystem der EdgeRouter. Ubiquiti hat zum Entwicklungsbeginn bei Versionsnummer 1.0 gestartet und ist bisher (2017) bei Version 1.9.1 angekommen.

Für eine Webrecherche ist das Schlagwort „edgerouter“ am aussagestärksten.

In den meisten Kapiteln wird der Vergleich von VyOS zu den EdgeRoutern von Ubiquiti gezogen. Ausnahmen bilden Features, die es unter EdgeOS schlichtweg nicht gibt, weil Vyatta sie nicht implementiert hat oder weil sie unter der Leitung von Ubiquiti nicht als relevant eingestuft sind.

Teil I

Für Einsteiger

Kapitel 1

Das Labornetzwerk

Ein einzelner VyOS-Router ohne umgebendes Netzwerk ist wenig beeindruckend. Für den praxisnahen Einstieg erwacht VyOS in einem konstruierten Labornetz zum Leben. In dieser Umgebung kann VyOS Kapitel für Kapitel mit seinen Fähigkeiten glänzen. Vor dem Einstieg in den Umgang mit VyOS steht der Aufbau des Labornetzwerks.

Alle Themen der Kapitel haben einen praktischen Hintergrund. Theoretische Grundlagen werden nur am Anfang eines Kapitels angesprochen um Verständnis aufzubauen oder angestaubtes Wissen aufzufrischen. Die Beispiele und Übungen sind zum Nachspielen konzipiert.

Die Kapitel basieren alle auf demselben Netzaufbau. Es stellt ein kleines Firmennetz mit drei Standorten und redundanten WAN-Verbindungen dar. Je nach Komplexität eines Themas reicht ein Teil des Labornetzwerks aus, um die Kernaussage zu beschreiben.

Wenn ein Kapitel einen gesonderten Aufbau benötigt oder ein weiteres Gerät untersucht werden soll, gibts am Anfang der Lektion einen entsprechenden Hinweis mit Erklärung.

Ressourcen

Der stets unveränderte Aufbau des Labornetzes hat den charmanten Vorteil, dass zwischen den Kapiteln nicht umgebaut werden muss. Kein Umverkabeln der Geräte oder Umkonfigurieren der virtuellen Umgebung. Das spart Zeit und verhindert Fehler. Und nach ein paar Kapiteln wird das Labornetz zum vertrauten Begleiter, denn die Namen der Router, Clients, Netzschnittstellen und IP-Adressen bleiben gleich.

Das vollständige Labornetz ist als Netzdiagramm in Abbildung 1.1 dargestellt. In den folgenden Kapiteln werden meist nur Teile dieses Netzwerks zur Untersuchung benutzt.

Da ein händischer Eingriff nach dem ersten Aufbau nicht mehr notwendig ist, kann das Lab auch „aus der Ferne“ betrieben werden - Remotezugriff vorausgesetzt.

Die offiziellen Angaben für Arbeitsspeicher und Festplattengröße sind nicht die Mindestausstattungen – aber nah dran. Damit ist es möglich, das Lab auf dem eigenen Laptop zu starten oder preisgünstig in Hardware nachzubauen. Beispielsweise nutzt ein VyOS-Router gerade mal 256 MB Arbeitsspeicher mit einer 2 Gigabytes großen Festplatte.

Manche Kapitel arbeiten isoliert; andere benötigen Internetzugriff. Der Zugang zum Internet läuft stets über den Core-Router, der hinter seiner Netzkarte eth0 das Internet erwartet. Ganz praktisch passiert das in einer virtuellen Umgebung über eine NAT-Schnittstelle. In Hardware reicht ein Uplink zum DSL-Router. Hierbei ist alles möglich, was letztendlich ins Internet führt.

Virtualisierung

Alle Geräte im Lab können vollständig virtualisiert werden. Der einzige Hardwarerouter wird dann durch einen VyOS-Router ersetzt, weil EdgeOS keine virtuelle Plattform unterstützt. Auch ein Mischbetrieb mit physikalischen Geräten ist möglich.

Jeder Router im Labornetz ist dann eine eigene virtuelle Maschine (VM) mit virtuellen Netzwerkkabeln zu den benachbarten VMs. Die Verbindungsnetze zwischen den VMs sind VMnetX (bei VMware) und vboxnetX (bei VirtualBox). Eine physikalische Netzwerkkarte im Hostsystem ist nötig, wenn mit echter Hardware gemischt wird.

Abbildung 1.1: Das Labornetzwerk als Vorlage für alle Kapitel

Welches Routerinterface in welchem virtuellen Netz zuhause ist, zeigt Tabelle 1.1.

Router Interface VMnet/vboxnet IPv4 IPv6
RT-1 eth0

eth1

eth2

eth3

eth4

 VMnet1

VMnet6

VMnet4

Management

VMnet7

 10.1.1.1

192.0.2.1

10.4.1.1

10.5.1.1

198.51.100.1

 fd00:1::1

2001:db8:2::1

fd00:4::1

fd00:5::1

2001:db8:1::1
RT-2 eth0

eth1

eth2

eth3

 VMnet1

VMnet7

VMnet4

Management

 10.1.1.2

198.51.100.2

10.4.1.2

10.5.1.2

 fd00:1::2

2001:db8:1::2

fd00:4::2

fd00:5::2
RT-3 eth0

eth1

eth2

 VMnet2

VMnet6

Management

 10.2.1.3

192.0.2.3

10.5.1.3

 fd00:2::3

2001:db8:2::3

fd00:5::3
RT-4 eth0

eth1

eth2

 VMnet2

VMnet7

Management

 10.2.1.4

198.51.100.4

10.5.1.4

 fd00:2::4

2001:db8:1::4

fd00:5::4
RT-5 eth0

eth1

eth2

eth3

 VMnet3

VMnet6

VMnet7

Management

 10.3.1.5

192.0.2.5

198.51.100.5

10.5.1.5

 fd00:3::5

2001:db8:2::5

2001:db8:1::5

fd00:5::5
RT-core eth0

eth1

eth2

 Management

VMnet6

VMnet7

 10.5.1.6

192.0.2.6

198.51.100.6

 fd00:5::6

2001:db8:2::6

2001:db8:1::6
labsrv eth0

eth1

 Management

VMnet4

 10.5.1.7

10.4.1.7

 fd00:5::7

fd00:4::7

Tabelle 1.1: Alle Router mit Interface und VMnet/vboxnet

Technisch nicht erforderlich, aber hilfreich zum Auswerten: Die Netzwerkkarten der VMs verwenden vordefinierte MAC-Adressen. Damit sind alle Geräte in den Kommandoausgaben eindeutig erkennbar und mit den Beispielen im Buch vergleichbar.

Getestet und geprüft sind die Labs mit VMware Workstation 10, VMware ESXi 6 und VirtualBox 5.0.

Hardware

VyOS läuft grundsätzlich auf Geräten mit i386- oder x86_64-Prozessor. Auch der Typ der Netzwerkkarte ist unwichtig, da das Labor-Netz Verständnis bieten soll und nicht Höchstleistung. Bei Unsicherheit über passende Hardware lohnt sich ein Blick in die Kompatibilitätsmatrix von Debian [2].

Die Netze zwischen den Routern basieren auf Ethernet. Jedes Teilnetz ist eine eigene Broadcast-Domäne. Bei der Verkabelung ist es also wichtig, dass sich die Kabel verschiedener Netzsegmente nicht vermischen. Für die korrekte Trennung gibt es zwei gängige Methoden:

Trennung mit Switchen Jedes Netzsegment hat seinen eigenen Switch oder Hub. Die Switche sind untereinander nicht verbunden. Da die Subnetze eher klein sind, reichen 5-Port-Geräte aus. Ein beliebiger Switch ist dafür passend.

Trennung mit VLANs Alle Kabel führen zum selben Switch. Kabel bzw. Switchports, die zum selben Netzsegment gehören, landen in einem gemeinsamen virtuellen LAN (VLAN). So erhalten beispielsweise alle Switchports zum/vom hellgrauen Kernnetz die Zuordnung zu VLAN 6.

Da alle Router mit allen Anschlüssen mit diesem Switch verkabelt sind, muss es ein Modell mit ausreichend vielen Ports sein. Der Switch muss kein Routing zwischen den VLANs beherrschen. Ein VLAN-fähiger Layer-2 Switch ist ausreichend.

Ein Mischbetrieb ist ebenfalls möglich: Beispielsweise terminieren die WAN-Segmente auf einen Switch und die Standort-Netze auf einen anderen Switch. Die Anforderung an die Geräte entspricht der Methode Trennung mit VLANs.

Router

Die VyOS-Router verwenden die aktuelle stabile VyOS-Version 1.1.7 und teilweise zum Reinschnuppern und Vergleichen die Vorab-Version 1.2.0 als 64-bit-Image. Der einzige Ubiquiti-Router läuft auf der aktuellen EdgeOS-Version 1.9.1. Wenn zusätzliche Versionen oder Geräte anderer Hersteller mitspielen, wird das entsprechende Gerät ersetzt oder der Laboraufbau ergänzt.

Jeder Router hat eine zusätzliche Netzwerkkarte für den Konsolenzugriff. Darüber erreicht der SSH-Client sein Ziel, wenn eine Konfigurationsänderung mal schiefgeht. Dieses Management-Interface kann auch weggelassen werden, wenn die Hardware nicht genug Schnittstellen bietet.

Die Labor-Router sind von eins bis sechs durchnummeriert. Diese Router-Nummer findet sich in den IPv4-, IPv6- und MAC-Adressen wieder. Damit sind Adressen in einer Kommandoausgabe leichter dem passenden Gerät zuzuordnen.

Der Name der Netzkarte ist stets am Routersymbol angeschlagen. Die vollständige IPv4-Adresse ist unterhalb davon abgedruckt. Die Angaben zum IPv4-Netz und IPv6-Präfix stehen unweit davon an der Subnetz-Linie.

Der Core-Router benutzt schon VyOS in der neueren Betaversion. Das hat weniger mit Mut zu tun, als mit der Verfügbarkeit von Features: Erst VyOS 1.2.0-beta1 bietet einen PPPoE-Server, der im Laboraufbau von Kapitel 12 benötigt wird.

Die Kompatibilität zu EdgeOS wird an Router 5 getestet: Ein kleiner Ubiquiti EdgeRouter-X nimmt im Lab Platz und bietet fünf Gigabit-Ports. EdgeRouter gibts nur in Hardware. Wenn EdgeOS uninteressant ist, kann dieser Teil des Netzwerks ausgelassen oder durch VyOS ersetzt werden.

Adressierung

Die Netze der imaginären Außenstellen bauen auf private IPv4-Adressen bzw. Unique-Local IPv6-Adressen. In jedem Standort gibt es einen symbolischen Client, der nur zum Prüfen von Features oder zum Erzeugen von Datenverkehr benutzt wird. Mehr als ping, traceroute, netstat oder einen Webbrowser wird nicht gefordert. Das Betriebssystem ist relativ egal; Im Demo-Lab finden aus Popularitätsgründen Debian und Windows 7 Verwendung.

Die zwei standortverbindenden Netze stellen das zentrale Kernnetz dar. Zur besseren Unterscheidung der IP-Adressen bedienen sich die Geräte aus den Adressblöcken für Dokumentation (RFC 5737): 192.0.2.0/24 und 198.51.100.0/24. Die IPv6-Adressen stammen ebenfalls aus unterschiedlichen Bereichen, um eine Unterscheidung optisch zu vereinfachen; die Standort-LANs benutzen fd00::/16 und das Kernnetz bedient sich aus dem Präfix 2001:db8::/32.

Die Adressen sind genau dafür vorgesehen und kollidieren nicht mit einem öffentlichen Bereich. Weiterhin ist die Adressierung bewusst einfach gehalten: Die Adressbereiche sind einheitlich strukturiert und haben nur „normale“ Netzmasken von /24 (IPv4) oder /64 (IPv6). Erst die Kapitel rund um Routing und OSPF führen zu Trickserei mit Masken, Sub- und Supernetting.

Zusammengefasst zeigt Tabelle 1.2 die IPv4- und IPv6-Bereiche, die sich hinter den VMnet-Netzen verstecken. Zusätzlich benötigte Adressen (z. B. für PPPoE, Tunnel, VRRP) stammen aus denselben Bereichen.

VM/vboxnet Funktion IPv4 IPv6
VMnet1

VMnet2

VMnet3

VMnet4

VMnet5

VMnet6

VMnet7

 Standort 1

Standort 2

Standort 3

DMZ

Management

VPN

WAN hellgrau

WAN dunkelgrau

VPN/OSPF

 10.1.1.0/24

10.2.1.0/24

10.3.1.0/24

10.4.1.0/24

10.5.1.0/24

10.6.0.0/16

192.0.2.0/24

198.51.100.0/24

203.0.113.0/24

 fd00:1::/64

fd00:2::/64

fd00:3::/64

fd00:4::/64

fd00:5::/64

fd00:6::/64

2001:db8:2::/64

2001:db8:1::/64

2001:db8:3::/64

Tabelle 1.2: Alle virtuellen Netze mit IP-Bereichen

Labor-Server

Alle zentralen Funktionen übernimmt der Labor-Server, der ebenfalls physikalisch oder virtuell integriert wird. Wenn der VyOS-Router auf ein Client-Server-Protokoll getestet wird, übernimmt der Labserver stets die Rolle des Gegenstücks. Er akzeptiert von den Routern Anfragen zu NTP, DNS, Syslog, FTP/TFTP, NetFlow und HTTP.

Der eingesetzte Labserver setzt auf CentOS 7, um das Lab etwas weniger Debian-lastig zu gestalten.

Verwendung

Jedes Kapitel verwendet nur einen Teil des Labornetzwerks. Weniger Geräte ermöglichen eine bessere Kontrolle, wenn es an die Beispiele und Kommandoausgaben geht. Diese Limitierung dient nur der Übersicht – gerne dürfen weitere Router zugeschaltet werden, um Features intensiver zu testen.

Die IP-Adressen bleiben stets dieselben, wenn auch mit anderer Bedeutung.

Kapitel 2

Plattform

Im nächsten Schritt geht es an die Verwirklichung des Labors. Es beginnt mit der Erstellung oder Beschaffung der Geräte, gefolgt von der Installation und zuletzt mit der Vernetzung.

Wie in Kapitel 1 schon angedeutet, kann das Lab auf physikalischer Hardware laufen oder komplett in einer virtuellen Umgebung sein Zuhause finden. Für den Aufbau macht das einen großen Unterschied – für die Beispielszenarien der folgenden Kapitel ist es unentscheidend.

Die Vorgehensweise bei allen Methoden ist einheitlich: Es beginnt mit dem Anlegen der virtuellen Netze, deren Trennung entweder mit einem virtuellen Switch oder einer Portgruppe erfolgt. Danach gehts ans Erstellen der virtuellen Maschinen (VM) und zuletzt erhalten die neuen VMs ihre Netzadapter in den beheimateten VM-Netzen.

Die Wahl der Virtualisierungssoftware hängt von den persönlichen Vorzügen ab. Die folgenden Erklärungen beziehen sich auf VMware ESXi, Workstation und Player, sowie auf VirtualBox.

Dieses Kapitel kann kein Fachbuch über VMware oder VirtualBox ersetzen! Die Installation der VMs setzt Grundwissen in den jeweiligen Produkten voraus. Die Beschreibungen behandeln nur den Aufbau der neuen VM und nicht, warum die einzelnen Schritte notwendig oder vorteilhaft sind.

Vorbereitung

Die Installation von VyOS startet von einem Live-Image im ISO-Format. Die Webseite von VyOS [3] bietet stets das aktuelle Release zum Download an. Für das vorgestellte Labor kommt Version 1.1.7 mit dem ISO-Image

vyos-1.1.7-amd64.iso

zum Einsatz. Zum Reinschnuppern und Testen werfen wir auch einen Blick auf das nächste Release 1.2.0-beta1 mit dem Namen

vyos-1.2.0-beta1-amd64.iso

Die verwendeten Images sind stets die 64-bit-Versionen von VyOS.

Bei einem Hardware-Lab muss die ISO-Datei vorab auf eine CD gebrannt werden, von der der Server oder das Laptop gestartet wird. Geräte mit 32-bit-Prozessor sind ebenfalls willkommen, benötigen dann aber das entsprechende 32-bit-Image mit i586 oder i686 im Namen.

VMware

Die Produktpalette von VMware ist groß, aber für das Lab eignen sich hauptsächlich ESXi, Player und Workstation. Die Einrichtung beginnt bei den virtuellen Netzen.

Workstation VMwareWorkstation ist eine englischsprachige Softwareanwendung für Windows und Linux, die virtuelle Maschinen trägt.

Die Konfiguration findet im Virtual Network Editor statt. Falls nicht schon vorhanden, werden dort die virtuellen Netze VMnet1 bis VMnet7 angelegt. Alle sind vom Typ Host-Only und verwenden kein DHCP. Die Subnetz-IP ist unbedeutend, da sie im Lab nicht angesprochen wird.

Danach werden die virtuellen Maschinen erstellt. Der Ablauf ist stets derselbe:

  1. VMware Workstation starten
  2. File → New Virtual Machine. . .
  3. Type of configuration? Custom (advanced)
  4. Hardware compatibility: die Neueste (hier Workstation 10.0)
  5. Installer disk image file: Wählen Sie die ISO-Datei aus dem Abschnitt Vorbereitung auf Seite →
  6. Guest Operating System: Linux, Version: Debian 6 64-bit
  7. Virtual machine name: RT-1

    Location: egal

  8. Number of processors: 1

    Number of cores per processor: 1

  9. Memory for this virtual machine: 512 MB (oder mehr)
  10. Network connection: Use host-only networking (der Wizard ermöglicht nur eine einzelne Netzwerkkarte, die anderen folgen später)
  11. SCSI Controller: LSI Logic
  12. Virtual disk type: SCSI
  13. Disk: Create a new virtual disk
  14. Maximum disk size (GB):

    2 Store virtual disk as a single file

  15. Disk File name: egal
  16. Finish

Anschließend wird die frisch erstelle Maschine erst mal entschlackt: Floppylaufwerk, Soundkarte, USB-Controller und Druckeranschluss braucht der Router nicht. Dafür mehr Netzwerkkarten.

Über VM → Settings gibt es Einblick in die Seele der virtuellen Maschine. Hier wird gelöscht und hinzugefügt, bis die Einstellungen passen. Neue Netzwerkadapter sind stets vom Typ Custom mit einer Zuordnung zum entsprechenden VMnet. Die feste MAC-Adresse versteckt sich bei Network Adapter hinter dem Advanced. . .–Button.

Die verwendete Version ist VMware Workstation 10.0.3 unter Windows.

Player Der VMware Workstation Player ist eine funktionsreduzierte Version der VMwareWorkstation. Für die nicht-kommerzielle Nutzung ist der Einsatz kostenfrei.

Dialoge und Vorgehensweise ähneln sich, daher gelten die Einstellungen des vorherigen Abschnitts auch hier.

Die Eigenschaften der virtuellen Netze können zwar nicht verändert werden, aber die Voreinstellung ist akzeptabel.

Die Erstellung einer VM startet mit dem Button Create a New Virtual Machine. Danach kommen die Fragen nach dem Installer-Image, Namen und Speicherort der VM und zuletzt die Größe der Festplatte.

Alle weiteren Details werden außerhalb des Wizards angepasst. Auch hier gelten dieselben Parameter wie bei VMware Workstation.

Die Linux-Version des VMware-Players ist für das Demo-Lab ungeeignet, weil das Dialogfenster die Auswahl der VMnet-Netze verschweigt. Alle hostonly-Netzwerkadapter der VyOS-Router sind im selben Netz. Händisches Nachrüsten von VMnet-Netzen und Anpassungen in der .vmx-Datei einer VM bringen keine Besserung.

Die beste Alternative unter Linux ist VirtualBox (siehe Abschnitt VirtualBox ab Seite →).

Die verwendete Version ist VMware Workstation Player 12.5.1 unter Windows.

ESXiVMware ESXi ist ein Typ-1–Hypervisor. Damit läuft er nicht als Anwendung auf einem Betriebssystem, sondern arbeitet direkt auf der physikalischen Hardware. Ein grafischer Webclient erstellt und verwaltet die virtuellen Netze und Maschinen. Intern kommunizieren die virtuellen Router über virtuelle Switche miteinander, wie Diagramm 2.1 veranschaulicht [4].

Zuerst wird ein Switch innerhalb der ESXi-Welt angelegt. Dieser Switch trägt später die virtuellen Netze mit einer Segmentierung über VLANs. Das Prinzip entspricht der physikalischen Umgebung aus dem Abschnitt Hardware in virtueller Form.

Die virtuelle Netzwerkumgebung beginnt im Navigator des Webclients unter Netzwerk im Register Virtuelle Switche. Wenn das Lab gekapselt innerhalb des ESXi arbeiten soll, ist kein physikalischer Netzadapter nötig. Für alles andere erwartet die folgende Konfiguration die ungenutzte Netzwerkkarte eth1, die bei ESXi als vmnic1 geführt wird.

Diagramm 2.2: Das Zusammenspiel der virtuellen Komponenten

  1. Klick auf Virtuellen Standard-Switch hinzufügen
  2. vSwitch-Name: vSwitch1

    Uplink 1: vmnic1 (das ist der unbenutzte Netzadapter im Server. Das Feld kann auch leer gelassen werden, wenn das Lab nicht mit der Außenwelt kommunizieren soll)

  3. Klick auf Hinzufügen

Kurz darauf ist der neue Switch vSwitch1 erstellt, hat aber noch keine VLANs oder Ports. VLANs heißen bei ESXi Portgruppe und werden beim Register Portgruppen erstellt und zugewiesen. Mit dem Button Portgruppe hinzufügen beginnt die Show. Die VLAN-Nummer ist wichtig, wenn die VMs später mit einem physikalischen Netz kommunizieren sollen. Für das Demo-Lab dienen die VLANs 1401 bis 1407.

  • Name: VMnet1
  • VLAN-ID: 1401
  • Virtueller Switch: vSwitch1

Dieser Schritt ist für die weiteren Netze VMnet2 bis VMnet7 identisch. Anschließend ist die virtuelle Netzlandschaft fertig und sollte der Aufstellung in Abbildung 2.2 ähneln.

Abbildung 2.2: Portgruppen unterteilen die VM-Netze

Für das Anlegen der virtuellen Maschinen bietet das VyOS-Repository [5] ein signiertes Maschinen-Template als . ova-Datei an. Mit dieser Vorlagendatei gestaltet sich das Anlegen einer VM einfacher, weil viele Werte schon vorkonfiguriert und im Dialog ausgeblendet sind. Natürlich funktioniert auch der herkömmliche Weg, bei der die virtuelle Maschine angelegt und mit CPU, RAM, Festplatte und Netzadapter ausgestattet wird.

Beide Szenarien beginnen im Navigator unter Virtuelle Maschinen. Der Button VM erstellen/registrieren startet den Wizard. Mit der OVA-Datei ist der Ablauf übersichtlich:

  1. Erstellungstyp auswählen: Eine virtuelle Maschine aus einer OVFoder OVA-Datei bereitstellen
  2. OVF- und VMDK-Dateien auswählen. Name: RT-1

    OVA-Datei mit der Maus in die bereitgestellte Fläche ziehen

  3. Speicher auswählen: passenden Datastore wählen

    Anschließend wird die OVA-Datei hochgeladen und verarbeitet. Das sollte nicht länger als 30 Sekunden dauern

  4. Netzwerkzuordnungen: Egal, das kommt später
  5. Bereit zum Abschließen: Beenden klicken

Die OVA-Datei beinhaltet ein Festplattenimage mit vorinstalliertem VyOS. Ein Installationsmedium ist nicht mehr nötig.

Aber ohne OVA-Datei geht es auch. Der Wizard stellt zwar mehr Fragen, aber das Ergebnis ist identisch:

  1. Erstellungstyp auswählen: Neue virtuelle Maschine erstellen
  2. Namen und Gastbetriebssystem auswählen:

    Name: RT-1

    Gastbetriebssystemfamilie: Linux

    Version des Gastbetriebssystems: Debian GNU/Linux (64-Bit)

  3. Speicher auswählen: passenden Datastore wählen
  4. Einstellungen anpassen:

    CPU: 1

    Arbeitsspeicher: 512 MB

    Festplatte 1: 2 GB

    SCSI-Controller 1: LSI Logic Parallel

    USB-Controller 1: (entfernen)

    Netzwerkadapter 1: VM Network

    CD/DVD-Laufwerk 1: Clientgerät

Da VyOS insgesamt sechsmal installiert wird, ist es ratsam, die ISO-Datei zuerst in den Datastore des ESXi-Servers zu kopieren und davon zu mounten. Beim CD/DVD-Laufwerk der virtuellen Maschine Datenspeicher-ISO-Datei auswählen und über den Dateibrowser die . iso-Datei hochladen und anschließend auswählen. Die neue VM startet dann von diesem CD-Image. Gebootet wird das Live-System, die Installation folgt in Kapitel 3.

Der fertig gebackenen VM fehlen noch ein paar Netzwerkkarten. Über die Eigenschaften der VM werden diese hinzugefügt und im richtigen VMnet platziert. Tabelle 1.1 auf Seite → listet die Zugehörigkeit von Router-Interface zu virtuellem Netzwerk.

Der Aufbau der virtuellen Ports und Maschinen funktioniert auch mit dem vSphere Client, allerdings unterscheiden sich die Arbeitsschritte vom Ablauf im Webclient.

Die verwendete Version ist VMware ESXi 6.0U2.

VirtualBox

VirtualBox ist eine Applikation für Windows, Linux und macOS, mit der virtuelle Maschinen erstellt und gehostet werden.

Bei VirtualBox ist die Produktwelt übersichtlich. VirtualBox hat zwar nicht mehrere Virtualisierungsprodukte im Angebot, aber dafür mehrere Konfigurationsmethoden. Bei der normalen Installation ist der Oracle VM VirtualBox Manager mit im Boot. Er ist leicht zu bedienen, verlangt aber nach einer X11-Oberfläche. Alternativ (oder ergänzend) hilft phpVirtualBox [6], ein webbasierter Manager, der das Look-and-Feel des Oracle-Managers als Webseite bereitstellt.

Fans der Kommandozeile bekommen ebenfalls etwas geboten, denn der Laboraufbau lässt sich unter VirtualBox komplett skripten.

vboxnet

Auch hier beginnt die Reise beim Anlegen der virtuellen Netze vboxnet1 bis vboxnet7.

Oracle VM VirtualBox Manager Bei VirtualBox wird die Konfiguration der VMs und der Netze vom selben Programm gesteuert.

  1. Datei → Einstellungen. . .
  2. Bereich Netzwerk auswählen, dort Register Host-Only Netzwerke anzeigen
  3. Symbol für Neues Netzwerk (rechts) für jedes vboxnet anklicken
  4. Symbol für Details (rechts) klicken und den DHCP-Server für jedes vboxnet ausschalten

phpVirtualBox Der Anspruch von phpVirtualBox ist die identische Bedienung der VirtualBox-Umgebung. Daher unterscheidet sich die Einrichtung der virtuellen Netze nicht vom Oracle-Manager des vorherigen Abschnitts.

CLI Für den einmaligen Einsatz erwartet die Kommandozeile viel Tipparbeit.

  1. Log-in im Linux-Hostsystem als vbox-User
  2. Jedes einzelne vboxnet erstellen mit

    VBoxManage hostonlyif create

  3. vboxnet zum Host-Only Netzwerk ändern mit (Beispiel für vboxnet1) vboxmanage hostonlyif ipconfig vboxnet1 --ip 10.1.1.181 Die IP-Adresse ist grundsätzlich egal, muss aber mit angegeben werden.

Ob die virtuellen Netze korrekt angelegt sind, kann erst später praktisch überprüft werden.

Virtuelle Maschinen

Jetzt gehts ans Erstellen der virtuellen Maschinen. Der Ablauf ist für alle VMs ähnlich, daher zeigen die Beispiele nur die Schritte von ersten Router.

Oracle VM VirtualBox Manager Die Einrichtung in der Verwaltungssoftware von VirtualBox erfolgt über einen Wizard. Die folgende Beschreibung passt auch auf phpVirtualBox.

  1. Maschine → Neu. . .
    • Typ ist Linux, Version ist Debian (64-bit)
    • Memory: 512 MB (oder mehr)
    • Festplatte: 2 GB (oder mehr)
  2. Nach dem Erstellen der VM sind noch Anpassungen wichtig, damit die Netzadapter in den richtigen Netzen mitspielen (Abbildung 2.3).
    • CD einhängen mit dem Image aus Abschnitt Vorbereitung (siehe Seite →)
    • Netzwerk
      • Adapter als Host-Only deklarieren.
      • Verbinden mit vboxnetX
      • Unter Erweitert den Typ Paravirtualisiertes Netzwerk (virtionet) wählen. Der ist einer der performantesten Adapter mit geringer CPU-Belastung (vgl. Kap. 30), aber die anderen funktionieren auch.
    • MAC-Adresse anpassen, wenn gewünscht (nicht zwingend notwendig)
    • 4 NICs können über die GUI eingerichtet werden. Alle weiteren (RT-1 hat als einzige VM eine fünfte NIC) über die Kommandozeile, siehe Abschnitt CLI weiter unten

CLI Die Einrichtung per Kommandozeile erwartet Befehle, welche den Mausklicks der GUI entsprechen.

  1. Die Reise über den Befehlszeilenweg beginnt beim Anlegen einer virtuellen Maschine am Beispiel von RT-1.

    VBoxManage createvm --name "RT-1" --register

    VBoxManage modifyvm RT-1 --memory 512

    VBoxManage modifyvm RT-1 --ostype "Debian_64"

    Abbildung 2.3: Netzwerkeigenschaften von Router RT-1 bei VirtualBox

  2. CD-Laufwerk mit eingelegtem CD-Image aus Abschnitt Vorbereitung

    VBoxManage storagectl RT-1 --name "IDE Controller" --add ide

    VBoxManage storageattach RT-1 --storagectl "IDE Controller" \

    --port 0 --device 1 --type dvddrive \

    --medium /data/vmware/images/vyos-1.1.7-amd64.iso

  3. Festplatte erstellen und verbinden

    VBoxManage storagectl RT-1 --name "SATA Controller" --add sata

    VBoxManage createhd --filename "RT-1/RT-1.vdi" --size 2048 \

    --format VDI --variant Fixed

    VBoxManage storageattach RT-1 --storagectl "SATA Controller" \

    --medium "RT-1/RT-1 .vdi" --port 0 --type hdd

  4. Netzwerkkarte nic5 am Beispiel von RT-1. Diese NIC muss über die CLI angelegt werden, weil die GUI nur vier Karten duldet

    VBoxManage modifyvm RT-1 --nic5 hostonly

    VBoxManage modifyvm RT-1 --hostonlyadapter5 "vboxnet7"

    VBoxManage modifyvm RT-1 --nictype5 virtio

    VBoxManage modifyvm RT-1 --macaddress5 0022b0010701

Damit ist der erste virtuelle Router erstellt und verkabelt. Der Ablauf für die restlichen Geräte ist identisch, mit Ausnahme der Netzadapter. Ob alles richtig verbunden ist, wird sich zeigen, sobald die Router in Kapitel 4 ihre IP-Adressen erhalten.

Die verwendete Version ist VirtualBox 5.0.

Hardware

Für die Netze zwischen den Routern ist eine strikte Trennung nötig, denn Routingprotokolle suchen sich selbstständig den besten Weg. Und der verläuft – vor allem mit IPv6 – bei unsauberer Vernetzung ungeahnte Pfade. Der Netzwerkadapter eines Routers ist stets mit einer einfarbigen Linie im Lab-Diagramm verbunden. Jedes Netzsegment ist ein eigener Switch oder ein VLAN auf einem gemeinsamen Switch, wie in Kapitel 1 beschrieben. Die praktische Umsetzung am Beispiel des Netzsegments mit dem IPv4-Bereich 192.0.2.0/24 umfasst die Netzwerkadapter der Geräte von

  • RT-1:eth1
  • RT-3:eth1
  • RT-5:eth1
  • RT-core:eth1

Die Adapter sind per Kabel mit einem 5-Port–Switch verbunden. Der Switch hat keine weitere Verbindung oder Uplink.

Bei der Variante mit VLAN-Tagging sind die Kabel der genannten Geräte verbunden mit einem verwalteten Switch, beispielsweise auf den Ports 1 bis 4. Die Konfiguration für einen Cisco Catalyst-Switch ist in Listing 2.1 abgedruckt. Die VyOS-Router bemerken diese VLAN-Zuordnung nicht. Ob die Verkabelung korrekt ist, kann erst später überprüft werden. Sobald in Kapitel 4 die Interfaces der Router mit IP-Adressen bestückt sind, hilft das ping-Kommando beim Aufspüren von Fehlern.

VyOS basiert zwar auf Debian, wird aber nur für Intel x86 und AMD64 kompiliert angeboten. Images für andere Plattformen, wie z. B. ARM oder MIPS, sind nicht in Planung.

vlan 1406

name WAN-Hellgrau-192.0. 2

!

interface range GigabitEthernet1/0/1 - 4

switchport mode access

switchport access vlan 1406

Listing 2.1: Netztrennung mit Switchports und VLANs

Bei einem normalen PC oder Server mit Tastatur, Bildschirm und CD-Laufwerk ist der Startvorgang einfach: CD einlegen und booten. Die Installation beginnt in Kapitel 3.

Schwieriger wirds bei eingebetteter Hardware, da es keine allgemeingültige Anleitung gibt, weil die Installation stark von den Komponenten abhängt. Geräte der Embedded-Klasse sind minimalistisch und daher entfallen meist CD-Laufwerk, Monitor-Anschluss und gespeichert wird auf einem Flash-Medium.

Als Beispiel ziehen wir das APU 1D4-Board [7] des Schweizer Herstellers PC-Engines heran. Ausgestattet ist es mit 3x GBit-Netzwerk, SD-Karte, serieller Konsole und 2x USB-Anschluss.

Da die VyOS-Repositories kein fertiges Flash-Image bereitstellen, muss das APU-Board von einem Bootmedium gestartet werden, welches die Installation beginnt und auf die SD-Karte schreibt.

  1. Zuerst muss die VyOS ISO-Datei vyos-1.1.7-amd64.iso so auf einen USB-Stick kopiert werden, dass er bootfähig ist. Das Tool unetbootin [8] vollführt diese Aufgabe auf einem beliebigen Windows-PC.
  2. Danach wird auf dem USB-Stick die Datei syslinux. cfg durch den Inhalt von [9] ersetzt, um die serielle Konsole zu aktivieren und verschiedene Probleme beim Bootvorgang zu vermeiden.
  3. Eine serielle Verbindung zum APU-Board muss her. Ohne serielle Schnittstelle am PC hilft ein USB-Seriell–Wandler, auch wenn die Ersteinrichtung etwas Geduld erfordert. Eine Konsolensoftware, wie beispielsweise TeraTerm oder PuTTY, benötigt die Geschwindigkeit von 115200 bps für die Kommunikation mit dem APU-Board.
  4. Zuletzt wird das APU-Board von dem frisch erstellten USB-Stick gebootet. Durch Drücken der Taste F12 zeigt der Bootloader die möglichen Startmethoden. Der USB-Stick wird als USB MSC Drive gelistet.
  5. Während des Bootvorgangs, etwa bei

    Starting vyos-intfwatchd: vyos-intfwatchd

    schaltet VyOS die Geschwindigkeit der seriellen Verbindung auf 9600 bps herunter und über den Bildschirm huschen nur noch wilde Zeichen. Ändern Sie im Konsolenprogramm die Baudrate ebenfalls auf 9600.

Damit ist VyOS gestartet, aber noch nicht installiert. Für die Installation in Kapitel 3 ist die Angabe der Installationsquelle und des -ziels wichtig, da beide Medien beschreibbar und damit löschbar sind. Ein Verwechseln von Quelle und Ziel überschreibt den USB-Stick und lässt die SD-Karte unberührt.

Nach dem ersten Login (vgl. Kap. 3) und dem Kommando

sudo fdisk -l

zeigt VyOS die verbundenen Medien mit der Bezeichnung sda oder sdb an. Mithilfe von

sudo df /live/image

Filesystem 1K-blocks Used Available Use% Mounted on
/dev/sda1 3905512 256440 3649072 7% /live/image

lässt Linux erkennen, von welchem Medium gebootet wurde; das ist der USB-Stick (hier sda). Weiter gehts per Ausschlussverfahren, denn die SD-Karte ist einfach das andere Medium (hier sdb).

Achtung

Der VyOS-Installer empfiehlt bei zwei Speichermedien ein Software-RAID. Das macht in diesem Fall keinen Sinn, da der USB-Stick nach der Installation entfernt wird. Das RAID würde dann dauerhaft nur aus einem Medium bestehen.

EdgeOS

Die EdgeRouter werden mit dem Betriebssystem EdgeOS vorinstalliert geliefert. Eine eigene Vorbereitung ist nur angesagt, wenn der Router einen älteren Versionsstand mitbringt. Das Update läuft über die Web-GUI. Im unteren Bereich gibt es die Schaltfläche System, hinter der sich der Button Upload system image verbirgt. Das folgende Dialogfeld erwartet die tar–Datei, die Ubiquiti auf seiner Webseite kostenlos anbietet. Ein abschließender Neustart des Routers beendet die Softwareaktualisierung.

Das Update über die Kommandozeile behandelt Kapitel 15.

Kapitel 3

Installation

Die virtuellen Netze sind erstellt und die Maschinen sind startklar. Aber genau wie bei einem normalen Computer muss anfangs ein Betriebssystem installiert werden. Und das geschieht bei VyOS noch ganz klassisch: Von CD booten und Installer starten.

Dieses Kapitel beschäftigt sich mit der Installation von VyOS auf der (virtuellen) Maschine, sowie einer minimalen Konfiguration für Netzkonnektivität.

Installation

Die CD bootet und irgendwann meldet vyos login den abgeschlossenen Startvorgang des Livesystems. Mit dem leicht zu merkenden, aber höchst unsicheren Anmeldenamen nebst Passwort vyos ist der Zugriff möglich. Diese Zugangsdaten vertragen sich schlecht mit einer deutschen Tastatur, denn Z und Y sind hierzulande vertauscht.

Bisher hat die Live-CD noch nichts installiert, sondern einfach nur ein VyOS-System von CD gebootet. Die Installation startet erst mit dem Kommando

install image

Nun folgen die üblichen Fragen eines Installers: Welche Festplatte darf das Betriebssystem tragen und wie groß soll die Partition werden? Und darf es ein stärkeres Passwort für die Anmeldung sein?

Die meisten Fragen können mit der Voreinstellung beantwortet werden. Nur die finale Bestätigung muss der Anwender durch die Zeichenfolge yes selber geben. Wenn die virtuelle Maschine den Empfehlungen aus Kapitel 2 entspricht, findet der VyOS-Installer eine 2 GB–Festplatte, die als sda im System auftaucht.

Im folgenden sind die Schritte der Installation beschrieben, die vom Standard abweichen könnten:

Ein RAID aus zwei Festplatten ist sehr beliebt, um Ausfälle einer einzelnen Platte abzufangen. Wenn der VyOS-Installer zwei Medien findet, bietet er direkt ein RAID 1 an, bei dem der Datenbestand stets auf beide Platten geschrieben wird.

You have two disk drives:

sda 2147 MB

sdb 2147 MB

Would you like to configure RAID-1 mirroring on them? (Yes/No): yes

Anschließend baut das Installationsskript das RAID-Laufwerk md0 zusammen.

Die Nutzung eines RAID-Laufwerks verbessert den Ausfallschutz natürlich nur, wenn es sich tatsächlich um zwei unterschiedliche Medien handelt. Bei virtuellen Maschinen sollten die bereitgestellten Festplatten nicht im selben Datastore liegen.

Die Frage nach dem RAID-Laufwerk kommt auch, wenn das System vom USB-Stick bootet, da Linux dem USB-Stick einen sdX-Laufwerksnamen verpasst. Für das Installationsskript gibt es dann ein sda (der USB-Stick) und ein sdb (die Festplatte oder SD-Karte) – also die technische Grundlage für ein RAID-Laufwerk. Für den späteren VyOS-Router darf auf das RAID getrost verzichtet werden, da der USB-Stick nach der Installation nicht im Router verbleibt.

What would you like to name this image? [1.1.7]:

Auf einer Festplatte können mehrere Images von VyOS installiert sein, von denen natürlich nur eins gleichzeitig gestartet ist. Jedes Image hat einen Namen, der aus der Versionsnummer besteht. Dieser Name kann hier verändert werden.

nicht