После полутора лет разработки представлен (https://mail.gnome.org/archives/networkmanager-list/2016-Apr... новый стабильный релиз интерфейса для упрощения настройки параметров сети - NetworkManager 1.2 (https://wiki.gnome.org/Projects/NetworkManager). Одновременно опубликованы новые выпуски плагинов (https://download.gnome.org/sources/) для поддержки VPN, OpenConnect, PPTP, OpenVPN и OpenSWAN, а также апплет (https://download.gnome.org/sources/network-manager-applet) с реализацией индикатора для панели GNOME.
Ключевые (https://blogs.gnome.org/lkundrak/2016/04/20/networkmanager-1... новшества (http://cgit.freedesktop.org/NetworkManager/NetworkManager/pl... NetworkManager 1.2:
- Добавлен механизм для борьбы c отслеживанием перемещения пользователя. Основной проблемой является то, что MAC-адрес, привязанный к беспроводному адаптеру, отправляется в эфир даже если устройство не подключается к точке доступа. Все находящиеся в зоне досягаемости беспроводные сети видят отправляемый при сканировании сетей неизменный MAC-адрес, отождествлённый с одним и тем же устройством, что позволяет скрыто отслеживать перемещение пользователя.Суть представленного в NetworkManager метода противодействия отслеживанию в использовании случайно сгенерированного MAC-адреса при выполнении операции сканирования сетей. Перед подключением и при привязке к точке доступа MAC-адрес изменяется на постоянный, который указан в прошивке беспроводного адаптера, что позволяет избежать проблем с привязкой параметров клиента. В качестве опции предусмотрена возможность рандомизации постоянного MAC-адреса, но её использование сопряжено с риском возникновения проблем с фильтрами на точке доступа;
- Добавлена (https://blogs.gnome.org/lkundrak/2015/12/03/networkmanager-a... поддержка RFC-7217 (https://tools.ietf.org/html/rfc7217), определяющего методы противодействия отслеживанию хоста при переключении между разными сетями IPv6. Отслеживание может быть выполнено путём оценки неизменной части адреса, вычисляемой на основе MAC-адреса хоста (при подключении к другой IPv6-сети меняется только сетевая часть адреса, отождествлённая с конкретной сетью IPv6). RFC-7217 позволяет генерировать случайный IP-адрес для каждой сети IPv6, при этом сохраняя данный адрес при повторных подключениях к одной и той же сети;
- Значительно улучшен процесс сканирования беспроводных сетей, который стал более адаптивным и быстрым. Список точек доступа теперь ведётся на стороне wpa_supplicant и сильно не разрастается при перемещении устройства, а ранее используемые точки доступа определяются более точно. Для пользователей мобильных систем предусмотрены новые опции для включения режимов энергосбережения Wi-Fi, которые можно включать как для всей системы, так и для отдельных соединений;
- Добавлена поддержка сетевых интерфейсов tun, tap, macvlan и vxlan, а также IP-туннелей, которые дополнили ранее поддерживаемые устройства bond, team и bridge;
- Расширены (https://blogs.gnome.org/lkundrak/2015/08/28/coming-in-networ... возможности консольного клиента nmcli, в котором реализовано выделение цветом статуса соединения или устройства, обеспечена сортировка вывода, добавлена возможность указания произвольных свойств на этапе создания соединения (ранее свойства можно было указать только через редактирование существующего соединения), улучшены средства для настройки VPN, добавлены правила автодополнения ввода для bash. Изменён процесс определения первичного и вторичного устройства, что значительно упростило настройку многоуровневых конфигураций с несколькими сетевыми устройствами, создание сетевых мостов и агрегирование интерфейсов;
- Продолжена работа по обеспечению компактных сборок NetworkManager, если в прошлом выпуске реализована возможность выноса кода поддержки оборудования в отдельные модули (например, на серверах можно использовать вариант NetworkManager без Wi-Fi и Bluetooth), то в версии 1.2 проведена работа по избавлению от внешних зависимостей.
Вместо dbus-glib для работы с шиной D-Bus задействована библиотека gio. Из числа зависимостей также исключены libnl-route-3 и avahi-autoipd, вместо которых для настройки адресов и управления хостами на системах с systemd теперь используются штатные средства systemd, такие как systemd-hostnamed. Обеспечена корректная работа NetworkManager в изолированных контейнерах LXC и Docker;- Увеличена гибкость настройки VPN, снято ограничение на возможность использования только одного экземпляра VPN-плагина. В новой версии можно организовать работу нескольких одновременных VPN-соединений. В интерфейс командной строки nmcli добавлена возможность управления VPN и поддержка импорта/экспорта настроек VPN (команды "nmcli connection export" и "nmcli connection import");
- Поддержка настройки режима Wake-on-LAN для адаптеров Ethernet;
- Возможность запуска обработчика LLDP (https://ru.wikipedia.org/wiki/LLDP) и настройки LLDP через интерфейс командной строки;
- Улучшено управление файлом /etc/resolv.conf, который теперь можно менять во время работы (внутренний resolv.conf сохраняется в директории /run) или использовать символическую ссылку.
URL: https://mail.gnome.org/archives/networkmanager-list/2016-Apr...
Новость: http://www.opennet.me/opennews/art.shtml?num=44284
> прошлом выпуске реализована возможность выноса кода поддержки оборудования в отдельные модули (например, на серверах можно использовать вариант NetworkManager без Wi-Fi и Bluetooth), то в версии 1.2 проведена работа по избавлению от внешних зависимостей.гуд
>> прошлом выпуске реализована возможность выноса кода поддержки оборудования в отдельные модули (например, на серверах можно использовать вариант NetworkManager без Wi-Fi и Bluetooth), то в версии 1.2 проведена работа по избавлению от внешних зависимостей.
> гудNM на серверах?
давно уже, вместе с гномом
я в шоке! куда смотрит systemd, как это ты еще не влючил nm в систему леннарт?! плохо работаешь...
understand
> я в шоке! куда смотрит systemd, как это ты еще не влючил
> nm в систему леннарт?! плохо работаешь...Он нашел в нем тотальный недостаток и очень неспешно пилит systemd-networkd
> Он нашел в нем тотальный недостатокNIH?
NM это и есть поделка ленарта, к которому он потерял интерес - пусть сообщество допиливает.
Вся суть Леннартохейтеров. Спороть херню, в расчете, что кто то поведется. К вашему сожалению, нет, это не его поделка.
Он занят, конференцию systemd.conf 2016 объявил. Надо же перед пацанами не падать в грязь.
> Все находящиеся в зоне досягаемости беспроводные сети видят отправляемый при сканировании сетей неизменный MAC-адреса ещё оператор видит перемещения абонента, модель его радиостанции, слушает его траффик, может управлять устройством и слушать о чём он говорит. как страшно жить!
И теперь одной проблемой (причём проблемой неидентифицируемой -- слушать-то всякий может) стало меньше.
> как страшно жить!Жить стало лучше, жить стало веселее.
> И теперь одной проблемой (причём проблемой неидентифицируемой -- слушать-то всякий может)
> стало меньше.
>> как страшно жить!
> Жить стало лучше, жить стало веселее.одной стало больше - если вдруг появится куча устройств с одинаковыми маками ибо ошибки с random() уже были в прошлом.
> если вдруг появится куча устройств с одинаковыми макамиполучится даже лучше, чем задумывалось.
Переинициализируешь сетку и проблема решится. И откуда кстати появится "куча", вы думаете что все резко на линуксы персядут?Кстати эта проблема и без NM была. Китайчина иногда делает сетевые с одинаковым адресом. В бытность свою работая в провайдинге мы на такое натыкались даже в пределах одного района.
Китайчина? у меня как-то два сервера пришло от супермикро, день мучилась пока не увидели что маки одинаковые. Конечно после объединения сетевух в команду проблема ушла, но изначально было очень неожиданно.
> Китайчина? у меня как-то два сервера пришло от супермикро, день мучилась пока
> не увидели что маки одинаковые. Конечно после объединения сетевух в команду
> проблема ушла, но изначально было очень неожиданно.Зато в отличие от китайцев не забыли сделать "инженерный логин" в management engine. На случай если захочется немного manage твой сервер.
> одной стало больше - если вдруг появится куча устройств с одинаковыми маками
> ибо ошибки с random() уже были в прошлом.Хорошо. Я иногда специально назначаю беспроводке MAC пойманные в эфире или найденные в интернете. Слежка должна быть делом увлекательным и веселым.
> а ещё оператор видит перемещения абонента, модель его радиостанции,А лечащий врач видит вашу голую пятую точку и, в приципе, вполне может передать фотографии и ТТХ оной кому-либо еще (помимо товарища майора из определенных органов).
А значит – долой штаны, пришла пора сверкать нам всем голой филейной частью?! )
> А значит – долой штаны, пришла пора сверкать нам всем голой филейной частью?! )Ты это у мак-аудитории спрашиваешь? для них это риторический вопрос.
А по новому законопроекту ещё и весь твой трафик за 3 года хранить будут. Но тебе - всё божья роса, я понимаю.
Ты правильно понимаешь. Есть вещи которые действительно опасны, в отличии от прыщавых "проблем" забэкдоренных чипсетов и дырявого опенсорц.
> А по новому законопроекту ещё и весь твой трафик за 3 годаДа что там, давайте забэкапим весь интернет. Можешь начать с бэкапа ютуба.
Это ты не мне, а законодателям расскажи.
Поспешу вас расстроить, но у меня был доступ к системе, которая занимается сбором и логированием MAC-адресов. Точки ставили в популярных местах, типа торговых центров, и их реально много. Любой, обладающий доступом, может выяснить, какой MAC-адрес где бывает, как долго и как часто.
> Поспешу вас расстроить,Опоздали. Расстройство пришло раньше, когда в открытых точках потребовали устанавливать авторизацию. А если быть точным, то смс-авторизация. Безвыходных ситаций конечно нет, но сбор mac не самая страшная проблема.
> Увеличена гибкость настройки VPN, снято ограничение на возможность использования только одного экземпляра VPN-плагина.Сколько лет прошло в ожидании этой "фичи"
> например, на серверах можно использовать вариант NetworkManager без Wi-Fi и BluetoothЗачем вообще на сервере это чудо??
А между тем, как сломали после версии 0.8 работу BT+PAN так и не спешат чинить...
Ты не поверишь, но наркоманы из RedHat уже включили его в minimal установку CentOS7, вместе с таким-же ненужным firewalld.
Ничто не мешает его отключить и использовать привычный 'network'скрипт, что я и делаю.
Ну это понятно, но факт остается фактом, RedHat внедрением NM и systemd все больше овиндовивают свою систему
> Ну это понятно, но факт остается фактом, RedHat внедрением NM и systemd все больше овиндовивают свою системуты когда-нибудь создавал свой сервис (службу) на Windows?
нет? тебе только лишь мозгов хватило понажимать на кнопочки Start/Stop/Restart ?
ну а в systemd -- создавал сервис?
вот когда создашь (на Windows, как минимум) -- вот тогда и говори про якобы схожесть Windows и systemd
> можно отключитьпо моему мнению, это большая недоработка. Как хорошо что в новых программах политика пересмотрена!
>> можно отключить
> по моему мнению, это большая недоработка.в чем недоработка- вам дают выбор, что хотите - то и используйте.
>Как хорошо что в новых программах политика пересмотрена!
Вы о чем вообще?
На много проще, удобнее и, самое главное, интуитивно понятнее вручную править конфиги через терминал, особенно если ты - простой обыватель, и вчера узнал, что Винда - не единственная ОС, а сегодня решил попробовать линукс.
На сервере попробовать? Ты вообще читал тред, в котором отвечаешь?
> На сервере попробовать? Ты вообще читал тред, в котором отвечаешь?Каюсь, был уверен, что речь про десктоп. Буду дважды перечитывать.
> снято ограничение на возможность использования только одного экземпляра VPN-плагинамного лет ждал!
В KDE NetworkManager тоже эти фишки входят?Кстати, вот здесь непонятно:
> В качестве опции предусмотрена возможность рандомизации постоянного MAC-адреса, но её использование сопряжено с риском возникновения проблем с фильтрами на точке доступа;
Т.е. можно настроить так, чтобы все эти публичные точки доступа не получали настоящий mac? Но что за проблемы с фильтрами? Как они повлияют на работу WiFi?
Многие динамически привязывают мас фильтрацию к выданному логину, что вполне логично при приступе паранойи.
> Но что за проблемы с фильтрами? Как они повлияют на работу WiFi?В любом нормальном роутере есть поддержка белого/черного списка MAC-адресов. Это первая линия обороны.
> Т.е. можно настроить так, чтобы все эти публичные точки доступа не получали настоящий mac?А что сейчас мешает это сделать? Можно настроить и рандомизацию, как при загрузке, так и при каждом подключении.
Но сутиь вопроса в другом, что устройство пока не подключилось к указанной wifi сети, окружающим точкам при запросах НЕ дает достоверную информацию о mac.
Блииин, это Gnome NetworkManager. Так в KDE будут хотя-бы эти опции со сменой mac-адресов?
В чем проблема (nm с jwm работает)?
наркоман?!!
он и на серваках без иксов хорошо работает. nmcli - очень хорошая утилита.
другое дело что не все потребности закрывает, но для типовых решений хватает.
> Блииин, это Gnome NetworkManager. Так в KDE будут хотя-бы эти опции со сменой mac-адресов?Ты не понял. Есть network manager, а есть аплетики управления оным. Менять ли мак - в настройках NM и соединений. Умеет ли это апплетик настраивать - другой вопрос. В крайнем случае можно и руками указать.
> Ты не понял.Нормально он все понял. Мак и сейчас нормально меняется руками без проблем.
Ребят, там хоть что-нибудь сломали для приличия?
в этом крапе разве можно ещё что-то сломать?
Это как в анекдоте: "пьяный админ запутался в кабельной стойке и случайно *починил* сеть!"
Ура! vxlan! Интересно, в RHEL/CentOS 7 бэкпортируют? Надоело уже таскать свой ifup/ifdown-vxlan скрипт.
vpn все так же не переподключается, если соединение оборвалось?
> vpn все так же не переподключается, если соединение оборвалось?Можно же в настройках интернет-подключения указать, чтобы VPN-соединение поднималось следом за ним.
Я точно не помню, давно уже не пользуюсь, но это по-моему не то.
> Ты не поверишь, но наркоманы из RedHat уже включили его в minimal установку CentOS7, вместе с таким-же ненужным firewalld.Ха, и это minimal, где нет даже многих базовых утилит, вроде lsusb и пр. Но за то NM уже есть!
> Добавлена поддержка сетевых интерфейсов tun, tapВсё время ждал. Наконец-то в 2016 году можно начать пользоваться. А то в qemu без tap сети нет.
Когда уже L2TP будет работать без костылей? И будет переподключаться после обрыва связи? Сейчас что-то портится в сетевой подсистеме, адрес сервера даже пинговаться перестаёт, хотя всё остальное работает).
Великолепный проект, 90% мануалов к эентерпайзным решениям содержат упоминания о нем вида:$ sudo systemctl stop NetworkManager.service
$ sudo systemctl disable NetworkManager.service
Этот крап до сих пор актуален? оО
А какие причины не поддерживать L2TP из коробки?
> Добавлен механизм для борьбы c отслеживанием перемещения пользователя...Просто не верится. Еше 10 лет и 20 мегабайт кода и начнет доближтьса по возможностям до дебианского ifupdown с расширениями. А лет так через 20-30 - и по стабильности...
А можно о расширениях подробнее? Есть и для usb->ethernet адаптеров?
Как минимум ifupdown-scripts-zg2 (vlan, bridge, static routes, workaround for udev's "persisttent interface name" randomization missfeature) и guessnet (автоматичное разпознавание сети и выбор профиля настроек). У обоих базовый функционал, до которому однако NM еше расти и расти (пока что растут у него в основном вес, да количество багов и зависимостей).> для usb->ethernet адаптеров
Только то, место чему в interfaces, а не в udev правилах (ответ конечно риторический, но и постановка вопроса неправильная).
> ifupdown-scripts-zg2, guessnetСпасибо за наводку. Но ifupdown-scripts-zg2 два с половиной месяца назад вылетел из debian testing, и до сих пор баг не исправили, значит, им не особо пользуются. Да и последняя версия вышла почти 4 года назад.
> Только то, место чему в interfaces, а не в udev правилах (ответ конечно риторический, но и постановка вопроса неправильная).
Подключаешь этот usb-dongle, появляется сетевой интерфейс (в udev ничего не менял), в interfaces стоит auto-hotplug (без auto) и... ничего не происходит.
> Просто не верится. Еше 10 лет и 20 мегабайт кода и начнет
> доближтьса по возможностям до дебианского ifupdown с расширениями.И как в ifupdown хотя-бы список wifi сетей вокруг посмотреть, для начала?
> И как в ifupdown хотя-бы список wifi сетей вокруг посмотреть, для начала?Для управления WiFi сетей в U*X-е из пользуется специальная программа, wpa-suppliciant, для запуска которой в interfaces применяется директива "wpa-roam файл_с_конфигом" (к стати, NM тоже пользует wpa-suppliciant). Предоставление актуального списка сетей – одна из его функций. Любой socket клиент может это сделать, но конечно лучше всего использовать те, которые входят в wpa-supplician - wpa-cli и wpa-gui.
Конечно возможно вместо прямой работы с wpa-suppliciant позволить NM управлять его. Таким образом автоматический roaming будет работать только в рамках статистической ошибки, но за то большинство вариантов "сложной" кастомизации будут надежно блокированы.
networkmanager это визард для узеров который? Админам только мешает...