Um in einer OpenVZ Instanz das TUN/TAP Gerät /dev/net/tun verwenden zu können sind einige kurze Schritte notwendig. Da die Hersteller-Dokumentation leider nicht fehlerfrei zum gewünschten Ergebnis führt, hier die Zusammenfassung.
Zuerst wird die eindeutige Identifikatiosnummer der OpenVZ Instanz bestimmt. Dann kann wie folgt auf dem Host fortgefahren werden. Um die Befehle erfolgreich absetzen zu können, muss die VM teilweise gestartet und teilweise gestoppt werden.
# Identifikationsnummer, zum Beispiel 106 VZID=106 vzctl stop $VZID vzctl set $VZID --devnodes net/tun:rw --save vzctl set $VZID --devices c:10:200:rw --save vzctl set $VZID --capability net_admin:on --save vzctl start $VZID vzctl exec $VZID mkdir -p /dev/net vzctl exec $VZID mknod /dev/net/tun c 10 200 vzctl exec $VZID chmod 600 /dev/net/tun
Die Fähigkeit net_admin kann zu einer reduzierten Abschottung zwischen Host und Gast führen. Eine Schwachstelle gab es bereits (2).