Voortsetting van die storie oor ZeroTier, van die teorie uiteengesit in die artikel "", gaan ek oor na oefening waarin:
- Kom ons skep en konfigureer 'n private netwerkbeheerder
- Kom ons skep 'n virtuele netwerk
- Kom ons konfigureer en koppel nodusse daaraan
- Kom ons kyk na die netwerkverbinding tussen hulle
- Kom ons blokkeer toegang tot die GUI van die netwerkbeheerder van buite af
Netwerkbeheerder
Soos vroeër genoem, om virtuele netwerke te skep, te bestuur, sowel as om nodusse te verbind, benodig die gebruiker 'n netwerkbeheerder, 'n grafiese koppelvlak (GUI) waarvoor in twee vorme bestaan:
ZeroTier GUI-opsies
- Een van ontwikkelaar ZeroTier, beskikbaar as 'n SaaS publieke wolkoplossing met vier intekeningplanne, insluitend gratis, maar beperk in bestuurde toestelle en ondersteuningsvlak
- Die tweede is van 'n onafhanklike ontwikkelaar, ietwat vereenvoudig in funksionaliteit, maar beskikbaar as 'n private oopbron-oplossing vir gebruik op die perseel of op wolkbronne.
In my praktyk het ek albei gebruik en gevolglik het ek uiteindelik op die tweede een besluit. Die rede hiervoor was die waarskuwings van die ontwikkelaar.
“Netwerkbeheerders dien as sertifiseringsowerhede vir virtuele ZeroTier-netwerke. Lêers wat beheerder geheime sleutels bevat moet noukeurig bewaak en veilig geargiveer word. Hul kompromie laat ongemagtigde aanvallers toe om bedrieglike netwerkkonfigurasies te skep, en hul verlies lei tot die verlies van die vermoë om die netwerk te beheer en te bestuur, wat dit effektief onbruikbaar maak.”
→
En ook, tekens van jou eie kuberveiligheidsparanoia :)
- Selfs as Cheburnet kom, moet ek steeds toegang tot my netwerkbeheerder hê;
- Net ek moet die netwerkbeheerder gebruik. Indien nodig, die verskaffing van toegang aan u gemagtigde verteenwoordigers;
- Dit behoort moontlik te wees om toegang tot die netwerkbeheerder van buite te beperk.
In hierdie artikel sien ek nie veel sin daarin om afsonderlik te stilstaan oor hoe om 'n netwerkbeheerder en die GUI daarvoor op fisiese of virtuele hulpbronne op die perseel te ontplooi nie. En daar is ook 3 redes hiervoor:
- daar sal meer briewe wees as wat beplan is
- reeds hieroor op GUI-ontwikkelaar GitHab
- die onderwerp van die artikel gaan oor iets anders
Daarom, deur die pad van die minste weerstand te kies, sal ek in hierdie storie 'n netwerkbeheerder gebruik met 'n GUI gebaseer op VDS, geskep deur , vriendelik ontwikkel deur my kollegas van RuVDS.
Aanvanklike opstelling
Nadat 'n bediener vanaf die gespesifiseerde sjabloon geskep is, kry die gebruiker toegang tot die Web-GUI kontroleerder deur 'n blaaier deur toegang te verkry tot https:// :3443
By verstek bevat die bediener reeds 'n voorafgegenereerde selfondertekende TLS/SSL-sertifikaat. Dit is vir my genoeg, aangesien ek toegang daartoe van buite blokkeer. Vir diegene wat ander tipe sertifikate wil gebruik, is daar op GUI-ontwikkelaar GitHab.
Wanneer die gebruiker vir die eerste keer aanmeld Teken aan met verstek login en wagwoord - admin и Wagwoord:
Dit stel voor dat die verstekwagwoord na 'n pasgemaakte een verander word
Ek doen dit 'n bietjie anders - ek verander nie die wagwoord van 'n bestaande gebruiker nie, maar skep 'n nuwe een - Skep gebruiker.
Ek stel die naam van die nuwe gebruiker - Gebruikersnaam:
Ek stel 'n nuwe wagwoord - Voer nuwe wagwoord in:
Ek bevestig die nuwe wagwoord - Voer wagwoord weer in:
Die karakters wat jy invoer is hooflettersensitief – wees versigtig!
Merkblokkie om wagwoordverandering by volgende aanmelding te bevestig - Verander wagwoord by volgende aanmelding: Ek vier nie.
Om die ingevoerde data te bevestig, druk Stel wagwoord in:
Dan: ek meld weer aan - Teken uit / Teken aan, reeds onder die geloofsbriewe van die nuwe gebruiker:
Vervolgens gaan ek na die gebruikersoortjie - gebruikers en verwyder die gebruiker admindeur op die asblik-ikoon aan die linkerkant van sy naam te klik.
In die toekoms kan jy die gebruiker se wagwoord verander deur óf op sy naam óf op stel wagwoord te klik.
Skep 'n virtuele netwerk
Om 'n virtuele netwerk te skep, moet die gebruiker na die oortjie gaan Voeg netwerk by. Van punt gebruikers dit kan deur die bladsy gedoen word What is This — die hoofbladsy van die Web-GUI, wat die ZeroTier-adres van hierdie netwerkbeheerder vertoon en 'n skakel bevat na die bladsy vir die lys van netwerke wat daardeur geskep is.
Op bladsy Voeg netwerk by die gebruiker ken 'n naam aan die nuutgeskepte netwerk toe.
Wanneer die invoerdata toegepas word − Skep netwerk die gebruiker word na 'n bladsy geneem met 'n lys netwerke, wat bevat:
Netwerk naam — die naam van die netwerk in die vorm van 'n skakel, wanneer jy daarop klik, kan jy dit verander
Netwerk-ID - netwerk identifiseerder
detail - skakel na 'n bladsy met gedetailleerde netwerkparameters
maklike opstelling - skakel na bladsy vir maklike opstelling
lede - skakel na die nodusbestuurbladsy
Vir verdere opstelling volg die skakel maklike opstelling. Op die bladsy wat oopmaak, spesifiseer die gebruiker 'n reeks IPv4-adresse vir die netwerk wat geskep word. Dit kan outomaties gedoen word deur 'n knoppie te druk Genereer netwerkadres of handmatig deur die netwerknetwerkmasker in die toepaslike veld in te voer CIDR.
Wanneer u suksesvolle data-invoer bevestig, moet u terugkeer na die bladsy met die lys netwerke deur die Terug-knoppie te gebruik. Op hierdie stadium kan die basiese netwerkopstelling as voltooi beskou word.
Verbind netwerk nodusse
- Eerstens moet die ZeroTier One-diens geïnstalleer word op die nodus wat die gebruiker aan die netwerk wil koppel.
Wat is ZeroTier One?Zero Tier One is 'n diens wat loop op skootrekenaars, tafelrekenaars, bedieners, virtuele masjiene en houers wat verbindings met 'n virtuele netwerk verskaf deur 'n virtuele netwerkpoort, soortgelyk aan 'n VPN-kliënt.
Sodra die diens geïnstalleer en loop, kan jy met hul 16-karakter-adresse aan virtuele netwerke koppel. Elke netwerk verskyn as 'n virtuele netwerkpoort op die stelsel wat net soos 'n normale Ethernet-poort optree.
Skakels na verspreidings, sowel as installasie-opdragte, kan gevind word .U kan die geïnstalleerde diens bestuur deur 'n opdragreëlterminal (CLI) met admin-/wortelregte. Op Windows/MacOS ook met behulp van 'n grafiese koppelvlak. Gebruik slegs GUI in Android/iOS.
- Kontroleer die sukses van die diensinstallasie:
CLI:
zerotier-cli statusGevolg:
200 info ebf416fac1 1.4.6 ONLINE
GUI:Die feit dat die toepassing loop en die teenwoordigheid daarin van 'n lyn met Node ID met die node adres.
- Koppel 'n nodus aan die netwerk:
CLI:
zerotier-cli join <Network ID>Gevolg:
200 join OKGUI:
Windows: regskliek op die ikoon Zero Tier One in die system tray en kies die item - Sluit aan by Netwerk.
MacOS: Begin die toepassing Zero Tier One in die balkkieslys, indien nie reeds geloods nie. Klik op die ⏁ ikoon en kies Sluit aan by Netwerk.Android/iOS: + (plus beeld) in die toepassing
Voer die netwerkbeheerder in wat in die GUI gespesifiseer is in die veld wat verskyn Netwerk-ID, en druk Sluit aan/Voeg netwerk by. - Ken 'n IP-adres aan 'n gasheer toe
Nou keer ons terug na die netwerkbeheerder en volg die skakel op die bladsy met 'n lys van netwerke lede. As jy 'n prentjie soortgelyk aan hierdie op die skerm sien, beteken dit dat jou netwerkbeheerder 'n versoek ontvang het om die verbinding met die netwerk vanaf die gekoppelde nodus te bevestig.
Op hierdie bladsy laat ons alles vir eers soos dit is en volg die skakel IP-opdrag gaan na die bladsy om 'n IP-adres aan die nodus toe te ken:
Nadat u die adres toegewys het, klik die knoppie terug keer terug na die bladsy van die lys van gekoppelde nodusse en stel die naam - Lid naam en merk die merkblokkie om die nodus op die netwerk te magtig - gemagtigde. Terloops, hierdie merkblokkie is 'n baie gerieflike ding om in die toekoms van die gasheernetwerk te ontkoppel/koppel.
Stoor veranderinge met die knoppie Verfris. - Gaan die nodus se verbindingstatus na die netwerk na:
Om die verbindingstatus op die nodus self na te gaan, hardloop:
CLI:zerotier-cli listnetworksGevolg:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:Netwerkstatus moet OK wees
Om die oorblywende nodusse te verbind, herhaal bewerkings 1-5 vir elk van hulle.
Kontroleer netwerkverbinding van nodusse
Ek doen dit deur die opdrag uit te voer ping op die toestel wat aan die netwerk gekoppel is wat ek tans bestuur.
In die skermkiekie van die Web-GUI-beheerder kan u drie nodusse sien wat aan die netwerk gekoppel is:
- ZTNCUI - 10.10.10.1 - my netwerkbeheerder met GUI - VDS in een van die RuVDS DC's. Vir normale werk is dit nie nodig om dit by die netwerk te voeg nie, maar ek het dit gedoen omdat ek toegang tot die webkoppelvlak van buite wil blokkeer. Meer hieroor later.
- MyComp - 10.10.10.2 - my werkrekenaar is 'n fisiese rekenaar
- Rugsteun - 10.10.10.3 — VDS in 'n ander DC.
Daarom kyk ek vanaf my werkrekenaar die beskikbaarheid van ander nodusse met die opdragte:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
Die gebruiker het die reg om ander instrumente te gebruik om die beskikbaarheid van nodusse op die netwerk na te gaan, beide ingebou in die bedryfstelsel en soos NMAP, Advanced IP Scanner, ens.
Ons verberg toegang tot die netwerkbeheerder GUI van buite af.
Oor die algemeen kan ek die waarskynlikheid van ongemagtigde toegang tot die VDS waarop my netwerkbeheerder geleë is, verminder deur 'n brandmuur in my RuVDS persoonlike rekening te gebruik. Hierdie onderwerp is meer waarskynlik vir 'n aparte artikel. Daarom sal ek hier wys hoe om toegang tot die GUI-beheerder te verskaf slegs vanaf die netwerk wat ek in hierdie artikel geskep het.
Om dit te doen, moet jy via SSH koppel aan die VDS waarop die kontroleerder geleë is en die konfigurasielêer oopmaak met die opdrag:
nano /opt/key-networks/ztncui/.envIn die oopgemaakte lêer, na die reël "HTTPS_PORT=3443" wat die adres bevat van die poort waar die GUI oopmaak, moet jy 'n bykomende reël byvoeg met die adres waar die GUI sal oopmaak - in my geval is dit HTTPS_HOST=10.10.10.1 .XNUMX.
Volgende sal ek die lêer stoor
Сtrl+C
Y
Enter
en voer die opdrag uit:
systemctl restart ztncuiEn dit is dit, nou is die GUI van my netwerkbeheerder slegs beskikbaar vir netwerknodes 10.10.10.0.24.
In plaas daarvan om 'n gevolgtrekking
Dit is waar ek die eerste deel van die praktiese gids vir die skep van virtuele netwerke gebaseer op ZeroTier wil voltooi. Ek sien uit na jou kommentaar.
In die tussentyd, om die tyd te verwyl tot die publikasie van die volgende deel, waarin ek jou sal vertel hoe om 'n virtuele netwerk met 'n fisiese een te kombineer, hoe om 'n "road warrior" -modus en iets anders te organiseer, stel ek voor dat jy probeer organiseer jou eie virtuele netwerk met behulp van 'n private netwerkbeheerder met GUI gebaseer op VDS vanaf die mark RUVDS. Boonop het alle nuwe kliënte 'n gratis proeftydperk van 3 dae!
PS Ja! Ek het amper vergeet! Jy kan 'n nodus van die netwerk verwyder deur 'n opdrag in die CLI van hierdie nodus te gebruik.
zerotier-cli leave <Network ID>
200 leave OK
of die Delete-opdrag in die kliënt-GUI op die nodus.
->
->
->
Bron: will.com