ZeroTier tərəfindən təchiz edilmişdir. Virtual şəbəkələrin qurulması üçün praktiki bələdçi. 1-ci hissə

Məqalədə göstərilən nəzəriyyədən ZeroTier haqqında hekayəni davam etdirərək "Planet Earth üçün Smart Ethernet Switch", mən təcrübəyə davam edirəm:

• Şəxsi şəbəkə nəzarətçisi yaradaq və konfiqurasiya edək
• Gəlin virtual şəbəkə yaradaq
• Gəlin qovşaqları konfiqurasiya edək və ona birləşdirək
• Onların arasında şəbəkə bağlantısını yoxlayaq
• Şəbəkə nəzarətçisinin GUI-yə kənardan girişi bloklayaq

Şəbəkə nəzarətçisi

Daha əvvəl qeyd edildiyi kimi, virtual şəbəkələr yaratmaq, onları idarə etmək, həmçinin qovşaqları birləşdirmək üçün istifadəçiyə iki formada mövcud olan qrafik interfeys (GUI) olan şəbəkə nəzarətçisi lazımdır:

ZeroTier GUI Seçimləri

• Developer ZeroTier-dən biri, pulsuz, lakin idarə olunan cihazlar və dəstək səviyyəsində məhdud olan dörd abunə planı ilə SaaS ictimai bulud həlli kimi mövcuddur.
• İkincisi, funksionallıq baxımından bir qədər sadələşdirilmiş, lakin yerli və ya bulud resurslarında istifadə üçün özəl açıq mənbə həlli kimi mövcud olan müstəqil tərtibatçıdandır.

Təcrübəmdə hər ikisindən istifadə etdim və nəticədə nəhayət ikinciyə qərar verdim. Buna səbəb tərtibatçının xəbərdarlıqları olub.

“Şəbəkə nəzarətçiləri ZeroTier virtual şəbəkələri üçün sertifikatlaşdırma orqanları kimi xidmət edir. Nəzarətçinin məxfi açarlarını ehtiva edən fayllar diqqətlə qorunmalı və etibarlı şəkildə arxivləşdirilməlidir. Onların kompromisləri icazəsiz təcavüzkarlara saxta şəbəkə konfiqurasiyaları yaratmağa imkan verir və onların itirilməsi şəbəkəni idarə etmək və idarə etmək qabiliyyətinin itirilməsinə gətirib çıxarır və onu effektiv şəkildə yararsız hala gətirir”.

→ Sənədlərə keçid

Həm də öz kibertəhlükəsizlik paranoyyanızın əlamətləri :) 

• Cheburnet gəlsə belə, mənim şəbəkə nəzarətçimə girişim olmalıdır;
• Yalnız mən şəbəkə nəzarətçisindən istifadə etməliyəm. Lazım gələrsə, səlahiyyətli nümayəndələrinizə girişin təmin edilməsi;
• Şəbəkə nəzarətçisinə kənardan girişi məhdudlaşdırmaq mümkün olmalıdır.

Bu yazıda şəbəkə nəzarətçisini və onun üçün GUI-ni yerli fiziki və ya virtual resurslarda necə yerləşdirmək barədə ayrıca danışmağın mənasını görmürəm. Və bunun da 3 səbəbi var: 

• nəzərdə tutulandan çox məktublar olacaq
• bu barədə artıq dedi GUI inkişaf etdiricisi GitHab-da
• məqalənin mövzusu başqa şeylə bağlıdır

Buna görə də, ən az müqavimət yolunu seçərək, bu hekayədə VDS-ə əsaslanan GUI ilə şəbəkə nəzarətçisindən istifadə edəcəyəm. şablondan, nəzakətlə RuVDS-dən olan həmkarlarım tərəfindən hazırlanmışdır.

İlkin quraşdırma

Göstərilən şablondan server yaratdıqdan sonra istifadəçi https://-ə daxil olaraq brauzer vasitəsilə Web-GUI nəzarətçisinə giriş əldə edir. :3443

Varsayılan olaraq, server əvvəlcədən yaradılan özünü imzalayan TLS/SSL sertifikatını ehtiva edir. Bu mənim üçün kifayətdir, çünki kənardan ona girişi bloklayıram. Digər növ sertifikatlardan istifadə etmək istəyənlər üçün var quraşdırma təlimatları GUI inkişaf etdiricisi GitHab-da.

İstifadəçi ilk dəfə daxil olduqda Giriş standart giriş və şifrə ilə - admin и parol:

Bu, standart parolu xüsusi parola dəyişdirməyi təklif edir

Mən bunu bir az fərqli edirəm - mövcud istifadəçinin parolunu dəyişmirəm, lakin yenisini yaradıram - İstifadəçi yaradın.

Yeni istifadəçinin adını təyin etdim - İstifadəçi adı:
yeni parol təyin etdim - Yeni parol daxil edin: 
yeni parolu təsdiq edirəm - Şifrəni yenidən daxil et:

Daxil etdiyiniz simvollar hərflərə həssasdır - diqqətli olun!

Növbəti girişdə parol dəyişikliyini təsdiqləmək üçün qeyd xanası - Növbəti girişdə parolu dəyişin: Mən qeyd etmirəm. 

Daxil edilmiş məlumatları təsdiqləmək üçün basın Parol seçin:

Sonra: Yenidən daxil oluram - Çıxış / Giriş, artıq yeni istifadəçinin etimadnaməsi altındadır:

Sonra, istifadəçilər sekmesine gedirəm - İstifadəçilər və istifadəçini silin adminadının solunda yerləşən zibil qutusunun işarəsinə basaraq.

Gələcəkdə istifadəçinin parolunu onun adına və ya müəyyən edilmiş parola klikləməklə dəyişə bilərsiniz.

Virtual şəbəkənin yaradılması

Virtual şəbəkə yaratmaq üçün istifadəçi sekmeye keçməlidir Şəbəkə əlavə edin. Nöqtədən İstifadəçi bu səhifə vasitəsilə edilə bilər Əsas səhifə — bu şəbəkə nəzarətçisinin ZeroTier ünvanını göstərən və onun vasitəsilə yaradılmış şəbəkələrin siyahısı üçün səhifəyə keçid olan Web-GUI-nin əsas səhifəsi.

Səhifədə Şəbəkə əlavə edin istifadəçi yeni yaradılmış şəbəkəyə ad təyin edir.

Giriş məlumatlarını tətbiq edərkən - Şəbəkə yaradın istifadəçi aşağıdakıları ehtiva edən şəbəkələrin siyahısı olan bir səhifəyə aparılır: 

Şəbəkə adı — link şəklində şəbəkənin adı, üzərinə kliklədikdə onu dəyişə bilərsiniz 
Şəbəkə ID — şəbəkə identifikatoru
detal — ətraflı şəbəkə parametrləri olan səhifəyə keçid
asan quraşdırma — asan quraşdırma üçün səhifəyə keçid
üzvləri — node idarəetmə səhifəsinə keçid

Əlavə quraşdırma üçün linki izləyin asan quraşdırma. Açılan səhifədə istifadəçi yaradılan şəbəkə üçün bir sıra IPv4 ünvanlarını təyin edir. Bu, bir düyməni basmaqla avtomatik olaraq edilə bilər Şəbəkə ünvanı yaradın və ya müvafiq sahəyə şəbəkə şəbəkə maskasını daxil etməklə əl ilə CİDR.

Uğurlu məlumat girişini təsdiqləyərkən, Geri düyməsini istifadə edərək şəbəkələrin siyahısı ilə səhifəyə qayıtmalısınız. Bu nöqtədə, əsas şəbəkənin qurulması başa çatmış hesab edilə bilər.

Şəbəkə qovşaqlarının bağlanması

1. Birincisi, ZeroTier One xidməti istifadəçinin şəbəkəyə qoşulmaq istədiyi qovşaqda quraşdırılmalıdır.

   ZeroTier One nədir?Birinci səviyyə sıfır VPN müştərisinə bənzər virtual şəbəkə portu vasitəsilə virtual şəbəkəyə qoşulma təmin edən noutbuklarda, masaüstü kompüterlərdə, serverlərdə, virtual maşınlarda və konteynerlərdə işləyən xidmətdir. 

   Xidmət quraşdırıldıqdan və işə salındıqdan sonra onların 16 simvoldan ibarət ünvanlarından istifadə edərək virtual şəbəkələrə qoşula bilərsiniz. Hər bir şəbəkə sistemdə adi Ethernet portu kimi davranan virtual şəbəkə portu kimi görünür.
   Dağıtımlara bağlantılar, eləcə də quraşdırma əmrləri tapıla bilər istehsalçının səhifəsində.

   Quraşdırılmış xidməti admin/kök hüquqları olan komanda xətti terminalı (CLI) vasitəsilə idarə edə bilərsiniz. Windows/MacOS-da həmçinin qrafik interfeysdən istifadə edir. Android/iOS-da yalnız GUI istifadə edir.

2. Xidmətin quraşdırılmasının müvəffəqiyyətinin yoxlanılması:

   CLI:

   zerotier-cli status

   Nəticə: 

   200 info ebf416fac1 1.4.6 ONLINE
   GUI:

   Tətbiqin işləməsi və orada node ünvanı ilə Node ID ilə bir xəttin olması faktı.

3. Bir qovşağın şəbəkəyə qoşulması:

   CLI:

   zerotier-cli join <Network ID>

   Nəticə: 

   200 join OK

   GUI:

   Windows: simgesini sağ klikləyin Birinci səviyyə sıfır sistem tepsisinde və elementi seçmək - Şəbəkəyə qoşulun.

   
   MacOS: Tətbiqi işə salın Birinci səviyyə sıfır bar menyusunda, əgər artıq işə salınmayıbsa. ⏁ işarəsinə klikləyin və seçin Şəbəkəyə qoşulun.

   Android/iOS: Proqramda + (üstəgəl şəkil).

   
   Görünən sahəyə GUI-də göstərilən şəbəkə nəzarətçisini daxil edin Şəbəkə ID, və basın Şəbəkəyə qoşulun/əlavə edin.

4. Bir hosta IP ünvanının təyin edilməsi
   İndi şəbəkə nəzarətçisinə qayıdırıq və şəbəkələrin siyahısı olan səhifədə linki izləyin üzvləri. Ekranda buna bənzər bir şəkil görürsünüzsə, bu o deməkdir ki, şəbəkə nəzarətçiniz qoşulmuş qovşaqdan şəbəkəyə qoşulmanı təsdiqləmək üçün sorğu alıb.

   
   Bu səhifədə hər şeyi indiki kimi buraxırıq və linki izləyəcəyik IP təyinatı node üçün IP ünvanı təyin etmək üçün səhifəyə keçin:

   
   Ünvan təyin etdikdən sonra düyməni basın geri bağlı qovşaqların siyahısının səhifəsinə qayıdın və adı təyin edin - Üzv adı və şəbəkədəki node icazə vermək üçün onay qutusunu yoxlayın - Səlahiyyətli. Yeri gəlmişkən, bu onay qutusu gələcəkdə host şəbəkəsini ayırmaq/qoşmaq üçün çox əlverişli bir şeydir.

   
   Düyməni istifadə edərək dəyişiklikləri yadda saxlayın təzələmək.

5. Düyünün şəbəkəyə qoşulma vəziyyətinin yoxlanılması:
   Düyün özündə əlaqə vəziyyətini yoxlamaq üçün aşağıdakıları yerinə yetirin:
   CLI:

   zerotier-cli listnetworks

   Nəticə:

   200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
   GUI:

   Şəbəkə statusu normal olmalıdır

   Qalan qovşaqları birləşdirmək üçün onların hər biri üçün 1-5 əməliyyatları təkrarlayın.

Düyünlərin şəbəkə bağlantısının yoxlanılması

Bunu əmri işlətməklə edirəm ping hazırda idarə etdiyim şəbəkəyə qoşulmuş cihazda.

Web-GUI nəzarətçisinin ekran görüntüsündə şəbəkəyə qoşulmuş üç qovşağı görə bilərsiniz:

1. ZTNCUI - 10.10.10.1 - GUI ilə şəbəkə nəzarətçim - RuVDS DC-lərdən birində VDS. Normal iş üçün onu şəbəkəyə əlavə etməyə ehtiyac yoxdur, amma mən bunu etdim, çünki kənardan veb interfeysinə girişi bloklamaq istəyirəm. Bu haqda daha sonra. 
2. MyComp - 10.10.10.2 - mənim iş kompüterim fiziki kompüterdir
3. Yedəkləmə - 10.10.10.3 — Başqa bir DC-də VDS.

Buna görə də, iş kompüterimdən digər qovşaqların mövcudluğunu əmrlərlə yoxlayıram:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 4ms, Maximum = 15ms, Average = 7ms

İstifadəçi həm OS-də quraşdırılmış, həm də NMAP, Advanced IP Scanner və s. kimi şəbəkədə qovşaqların mövcudluğunu yoxlamaq üçün digər vasitələrdən istifadə etmək hüququna malikdir.

Biz kənardan şəbəkə nəzarətçisinin GUI-yə girişi gizlədirik.

Ümumiyyətlə, mən RuVDS şəxsi hesabımda firewalldan istifadə edərək şəbəkə nəzarətçimin yerləşdiyi VDS-ə icazəsiz daxil olma ehtimalını azalda bilərəm. Bu mövzu daha çox ayrı bir məqalə üçün nəzərdə tutulub. Buna görə də, burada GUI nəzarətçisinə yalnız bu məqalədə yaratdığım şəbəkədən girişi necə təmin edəcəyimi göstərəcəyəm.

Bunu etmək üçün SSH vasitəsilə nəzarətçinin yerləşdiyi VDS-ə qoşulmalı və əmrdən istifadə edərək konfiqurasiya faylını açmalısınız:

nano /opt/key-networks/ztncui/.env

Açılan faylda, GUI-nin açıldığı portun ünvanını ehtiva edən “HTTPS_PORT=3443” sətirindən sonra, GUI-nin açılacağı ünvanla əlavə bir sətir əlavə etməlisiniz - mənim vəziyyətimdə bu, HTTPS_HOST=10.10.10.1-dur. .XNUMX. 

Sonra faylı saxlayacağam

Сtrl+C
Y
Enter 

və əmri işlədin:

systemctl restart ztncui

Və budur, indi mənim şəbəkə nəzarətçimin GUI-i yalnız 10.10.10.0.24 şəbəkə qovşaqları üçün mövcuddur.

Bunun əvəzinə bir nəticəyə 

ZeroTier əsasında virtual şəbəkələr yaratmaq üçün praktiki təlimatın birinci hissəsini burada bitirmək istəyirəm. Şərhlərinizi gözləyirəm. 

Bu vaxt, virtual şəbəkəni fiziki ilə necə birləşdirəcəyinizi, "yol döyüşçüsü" rejimini necə təşkil edəcəyinizi və başqa bir şeyi izah edəcəyim növbəti hissənin nəşrinə qədər vaxt keçirmək üçün cəhd etməyi təklif edirəm. bazardan VDS əsasında GUI ilə özəl şəbəkə nəzarətçisindən istifadə edərək öz virtual şəbəkənizi təşkil etmək Online RUVDS. Üstəlik, bütün yeni müştərilərin 3 günlük pulsuz sınaq müddəti var!

PS Bəli! Demək olar ki, unutdum! Bu qovşağın CLI-də bir əmrdən istifadə edərək bir qovşağı şəbəkədən silə bilərsiniz.

zerotier-cli leave <Network ID>

200 leave OK

və ya node üzrə müştəri GUI-də Sil əmri.

-> Giriş. Nəzəri hissə. Planet Earth üçün Smart Ethernet Switch
-> Virtual şəbəkələrin qurulması üçün praktiki bələdçi. 1-ci hissə
-> Virtual şəbəkələrin qurulması üçün praktiki bələdçi. 2-ci hissə

Mənbə: www.habr.com