🥇Pokreće ZeroTier. Praktični vodič za izgradnju virtuelnih mreža. Dio 1

Nastavljajući priču o ZeroTieru, od teorije iznesene u članku “Smart Ethernet prekidač za planetu Zemlju“, prelazim na praksu u kojoj:

Kreirajmo i konfigurirajmo privatni mrežni kontroler
Kreirajmo virtuelnu mrežu
Konfigurirajmo i spojimo čvorove na njega
Provjerimo mrežnu povezanost između njih
Blokirajmo pristup GUI mrežnog kontrolera izvana

Setevoj kontroller

Kao što je ranije spomenuto, za kreiranje virtualnih mreža, upravljanje njima, kao i povezivanje čvorova, korisniku je potreban mrežni kontroler, grafički interfejs (GUI) za koji postoji u dva oblika:

ZeroTier GUI opcije

Jedan od programera ZeroTier, dostupan kao javno SaaS rješenje u oblaku s četiri plana pretplate, uključujući besplatne, ali ograničene u broju upravljanih uređaja i nivou podrške
Drugi je od nezavisnog programera, donekle pojednostavljen u funkcionalnosti, ali dostupan kao privatno rješenje otvorenog koda za korištenje lokalno ili na cloud resursima.

U svojoj praksi sam koristio i jedno i drugo i kao rezultat toga, konačno sam se odlučio na drugi. Razlog za to bila su upozorenja programera.

„Kontroleri mreže služe kao autoriteti za sertifikaciju za ZeroTier virtuelne mreže. Datoteke koje sadrže tajne ključeve kontrolera moraju se pažljivo čuvati i sigurno arhivirati. Njihov kompromis omogućava neovlaštenim napadačima da kreiraju lažne mrežne konfiguracije, a njihov gubitak dovodi do gubitka mogućnosti kontrole i upravljanja mrežom, što je efektivno čini neupotrebljivom."

→ Link na dokumentaciju

I također, znakovi vaše vlastite paranoje u vezi s cyber sigurnošću :)

Čak i ako Cheburnet dođe, još uvijek moram imati pristup svom mrežnom kontroleru;
Samo ja treba da koristim mrežni kontroler. Ako je potrebno, omogućavanje pristupa vašim ovlaštenim predstavnicima;
Trebalo bi biti moguće ograničiti pristup mrežnom kontroleru izvana.

U ovom članku ne vidim puno smisla da se posebno zadržavam na tome kako implementirati mrežni kontroler i GUI za njega na fizičkim ili virtuelnim resursima na premisi. A za to postoje i 3 razloga:

biće više pisama nego što je planirano
već o ovome rekao na GUI programeru GitHab
tema članka je o nečem drugom

Stoga ću, birajući put najmanjeg otpora, u ovoj priči koristiti mrežni kontroler sa GUI baziranim na VDS-u, kreiran od iz šablona, ljubazno razvijen od strane mojih kolega iz RuVDS-a.

Početno podešavanje

Nakon kreiranja servera iz navedenog šablona, korisnik dobija pristup Web-GUI kontroleru preko pretraživača pristupanjem https:// :3443

Po defaultu, server već sadrži unaprijed generirani samopotpisani TLS/SSL certifikat. Ovo mi je dovoljno, pošto blokiram pristup njemu izvana. Za one koji žele da koriste druge vrste sertifikata, postoji upute za instalaciju na GUI programeru GitHab.

Kada se korisnik prvi put prijavi Ulogovati se sa zadanim imenom i lozinkom - admin и lozinka:

Predlaže promjenu zadane lozinke u prilagođenu

Ja to radim malo drugačije - ne mijenjam lozinku postojećeg korisnika, već kreiram novu - Kreirajte korisnika.

Postavio sam ime novog korisnika - Korisničko:
Postavio sam novu lozinku - Unesite novu lozinku:
Potvrđujem novu lozinku - Ponovo unesite lozinku:

Znakovi koje unosite razlikuju velika i mala slova - budite oprezni!

Potvrdni okvir za potvrdu promjene lozinke pri sljedećoj prijavi - Promijenite lozinku pri sljedećoj prijavi: Ja ne slavim.

Za potvrdu unesenih podataka pritisnite Postavite lozinku:

Zatim: ponovo se prijavljujem - Odjaviti se / Ulogovati se, već pod akreditivima novog korisnika:

Zatim idem na karticu korisnika - korisnici i izbrišite korisnika adminklikom na ikonu kante za smeće koja se nalazi lijevo od njegovog imena.

Ubuduće možete promijeniti lozinku korisnika klikom na njegovo ime ili na postavljenu lozinku.

Kreiranje virtuelne mreže

Da bi kreirao virtuelnu mrežu, korisnik treba da ode na karticu Dodaj mrežu. Od tačke Korisnik ovo se može uraditi preko stranice Početna — glavna stranica Web-GUI-a, koja prikazuje ZeroTier adresu ovog mrežnog kontrolera i sadrži vezu do stranice za listu mreža kreiranih preko njega.

Na stranici Dodaj mrežu korisnik dodjeljuje ime novokreiranoj mreži.

Prilikom primjene ulaznih podataka − Kreirajte mrežu korisnik se vodi na stranicu sa listom mreža, koja sadrži:

Naziv mreže — naziv mreže u obliku veze, kada kliknete na njega možete ga promijeniti
ID mreže — identifikator mreže
detalj — link na stranicu sa detaljnim mrežnim parametrima
jednostavno postavljanje — link do stranice za jednostavno postavljanje
članovi — link na stranicu za upravljanje čvorom

Za dalje podešavanje pratite link jednostavno postavljanje. Na stranici koja se otvori, korisnik određuje raspon IPv4 adresa za mrežu koja se kreira. Ovo se može uraditi automatski pritiskom na dugme Generirajte mrežnu adresu ili ručno unosom mrežne maske u odgovarajuće polje CIDR.

Prilikom potvrde uspješnog unosa podataka, morate se vratiti na stranicu sa listom mreža pomoću dugmeta Nazad. U ovom trenutku, osnovno podešavanje mreže se može smatrati završenim.

Povezivanje mrežnih čvorova

Prvo, usluga ZeroTier One mora biti instalirana na čvoru koji korisnik želi da se poveže na mrežu.
Šta je ZeroTier One?ZeroTier One je usluga koja se izvodi na prijenosnim računalima, stolnim računalima, serverima, virtualnim mašinama i kontejnerima koja pruža konekcije na virtuelnu mrežu preko virtuelnog mrežnog porta, slično VPN klijentu.

Kada se servis instalira i pokrene, možete se povezati na virtuelne mreže koristeći njihove 16-cifrene adrese. Svaka mreža se pojavljuje kao virtuelni mrežni port na sistemu, koji se ponaša kao običan Ethernet port.
Linkovi za distribucije, kao i instalacijske komande, mogu se pronaći na stranici proizvođača.

Možete upravljati instaliranom uslugom preko terminala komandne linije (CLI) sa administratorskim/root pravima. Na Windows/MacOS-u također koristeći grafičko sučelje. U Android/iOS-u samo koristeći GUI.
Provjera uspješnosti instalacije servisa:
CLI:
```
zerotier-cli status
```
Rezultat:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Sama činjenica da je aplikacija pokrenuta i prisustvo u njoj linije sa Node ID-om sa adresom čvora.
Povezivanje čvora na mrežu:
CLI:
```
zerotier-cli join <Network ID>
```
Rezultat:

200 join OK

GUI:

Windows: desnim klikom na ikonu ZeroTier One u sistemskoj paleti i odabirom stavke - Pridružite se mreži.

macOS: Pokrenite aplikaciju ZeroTier One u meniju trake, ako već nije pokrenut. Kliknite na ikonu ⏁ i odaberite Pridružite se mreži.

Android/iOS: + (plus slika) u aplikaciji

U polje koje se pojavi unesite mrežni kontroler naveden u GUI ID mrežei pritisnite Pridruži se/Dodaj mrežu.
Dodjeljivanje IP adrese hostu
Sada se vraćamo na mrežni kontroler i na stranici sa listom mreža slijedite link članovi. Ako vidite sliku sličnu ovoj na ekranu, to znači da je vaš mrežni kontroler primio zahtjev da potvrdi vezu s mrežom od povezanog čvora.

Na ovoj stranici ostavljamo sve kako je za sada i slijedite link IP dodjela idite na stranicu za dodjelu IP adrese čvoru:

Nakon dodjeljivanja adrese, kliknite na dugme natrag vratite se na stranicu liste povezanih čvorova i postavite naziv - Ime člana i označite potvrdni okvir za autorizaciju čvora na mreži - Ovlašćeno. Inače, ovo polje za potvrdu je vrlo zgodna stvar za isključivanje/povezivanje sa host mreže u budućnosti.

Sačuvajte promene pomoću dugmeta osvježiti.
Provjera statusa veze čvora s mrežom:
Da biste provjerili status veze na samom čvoru, pokrenite:
CLI:
```
zerotier-cli listnetworks
```
Rezultat:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Status mreže bi trebao biti OK

Da biste povezali preostale čvorove, ponovite operacije 1-5 za svaki od njih.

Provjera mrežne povezanosti čvorova

Ovo radim pokretanjem komande ping na uređaju spojenom na mrežu kojom trenutno upravljam.

Na snimku ekrana Web-GUI kontrolera možete vidjeti tri čvora povezana na mrežu:

ZTNCUI - 10.10.10.1 - moj mrežni kontroler sa GUI - VDS u jednom od RuVDS DC. Za normalan rad nema potrebe da ga dodajem na mrežu, ali sam to uradio jer želim da blokiram pristup web interfejsu izvana. Više o tome kasnije.
MyComp - 10.10.10.2 - moj radni računar je fizički računar
Backup - 10.10.10.3 — VDS u drugom DC.

Stoga sa svog radnog računara provjeravam dostupnost drugih čvorova naredbama:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Korisnik ima pravo da koristi i druge alate za provjeru dostupnosti čvorova na mreži, kako ugrađene u OS, tako i NMAP, Advanced IP Scanner, itd.

Skrivamo pristup GUI mrežnog kontrolera izvana.

Općenito, mogu smanjiti vjerovatnoću neovlaštenog pristupa VDS-u na kojem se nalazi moj mrežni kontroler koristeći zaštitni zid na svom RuVDS ličnom računu. Ova tema je vjerovatnija za poseban članak. Stoga ću ovdje pokazati kako omogućiti pristup GUI kontroleru samo iz mreže koju sam kreirao u ovom članku.

Da biste to učinili, morate se povezati preko SSH-a na VDS na kojem se nalazi kontroler i otvoriti konfiguracijsku datoteku pomoću naredbe:

nano /opt/key-networks/ztncui/.env

U otvorenoj datoteci, nakon reda “HTTPS_PORT=3443” koji sadrži adresu porta na kojem se otvara GUI, potrebno je dodati dodatni red sa adresom na kojoj će se GUI otvoriti - u mom slučaju to je HTTPS_HOST=10.10.10.1 .XNUMX.

Zatim ću sačuvati fajl

Сtrl+C Y Enter

i pokrenite naredbu:

systemctl restart ztncui

I to je to, sada je GUI mog mrežnog kontrolera dostupan samo za mrežne čvorove 10.10.10.0.24.

Umjesto zaključka

Ovdje želim završiti prvi dio praktičnog vodiča za kreiranje virtuelnih mreža zasnovanih na ZeroTier-u. Radujem se vašim komentarima.

U međuvremenu, da prođemo vrijeme do objavljivanja sljedećeg dijela, u kojem ću vam reći kako spojiti virtuelnu mrežu sa fizičkom, kako organizirati način rada “road warrior” i još nešto, predlažem da probate organiziranje vlastite virtuelne mreže koristeći privatni mrežni kontroler sa GUI baziranim na VDS-u od tržišta nadalje site RUVDS. Štaviše, svi novi klijenti imaju besplatan probni period od 3 dana!

PS Da! Skoro sam zaboravio! Možete ukloniti čvor iz mreže koristeći naredbu u CLI-u ovog čvora.

zerotier-cli leave <Network ID>

200 leave OK

ili naredbu Delete u GUI klijentu na čvoru.

-> Uvod. Teorijski dio. Smart Ethernet prekidač za planetu Zemlju
-> Praktični vodič za izgradnju virtuelnih mreža. Dio 1
-> Praktični vodič za izgradnju virtuelnih mreža. Dio 2

izvor: www.habr.com

Pokreće ZeroTier. Praktični vodič za izgradnju virtuelnih mreža. Dio 1