Continuant la història sobre ZeroTier, a partir de la teoria descrita a l'article "", passo a la pràctica en què:
- Creem i configurem un controlador de xarxa privada
- Creem una xarxa virtual
- Configurem i connectem-hi nodes
- Comprovem la connectivitat de xarxa entre ells
- Bloquegem l'accés a la GUI del controlador de xarxa des de l'exterior
Controlador de xarxa
Com s'ha esmentat anteriorment, per crear xarxes virtuals, gestionar-les, així com connectar nodes, l'usuari necessita un controlador de xarxa, una interfície gràfica (GUI) per a la qual existeix de dues formes:
Opcions de GUI ZeroTier
- Un del desenvolupador ZeroTier, disponible com a solució de núvol públic SaaS amb quatre plans de subscripció, inclosos els gratuïts, però limitats en dispositius gestionats i nivell de suport.
- El segon és d'un desenvolupador independent, una mica simplificat en funcionalitat, però disponible com a solució privada de codi obert per utilitzar-lo a la instal·lació o als recursos al núvol.
A la meva pràctica, vaig utilitzar tots dos i, com a resultat, finalment em vaig decidir pel segon. El motiu d'això van ser les advertències del desenvolupador.
"Els controladors de xarxa serveixen com a autoritats de certificació per a xarxes virtuals ZeroTier. Els fitxers que continguin claus secretes del controlador s'han de protegir amb cura i arxivar de manera segura. El seu compromís permet als atacants no autoritzats crear configuracions de xarxa fraudulentes, i la seva pèrdua comporta la pèrdua de la capacitat de controlar i gestionar la xarxa, fent-la efectivament inutilitzable".
→
I també, signes de la teva pròpia paranoia de la ciberseguretat :)
- Fins i tot si arriba Cheburnet, encara he de tenir accés al meu controlador de xarxa;
- Només jo hauria d'utilitzar el controlador de xarxa. Si cal, proporcionar accés als seus representants autoritzats;
- Hauria de ser possible restringir l'accés al controlador de xarxa des de l'exterior.
En aquest article, no veig gaire sentit a parlar per separat sobre com desplegar un controlador de xarxa i la GUI per a això als recursos físics o virtuals locals. I també hi ha 3 raons per això:
- hi haurà més cartes de les previstes
- sobre això ja al desenvolupador de GUI GitHab
- el tema de l'article tracta d'una altra cosa
Per tant, escollint el camí de menor resistència, utilitzaré en aquesta història un controlador de xarxa amb una GUI basada en VDS, creat per , desenvolupat amablement pels meus companys de RuVDS.
Configuració inicial
Després de crear un servidor a partir de la plantilla especificada, l'usuari accedeix al controlador Web-GUI mitjançant un navegador accedint a https:// :3443
De manera predeterminada, el servidor ja conté un certificat TLS/SSL autofirmat pregenerat. Això és suficient per a mi, ja que hi bloquejo l'accés des de l'exterior. Per a aquells que vulguin utilitzar altres tipus de certificats, n'hi ha al desenvolupador de GUI GitHab.
Quan l'usuari inicia sessió per primera vegada Login amb inici de sessió i contrasenya per defecte - admin и contrasenya:
Suggereix canviar la contrasenya predeterminada per una personalitzada
Ho faig una mica diferent: no canvio la contrasenya d'un usuari existent, sinó que en creo una de nova. Crea un usuari.
He posat el nom del nou usuari - Nom d'usuari:
He establert una nova contrasenya - Introduïu una nova contrasenya:
Confirmo la nova contrasenya - Torna a escriure la contrasenya:
Els caràcters que introduïu distingeixen entre majúscules i minúscules; aneu amb compte!
Casella de selecció per confirmar el canvi de contrasenya al proper inici de sessió - Canvia la contrasenya al proper inici de sessió: No ho celebro.
Per confirmar les dades introduïdes, premeu Estableix la contrasenya:
Aleshores: Torno a iniciar sessió - Tancar sessió / Login, ja sota les credencials del nou usuari:
A continuació, vaig a la pestanya d'usuaris - Usuaris i eliminar l'usuari adminfent clic a la icona de la paperera situada a l'esquerra del seu nom.
En el futur, podeu canviar la contrasenya de l'usuari fent clic al seu nom o a la contrasenya establerta.
Creació d'una xarxa virtual
Per crear una xarxa virtual, l'usuari ha d'anar a la pestanya Afegeix xarxa. Des del punt Usuari això es pot fer a través de la pàgina Home — la pàgina principal de la Web-GUI, que mostra l'adreça ZeroTier d'aquest controlador de xarxa i conté un enllaç a la pàgina per a la llista de xarxes creades a través d'aquest.
A la pàgina Afegeix xarxa l'usuari assigna un nom a la xarxa acabada de crear.
En aplicar les dades d'entrada − Crear xarxa l'usuari es dirigeix a una pàgina amb una llista de xarxes, que conté:
Nom de la xarxa — el nom de la xarxa en forma d'enllaç, quan hi feu clic podeu canviar-lo
Identificador de xarxa - identificador de xarxa
detall — enllaç a una pàgina amb paràmetres de xarxa detallats
fàcil configuració - enllaç a la pàgina per a una configuració fàcil
membres — enllaç a la pàgina de gestió de nodes
Per a més configuració, seguiu l'enllaç fàcil configuració. A la pàgina que s'obre, l'usuari especifica un rang d'adreces IPv4 per a la xarxa que s'està creant. Això es pot fer automàticament prement un botó Genera adreça de xarxa o manualment introduint la màscara de xarxa de xarxa al camp corresponent CIDR.
Quan confirmeu l'entrada de dades correcta, heu de tornar a la pàgina amb la llista de xarxes mitjançant el botó Enrere. En aquest punt, la configuració bàsica de la xarxa es pot considerar completa.
Connexió de nodes de xarxa
- En primer lloc, el servei ZeroTier One s'ha d'instal·lar al node que l'usuari vol connectar a la xarxa.
Què és ZeroTier One?ZeroTier Un és un servei que s'executa en ordinadors portàtils, ordinadors de sobretaula, servidors, màquines virtuals i contenidors que proporciona connexions a una xarxa virtual mitjançant un port de xarxa virtual, similar a un client VPN.
Un cop instal·lat i executat el servei, podeu connectar-vos a xarxes virtuals mitjançant les seves adreces de 16 caràcters. Cada xarxa apareix com un port de xarxa virtual al sistema que es comporta igual que un port Ethernet normal.
Es poden trobar enllaços a distribucions, així com ordres d'instal·lació .Podeu gestionar el servei instal·lat mitjançant un terminal de línia d'ordres (CLI) amb drets d'administrador/root. A Windows/MacOS també utilitzant una interfície gràfica. A Android/iOS només utilitzant GUI.
- Comprovació de l'èxit de la instal·lació del servei:
CLI:
zerotier-cli statusResultat:
200 info ebf416fac1 1.4.6 ONLINE
GUI:El mateix fet que l'aplicació s'està executant i la presència en ella d'una línia amb Node ID amb l'adreça del node.
- Connexió d'un node a la xarxa:
CLI:
zerotier-cli join <Network ID>Resultat:
200 join OKGUI:
Windows: feu clic amb el botó dret a la icona ZeroTier Un a la safata del sistema i seleccionant l'element - Uneix-te a la xarxa.
Mac OS: Inicieu l'aplicació ZeroTier Un al menú de la barra, si encara no s'ha iniciat. Feu clic a la icona ⏁ i seleccioneu Uneix-te a la xarxa.Android/iOS: + (més imatge) a l'aplicació
Al camp que apareix, introduïu el controlador de xarxa especificat a la GUI Identificador de xarxa, i premeu Uneix-te/Afegeix una xarxa. - Assignació d'una adreça IP a un host
Ara tornem al controlador de xarxa i a la pàgina amb una llista de xarxes seguim l'enllaç membres. Si veieu una imatge semblant a aquesta a la pantalla, vol dir que el vostre controlador de xarxa ha rebut una sol·licitud per confirmar la connexió a la xarxa des del node connectat.
En aquesta pàgina ho deixem tot com està de moment i seguim l'enllaç Assignació d'IP aneu a la pàgina per assignar una adreça IP al node:
Després d'assignar l'adreça, feu clic al botó esquena tornar a la pàgina de la llista de nodes connectats i establir el nom - Nom de membre i marqueu la casella de selecció per autoritzar el node a la xarxa - Autoritzat. Per cert, aquesta casella de selecció és molt convenient per desconnectar/connectar-se de la xarxa host en el futur.
Desa els canvis amb el botó Refresh. - Comprovació de l'estat de connexió del node a la xarxa:
Per comprovar l'estat de la connexió al mateix node, executeu:
CLI:zerotier-cli listnetworksResultat:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:L'estat de la xarxa hauria de ser correcte
Per connectar els nodes restants, repetiu les operacions 1-5 per a cadascun d'ells.
Comprovació de la connectivitat de xarxa dels nodes
Ho faig executant l'ordre ping al dispositiu connectat a la xarxa que estic gestionant actualment.
A la captura de pantalla del controlador Web-GUI podeu veure tres nodes connectats a la xarxa:
- ZTNCUI - 10.10.10.1 - el meu controlador de xarxa amb GUI - VDS en un dels DC de RuVDS. Per al treball normal no cal afegir-lo a la xarxa, però ho vaig fer perquè vull bloquejar l'accés a la interfície web des de l'exterior. Més sobre això més endavant.
- MyComp - 10.10.10.2 - El meu ordinador de treball és un ordinador físic
- Còpia de seguretat - 10.10.10.3 — VDS en un altre DC.
Per tant, des del meu ordinador de treball comprovo la disponibilitat d'altres nodes amb les ordres:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
L'usuari té dret a utilitzar altres eines per comprovar la disponibilitat de nodes a la xarxa, tant integrades al sistema operatiu com com NMAP, Advanced IP Scanner, etc.
Ocultem l'accés a la GUI del controlador de xarxa des de l'exterior.
En general, puc reduir la probabilitat d'accés no autoritzat al VDS on es troba el meu controlador de xarxa mitjançant un tallafoc al meu compte personal de RuVDS. Aquest tema és més probable per a un article separat. Per tant, aquí mostraré com proporcionar accés al controlador GUI només des de la xarxa que he creat en aquest article.
Per fer-ho, cal connectar-se mitjançant SSH al VDS on es troba el controlador i obrir el fitxer de configuració amb l'ordre:
nano /opt/key-networks/ztncui/.envAl fitxer obert, després de la línia "HTTPS_PORT=3443" que conté l'adreça del port on s'obre la GUI, heu d'afegir una línia addicional amb l'adreça a la qual s'obrirà la GUI; en el meu cas, és HTTPS_HOST=10.10.10.1. .XNUMX.
A continuació, desaré el fitxer
Сtrl+C
Y
Enter
i executeu l'ordre:
systemctl restart ztncuiI això és tot, ara la GUI del meu controlador de xarxa només està disponible per als nodes de xarxa 10.10.10.0.24.
En lloc d'una conclusió
Aquí és on vull acabar la primera part de la guia pràctica per crear xarxes virtuals basades en ZeroTier. Espero els vostres comentaris.
Mentrestant, per passar el temps fins a la publicació de la següent part, en la qual us explicaré com combinar una xarxa virtual amb una de física, com organitzar un mode “guerrer de la carretera” i alguna cosa més, us proposo que ho proveu. organitzant la vostra pròpia xarxa virtual mitjançant un controlador de xarxa privada amb GUI basat en VDS des del mercat RUVDS. A més, tots els nous clients tenen un període de prova gratuït de 3 dies!
PS Sí! Casi m'oblido! Podeu eliminar un node de la xarxa mitjançant una ordre a la CLI d'aquest node.
zerotier-cli leave <Network ID>
200 leave OK
o l'ordre Delete a la GUI del client al node.
->
->
->
Font: www.habr.com