Bloquemu l'accessu à a GUI di u controller di a rete da l'esternu
Controller di a rete
Cumu l'esitatu prima, per creà e rete virtuale, gestionate, è ancu cunnetta i nodi, l'utilizatore hà bisognu di un controller di rete, una interfaccia grafica (GUI) per quale esiste in duie forme:
Opzioni GUI ZeroTier
Unu da u sviluppatore ZeroTier, dispunibule cum'è una soluzione di nuvola publica SaaS cù quattru piani di abbonamentu, cumprese gratuiti, ma limitati in i dispositi amministrati è u livellu di supportu.
U sicondu hè da un sviluppatore indipendente, un pocu simplificatu in funziunalità, ma dispunibile cum'è una solu suluzione privata aperta per l'usu on-premise o nantu à e risorse di nuvola.
In a mo pratica, aghju utilizatu tramindui è in u risultatu, aghju finalmente stallatu nantu à a seconda. U mutivu di questu era l'avvirtimenti di u sviluppatore.
"I controller di rete servenu cum'è autorità di certificazione per e rete virtuale ZeroTier. I fugliali chì cuntenenu chjavi secreti di u controller devenu esse guardati cù cura è archiviati in modu sicuru. U so cumprumissu permette à l'attaccanti micca autorizati di creà cunfigurazioni di rete fraudulente, è a so perdita porta à a perdita di a capacità di cuntrullà è gestisce a reta, rendendu in modu efficace inutilizabile ".
È ancu, segni di a vostra paranoia di cibersecurità :)
Ancu s'ellu vene Cheburnet, deve sempre avè accessu à u mo controller di rete;
Solu duverebbe aduprà u controller di rete. Se necessariu, furnisce accessu à i vostri rapprisentanti autorizati;
Hè da esse pussibule di limità l'accessu à u controller di a rete da l'esternu.
In questu articulu, ùn vecu micca assai puntu in abitazione separatamente nantu à cumu implementà un controller di rete è a GUI per questu nantu à risorse fisiche o virtuali in situ. È ci sò ancu 3 motivi per questu:
ci sarà più lettere chè previste
annantu à questu digià dettu nantu à u sviluppatore GUI GitHab
u tema di l'articulu hè di qualcosa altru
Dunque, scegliendu u percorsu di a minima resistenza, aduprà in questa storia un controller di rete cù una GUI basatu in VDS, creatu da da u mudellu, sviluppatu gentilmente da i mo culleghi di RuVDS.
Configurazione iniziale
Dopu avè creatu un servitore da u mudellu specificatu, l'utilizatore accede à u controller Web-GUI attraversu un navigatore accede à https:// : 3443
Per automaticamente, u servitore cuntene digià un certificatu TLS / SSL autofirmatu pregeneratu. Questu hè abbastanza per mè, postu chì aghju bluccatu l'accessu da l'esternu. Per quelli chì vulete usà altri tipi di certificati, ci hè struzzioni di stallazione nantu à u sviluppatore GUI GitHab.
Quandu l'utilizatore accede per a prima volta Adelina cù login è password predeterminati - Admin и codice:
Suggerisce di cambià a password predeterminata à una persunalizata
Facciu un pocu sfarente - ùn cambia micca a password di un utilizatore esistente, ma creanu una nova - Creà Utente.
Aghju stabilitu u nome di u novu utilizatore - utilizatore:
Aghju stabilitu una nova password - Inserite una nova password:
Cunfirmà a nova password - Torna à entre password:
I caratteri chì inserite sò sensibili à u casu - attentu!
Checkbox per cunfirmà u cambiamentu di password à u prossimu login - Cambia a password à u prossimu login: Ùn aghju micca celebrà.
Per cunfirmà i dati inseriti, appughjà Piazzà a password:
Allora: mi ri-login - Scunnettà si / Adelina, digià sottu i credenziali di u novu utilizatore:
Dopu, andeghju à a tabulazione di l'utilizatori - Users è sguassà l'utilizatore Adminclicchendu nant'à l'icona di basura situatu à a manca di u so nome.
In u futuru, pudete cambià a password di l'utilizatore clicchendu sia nantu à u so nome sia nantu à a password stabilita.
Crià una reta virtuale
Per creà una reta virtuale, l'utilizatore deve andà à a tabulazione Aghjunghje rete. Da u puntu User questu pò esse fattu attraversu a pagina Home - a pagina principale di u Web-GUI, chì mostra l'indirizzu ZeroTier di stu controller di rete è cuntene un ligame à a pagina per a lista di e rete create attraversu.
In pàgina Aghjunghje rete l'utilizatore assigna un nome à a reta nova criata.
Quandu applicà i dati di input - Crea una rete l'utilizatore hè purtatu à una pagina cù una lista di rete, chì cuntene:
Nome di rete - u nome di a reta in a forma di un ligame, quandu cliccate nantu à questu pudete cambià ID di rete - identificatore di a rete Scheda - ligame à una pagina cù parametri di rete detallati installazione faciule - ligame à a pagina per una cunfigurazione faciule mèmmira - ligame à a pagina di gestione di u nodu
Per più installazione seguitate u ligame installazione faciule. In a pagina chì apre, l'utilizatore specifica un intervallu di indirizzi IPv4 per a reta chì hè creatu. Questu pò esse fattu automaticamente pressu un buttone Genera l'indirizzu di a rete o manualmente inserendu a maschera di rete di rete in u campu appropritatu CIDR.
Quandu cunfirmà l'ingressu di dati successu, deve vultà à a pagina cù a lista di e rete cù u buttone Back. À questu puntu, a configurazione di a reta di basa pò esse cunsiderata cumpleta.
Cunnettendu i nodi di rete
Prima, u serviziu ZeroTier One deve esse stallatu nantu à u node chì l'utilizatore vole cunnette à a reta.
Cosa hè ZeroTier One?Zero Tier One hè un serviziu chì funziona in laptops, desktop, servitori, macchine virtuali è cuntenituri chì furnisce cunnessione à una reta virtuale attraversu un portu di rete virtuale, simile à un cliente VPN.
Una volta chì u serviziu hè stallatu è in esecuzione, pudete cunnette à e rete virtuale utilizendu i so indirizzi di 16 caratteri. Ogni rete appare cum'è un portu di rete virtuale in u sistema chì si cumporta cum'è un portu Ethernet normale.
Ligami per distribuzioni, è ancu cumandamenti di installazione, ponu esse truvati nantu à a pagina di u fabricatore.
Pudete gestisce u serviziu installatu attraversu un terminal di linea di cummanda (CLI) cù diritti di amministratore / root. In Windows/MacOS ancu cù una interfaccia grafica. In Android / iOS solu cù GUI.
Verificate u successu di l'installazione di u serviziu:
CLI:
zerotier-cli status
Risultatu:
200 info ebf416fac1 1.4.6 ONLINE
GUI:
U fattu stessu chì l'applicazione hè in esecuzione è a prisenza in questu di una linea cù Node ID cù l'indirizzu node.
Cunnettendu un node à a reta:
CLI:
zerotier-cli join <Network ID>
Risultatu:
200 join OK
GUI:
Simon Boccanegra: cliccate dirittu nantu à l'icona Zero Tier One in a bandeja di u sistema è selezziunate l'elementu - Unisci à a rete.
macOS: Lanciari l'applicazione Zero Tier One in u menù di a barra, se micca digià lanciata. Cliccate nantu à l'icona ⏁ è selezziunate Unisci à a rete.
Android/iOS: + (più imagine) in l'app
In u campu chì appare, entre in u cuntrollu di a rete specificata in a GUI ID di rete, è pressu Aghjunghjite / Add Network.
Assignà un indirizzu IP à un host
Avà turnemu à u controller di rete è nantu à a pagina cù una lista di rete seguitate u ligame mèmmira. Se vede una stampa simile à questa nantu à u screnu, significa chì u vostru controller di rete hà ricevutu una dumanda per cunfirmà a cunnessione à a reta da u node cunnessu.
In sta pagina lasciamu tuttu cum'è per avà è seguite u ligame Assignazione IP vai à a pagina per assignà un indirizzu IP à u node:
Dopu avè attribuitu l'indirizzu, cliccate nantu à u buttone Back torna à a pagina di a lista di i nodi cunnessi è stabilisce u nome - Nome di membru è verificate a casella per auturizà u node in a reta - Autorizata. Per via, sta casella di spunta hè una cosa assai còmuda per disconnecting / connecting from the host network in the future.
Salvà i cambiamenti cù u buttone Refresh.
Verificate u statutu di cunnessione di u node à a reta:
Per verificà u statu di cunnessione nantu à u node stessu, eseguite:
CLI:
Per cunnette i nodi rimanenti, ripetite l'operazioni 1-5 per ognunu.
Verificate a cunnessione di a rete di i nodi
Facciu questu eseguendu u cumandamentu ping nant'à u dispusitivu cunnessu à a reta chì aghju attualmente gestione.
In a screenshot di u controller Web-GUI pudete vede trè nodi cunnessi à a reta:
ZTNCUI - 10.10.10.1 - u mo controller di rete cù GUI - VDS in unu di i DC RuVDS. Per u travagliu normale ùn hè micca bisognu di aghjunghje à a reta, ma aghju fattu questu perchè vogliu bluccà l'accessu à l'interfaccia web da l'esternu. Più nantu à questu dopu.
MyComp - 10.10.10.2 - u mo urdinatore di travagliu hè un PC fisicu
Backup - 10.10.10.3 - VDS in un altru DC.
Dunque, da u mo computer di travagliu, verificate a dispunibilità di altri nodi cù i cumandamenti:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
L'utilizatore hà u dirittu di utilizà altre arnesi per verificà a dispunibilità di i nodi in a reta, sia integrati in u SO è cum'è NMAP, Advanced IP Scanner, etc.
Ocultemu l'accessu à a GUI di u controller di rete da l'esternu.
In generale, possu riduce a probabilità di accessu micca autorizatu à u VDS nantu à quale u mo controller di rete hè situatu cù un firewall in u mo contu persunale RuVDS. Stu tema hè più prubabile per un articulu separatu. Dunque, quì vi mustrarà cumu furnisce l'accessu à u controller GUI solu da a reta chì aghju creatu in questu articulu.
Per fà questu, avete bisognu di cunnette via SSH à u VDS in quale si trova u controller è apre u schedariu di cunfigurazione cù u cumandimu:
nano /opt/key-networks/ztncui/.env
In u schedariu apertu, dopu à a linea "HTTPS_PORT=3443" chì cuntene l'indirizzu di u portu à quale a GUI apre, avete bisognu di aghjunghje una linea supplementu cù l'indirizzu à quale a GUI apre - in u mo casu hè HTTPS_HOST=10.10.10.1. .XNUMX.
In seguitu, salveraghju u schedariu
Сtrl+C
Y
Enter
è eseguite u cumandimu:
systemctl restart ztncui
È questu hè, avà a GUI di u mo controller di rete hè dispunibule solu per i nodi di rete 10.10.10.0.24.
Inveci di 'na cunchiusioni
Questu hè induve vogliu finisce a prima parte di a guida pratica per a creazione di rete virtuale basatu in ZeroTier. Aspettu i vostri cumenti.
Intantu, per passà u tempu finu à a publicazione di a prossima parte, in quale vi dicu cumu cumminà una reta virtuale cù una fisica, cumu urganizà un modu "guerrieru di strada" è qualcosa di più, vi cunsigliu di pruvà. urganizà a vostra propria reta virtuale utilizendu un controller di rete privata cù GUI basatu in VDS da u mercatu situ RUVDS. Inoltre, tutti i novi clienti anu un periodu di prova gratuitu di 3 ghjorni!
PS Iè! Aghju quasi scurdatu! Pudete sguassà un node da a reta cù un cumandamentu in a CLI di stu node.
zerotier-cli leave <Network ID>
200 leave OK
o u cumandamentu Elimina in a GUI di u cliente nantu à u node.