🥇Využívá technologii ZeroTier. Praktický průvodce budováním virtuálních sítí. Část 1

Pokračování příběhu o ZeroTier, z teorie nastíněné v článku „Smart Ethernet Switch pro planetu Zemi“, přejdu k praxi, ve které:

Pojďme vytvořit a nakonfigurovat řadič privátní sítě
Pojďme vytvořit virtuální síť
Pojďme k němu nakonfigurovat a připojit uzly
Pojďme zkontrolovat síťové připojení mezi nimi
Zablokujme přístup do GUI síťového řadiče zvenčí

Síťový ovladač

Jak již bylo zmíněno dříve, k vytváření virtuálních sítí, jejich správě a také připojení uzlů potřebuje uživatel síťový řadič, jehož grafické rozhraní (GUI) existuje ve dvou formách:

Možnosti grafického rozhraní ZeroTier

Jeden od vývojáře ZeroTier, dostupný jako veřejné cloudové řešení SaaS se čtyřmi plány předplatného, včetně bezplatných, ale omezených počtem spravovaných zařízení a úrovní podpory.
Druhý je od nezávislého vývojáře, má poněkud zjednodušenou funkcionalitu, ale je dostupný jako soukromé open source řešení pro použití on-premise nebo cloudových zdrojů.

Ve své praxi jsem používal oba a ve výsledku jsem se nakonec ustálil na druhém. Důvodem byla varování vývojáře.

„Síťové kontroléry slouží jako certifikační autority pro virtuální sítě ZeroTier. Soubory obsahující tajné klíče správce musí být pečlivě střeženy a bezpečně archivovány. Jejich kompromitace umožňuje neoprávněným útočníkům vytvářet podvodné konfigurace sítě a jejich ztráta vede ke ztrátě schopnosti ovládat a spravovat síť, čímž se účinně stává nepoužitelnou.“

→ Odkaz na dokumentaci

A také známky vaší vlastní kybernetické paranoie :)

I když přijde Cheburnet, musím mít stále přístup ke svému síťovému řadiči;
Pouze já bych měl používat síťový ovladač. V případě potřeby poskytnutí přístupu vašim oprávněným zástupcům;
Mělo by být možné omezit přístup k síťovému ovladači zvenčí.

V tomto článku nevidím moc smysl v samostatném rozebírání toho, jak nasadit síťový řadič a GUI pro něj na místní fyzické nebo virtuální prostředky. A jsou pro to také 3 důvody:

bude více dopisů, než bylo plánováno
už o tomhle řekl na vývojáře GUI GitHab
téma článku je o něčem jiném

Proto, když zvolím cestu nejmenšího odporu, použiji v tomto příběhu síťový řadič s GUI založeným na VDS, vytvořený ze šablony, laskavě vyvinuté mými kolegy z RuVDS.

Počáteční nastavení

Po vytvoření serveru ze zadané šablony získá uživatel přístup k řadiči Web-GUI prostřednictvím prohlížeče přístupem https:// :3443

Ve výchozím nastavení server již obsahuje předem vygenerovaný certifikát TLS/SSL s vlastním podpisem. To mi stačí, jelikož k tomu blokuji přístup zvenčí. Pro ty, kteří chtějí používat jiné typy certifikátů, existuje instrukce k instalaci na vývojáře GUI GitHab.

Když se uživatel poprvé přihlásí Přihlášení s výchozím přihlašovacím jménem a heslem - administrátor и heslo:

Navrhuje změnit výchozí heslo na vlastní

Dělám to trochu jinak - neměním heslo stávajícího uživatele, ale vytvářím nové - Vytvořit uživatele.

Nastavil jsem jméno nového uživatele - Uživatelské jméno:
Nastavil jsem nové heslo - Zadejte nové heslo:
Potvrzuji nové heslo - Znovu zadejte heslo:

Zadávané znaky rozlišují velká a malá písmena – buďte opatrní!

Zaškrtávací políčko pro potvrzení změny hesla při příštím přihlášení - Změna hesla při příštím přihlášení: neslavím.

Pro potvrzení zadaných údajů stiskněte Nastavit heslo:

Pak: Znovu se přihlásím - Odhlásit / Přihlášení, již pod přihlašovacími údaji nového uživatele:

Dále přejdu na kartu Uživatelé - uživatelé a smazat uživatele administrátorkliknutím na ikonu odpadkového koše umístěnou vlevo od jeho jména.

V budoucnu můžete změnit heslo uživatele kliknutím buď na jeho jméno, nebo na nastavené heslo.

Vytvoření virtuální sítě

K vytvoření virtuální sítě musí uživatel přejít na kartu Přidat síť. Z bodu Uživatel to lze provést prostřednictvím stránky Domů — hlavní stránka webového rozhraní, která zobrazuje adresu ZeroTier tohoto síťového řadiče a obsahuje odkaz na stránku se seznamem sítí vytvořených jeho prostřednictvím.

Na stránce Přidat síť uživatel přiřadí název nově vytvořené síti.

Při aplikaci vstupních dat − Vytvořit síť uživatel se dostane na stránku se seznamem sítí, která obsahuje:

Jméno sítě — název sítě ve formě odkazu, kliknutím na něj jej můžete změnit
ID sítě — identifikátor sítě
detail — odkaz na stránku s podrobnými parametry sítě
snadné nastavení — odkaz na stránku pro snadné nastavení
Členové — odkaz na stránku správy uzlů

Pro další nastavení klikněte na odkaz snadné nastavení. Na stránce, která se otevře, uživatel zadá rozsah adres IPv4 pro vytvářenou síť. To lze provést automaticky stisknutím tlačítka Vygenerujte síťovou adresu nebo ručně zadáním síťové masky sítě do příslušného pole CIDR.

Při potvrzení úspěšného zadání dat se musíte vrátit na stránku se seznamem sítí pomocí tlačítka Zpět. V tomto okamžiku lze základní nastavení sítě považovat za dokončené.

Připojení síťových uzlů

Nejprve je třeba nainstalovat službu ZeroTier One na uzel, který se chce uživatel připojit k síti.
Co je ZeroTier One?ZeroTier One je služba běžící na noteboocích, desktopech, serverech, virtuálních strojích a kontejnerech, která poskytuje připojení k virtuální síti prostřednictvím virtuálního síťového portu, podobně jako klient VPN.

Jakmile je služba nainstalována a spuštěna, můžete se připojit k virtuálním sítím pomocí jejich 16místných adres. Každá síť se v systému jeví jako virtuální síťový port, který se chová stejně jako běžný ethernetový port.
Lze nalézt odkazy na distribuce a také instalační příkazy na stránce výrobce.

Nainstalovanou službu můžete spravovat prostřednictvím terminálu příkazového řádku (CLI) s právy správce/root. Na Windows/MacOS také pomocí grafického rozhraní. V systému Android/iOS pouze pomocí GUI.
Kontrola úspěšnosti instalace služby:
CLI:
```
zerotier-cli status
```
Výsledek:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Samotný fakt, že aplikace běží a přítomnost v ní řádku s Node ID s adresou uzlu.
Připojení uzlu k síti:
CLI:
```
zerotier-cli join <Network ID>
```
Výsledek:

200 join OK

GUI:

Windows: klikněte pravým tlačítkem na ikonu ZeroTier One na systémové liště a výběrem položky - Připojte se k síti.

Operační Systém Mac: Spusťte aplikaci ZeroTier One v nabídce lišty, pokud již není spuštěna. Klikněte na ikonu ⏁ a vyberte Připojte se k síti.

Android/iOS: + (plus obrázek) v aplikaci

Do zobrazeného pole zadejte síťový řadič zadaný v GUI ID sítěa stiskněte Připojit/Přidat síť.
Přiřazení IP adresy hostiteli
Nyní se vrátíme k síťovému řadiči a na stránce se seznamem sítí následujeme odkaz Členové. Pokud na obrazovce vidíte obrázek podobný tomuto, znamená to, že váš síťový ovladač obdržel požadavek na potvrzení připojení k síti z připojeného uzlu.

Na této stránce zatím necháme vše tak, jak je, a následujeme odkaz přidělení IP přejděte na stránku pro přiřazení IP adresy uzlu:

Po přiřazení adresy klikněte na tlačítko Zpět vraťte se na stránku seznamu připojených uzlů a nastavte název - Jméno člena a zaškrtnutím políčka autorizujte uzel v síti - Autorizovaný. Mimochodem, toto zaškrtávací políčko je velmi výhodná věc pro budoucí odpojení/připojení od hostitelské sítě.

Uložte změny pomocí tlačítka Obnovit.
Kontrola stavu připojení uzlu k síti:
Chcete-li zkontrolovat stav připojení na samotném uzlu, spusťte:
CLI:
```
zerotier-cli listnetworks
```
Výsledek:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Stav sítě by měl být v pořádku

Chcete-li připojit zbývající uzly, opakujte operace 1-5 pro každý z nich.

Kontrola síťové konektivity uzlů

Dělám to spuštěním příkazu ping na zařízení připojeném k síti, kterou aktuálně spravuji.

Na snímku obrazovky ovladače Web-GUI můžete vidět tři uzly připojené k síti:

ZTNCUI - 10.10.10.1 - můj síťový řadič s GUI - VDS v jednom z RuVDS DC. Pro běžnou práci není potřeba jej přidávat do sítě, ale udělal jsem to proto, že chci zablokovat přístup k webovému rozhraní zvenčí. Více o tom později.
MůjComp - 10.10.10.2 - můj pracovní počítač je fyzický počítač
Záloha - 10.10.10.3 — VDS v jiném DC.

Proto z mého pracovního počítače zkontroluji dostupnost dalších uzlů pomocí příkazů:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Uživatel má právo používat další nástroje pro kontrolu dostupnosti uzlů v síti, a to jak zabudované v OS, tak např. NMAP, Advanced IP Scanner atd.

Skryjeme přístup k GUI síťového řadiče zvenčí.

Obecně mohu snížit pravděpodobnost neoprávněného přístupu k VDS, na kterém se nachází můj síťový řadič, pomocí brány firewall v osobním účtu RuVDS. Toto téma je pravděpodobnější na samostatný článek. Proto zde ukážu, jak zajistit přístup k GUI řadiči pouze ze sítě, kterou jsem vytvořil v tomto článku.

Chcete-li to provést, musíte se připojit přes SSH k VDS, na kterém je umístěn regulátor, a otevřít konfigurační soubor pomocí příkazu:

nano /opt/key-networks/ztncui/.env

V otevřeném souboru za řádek “HTTPS_PORT=3443” obsahující adresu portu, na kterém se GUI otevře, musíte přidat další řádek s adresou, na které se GUI otevře - v mém případě je HTTPS_HOST=10.10.10.1 .XNUMX.

Dále soubor uložím

Сtrl+C Y Enter

a spusťte příkaz:

systemctl restart ztncui

A to je vše, nyní je GUI mého síťového řadiče dostupné pouze pro síťové uzly 10.10.10.0.24.

Místo závěru

Zde chci dokončit první část praktického průvodce vytvářením virtuálních sítí založených na ZeroTier. Těším se na vaše komentáře.

Mezitím, abyste ukrátili čas do vydání dalšího dílu, ve kterém vám řeknu, jak zkombinovat virtuální síť s fyzickou, jak uspořádat režim „silničního bojovníka“ a něco jiného, doporučuji vyzkoušet organizování vlastní virtuální sítě pomocí privátního síťového řadiče s GUI založeným na VDS z trhu webové stránky RUVDS. Navíc mají všichni noví klienti bezplatnou zkušební dobu 3 dnů!

PS Ano! Málem jsem zapomněl! Uzel můžete ze sítě odebrat pomocí příkazu v CLI tohoto uzlu.

zerotier-cli leave <Network ID>

200 leave OK

nebo příkaz Delete v klientském GUI na uzlu.

-> Úvod. Teoretická část. Smart Ethernet Switch pro planetu Zemi
-> Praktický průvodce budováním virtuálních sítí. Část 1
-> Praktický průvodce budováním virtuálních sítí. Část 2

Zdroj: www.habr.com

Běží na ZeroTier. Praktický průvodce budováním virtuálních sítí. Část 1