Gan barhau â'r stori am ZeroTier, o'r ddamcaniaeth a amlinellir yn yr erthygl “", symudaf ymlaen i ymarfer lle:
- Gadewch i ni greu a ffurfweddu rheolydd rhwydwaith preifat
- Gadewch i ni greu rhwydwaith rhithwir
- Gadewch i ni ffurfweddu a chysylltu nodau iddo
- Gadewch i ni wirio'r cysylltedd rhwydwaith rhyngddynt
- Gadewch i ni rwystro mynediad i GUI rheolwr y rhwydwaith o'r tu allan
Rheolwr Rhwydwaith
Fel y soniwyd yn gynharach, i greu rhwydweithiau rhithwir, eu rheoli, yn ogystal â nodau cysylltu, mae angen rheolwr rhwydwaith ar y defnyddiwr, rhyngwyneb graffigol (GUI) sy'n bodoli mewn dwy ffurf:
Opsiynau GUI SeroHaen
- Un gan y datblygwr ZeroTier, ar gael fel datrysiad cwmwl cyhoeddus SaaS gyda phedwar cynllun tanysgrifio, gan gynnwys am ddim, ond yn gyfyngedig o ran nifer y dyfeisiau a reolir a lefel y gefnogaeth
- Daw'r ail gan ddatblygwr annibynnol, sydd wedi'i symleiddio rhywfaint o ran ymarferoldeb, ond sydd ar gael fel datrysiad ffynhonnell agored preifat i'w ddefnyddio ar y safle neu ar adnoddau cwmwl.
Yn fy ymarfer, defnyddiais y ddau ac o ganlyniad, penderfynais o'r diwedd ar yr ail un. Y rheswm am hyn oedd rhybuddion y datblygwr.
“Mae rheolwyr rhwydwaith yn gwasanaethu fel awdurdodau ardystio ar gyfer rhwydweithiau rhithwir ZeroTier. Rhaid i ffeiliau sy'n cynnwys allweddi cyfrinachol y rheolydd gael eu gwarchod yn ofalus a'u harchifo'n ddiogel. Mae eu cyfaddawd yn caniatáu i ymosodwyr anawdurdodedig greu cyfluniadau rhwydwaith twyllodrus, ac mae eu colled yn arwain at golli'r gallu i reoli a rheoli'r rhwydwaith, gan ei wneud i bob pwrpas yn annefnyddiadwy."
→
A hefyd, arwyddion o'ch paranoia seiberddiogelwch eich hun :)
- Hyd yn oed os daw Cheburnet, rhaid i mi gael mynediad at fy rheolydd rhwydwaith o hyd;
- Dim ond fi ddylai ddefnyddio'r rheolydd rhwydwaith. Os oes angen, darparu mynediad i'ch cynrychiolwyr awdurdodedig;
- Dylai fod yn bosibl cyfyngu mynediad i'r rheolydd rhwydwaith o'r tu allan.
Yn yr erthygl hon, nid wyf yn gweld llawer o bwynt mewn preswylio ar wahân ar sut i ddefnyddio rheolydd rhwydwaith a'r GUI ar ei gyfer ar adnoddau ffisegol neu rithwir ar y safle. Ac mae yna hefyd 3 rheswm am hyn:
- bydd mwy o lythyrau nag a gynlluniwyd
- am hyn yn barod ar y datblygwr GUI GitHab
- mae pwnc yr erthygl yn ymwneud â rhywbeth arall
Felly, gan ddewis y llwybr o wrthwynebiad lleiaf, byddaf yn defnyddio yn y stori hon rheolydd rhwydwaith gyda GUI yn seiliedig ar VDS, a grëwyd gan , a ddatblygwyd yn garedig gan fy nghydweithwyr o RuVDS.
Gosodiad cychwynnol
Ar ôl creu gweinydd o'r templed penodedig, mae'r defnyddiwr yn cael mynediad i'r rheolydd Web-GUI trwy borwr trwy gyrchu https:// :3443
Yn ddiofyn, mae'r gweinydd eisoes yn cynnwys tystysgrif TLS/SSL sydd wedi'i llofnodi ymlaen llaw. Mae hyn yn ddigon i mi, gan fy mod yn rhwystro mynediad iddo o'r tu allan. I'r rhai sy'n dymuno defnyddio mathau eraill o dystysgrifau, mae yna ar y datblygwr GUI GitHab.
Pan fydd y defnyddiwr yn mewngofnodi am y tro cyntaf Mewngofnodi gyda mewngofnodi a chyfrinair diofyn - admin и cyfrinair:
Mae'n awgrymu newid y cyfrinair diofyn i un arferol
Rwy'n ei wneud ychydig yn wahanol - nid wyf yn newid cyfrinair defnyddiwr presennol, ond yn creu un newydd - Creu Defnyddiwr.
Gosodais enw'r defnyddiwr newydd - enw defnyddiwr:
Gosodais gyfrinair newydd - Rhowch gyfrinair newydd:
Rwy'n cadarnhau'r cyfrinair newydd - Ail-nodi cyfrinair:
Mae'r cymeriadau rydych chi'n eu nodi yn sensitif i'r llythrennau - byddwch yn ofalus!
Blwch ticio i gadarnhau newid cyfrinair yn y mewngofnodi nesaf - Newid cyfrinair ar y mewngofnodi nesaf: Dydw i ddim yn dathlu.
I gadarnhau'r data a gofnodwyd, pwyswch Gosodwch gyfrinair:
Yna: rydw i'n ail-fewngofnodi - Allgofnodi / Mewngofnodi, eisoes o dan gymwysterau'r defnyddiwr newydd:
Nesaf, rwy'n mynd i'r tab defnyddwyr - defnyddwyr a dileu'r defnyddiwr admintrwy glicio ar yr eicon can sbwriel sydd i'r chwith o'i enw.
Yn y dyfodol, gallwch newid cyfrinair y defnyddiwr trwy glicio naill ai ar ei enw neu ar gyfrinair gosod.
Creu rhwydwaith rhithwir
I greu rhwydwaith rhithwir, mae angen i'r defnyddiwr fynd i'r tab Ychwanegu rhwydwaith. O bwynt Defnyddiwr gellir gwneud hyn trwy'r dudalen Hafan — prif dudalen y Web-GUI, sy'n dangos cyfeiriad ZeroTier y rheolydd rhwydwaith hwn ac sy'n cynnwys dolen i'r dudalen ar gyfer y rhestr o rwydweithiau a grëwyd drwyddo.
Ar dudalen Ychwanegu rhwydwaith mae'r defnyddiwr yn aseinio enw i'r rhwydwaith sydd newydd ei greu.
Wrth gymhwyso'r data mewnbwn − Creu Rhwydwaith mae'r defnyddiwr yn cael ei gludo i dudalen gyda rhestr o rwydweithiau, sy'n cynnwys:
Enw'r rhwydwaith — enw'r rhwydwaith ar ffurf dolen, pan gliciwch arno gallwch ei newid
ID Rhwydwaith - dynodwr rhwydwaith
manylion — dolen i dudalen gyda pharamedrau rhwydwaith manwl
setup hawdd — dolen i'r dudalen i'w gosod yn hawdd
aelodau — dolen i'r dudalen rheoli nodau
I gael gosodiad pellach dilynwch y ddolen setup hawdd. Ar y dudalen sy'n agor, mae'r defnyddiwr yn nodi ystod o gyfeiriadau IPv4 ar gyfer y rhwydwaith sy'n cael ei greu. Gellir gwneud hyn yn awtomatig trwy wasgu botwm Cynhyrchu cyfeiriad rhwydwaith neu â llaw trwy fynd i mewn i'r mwgwd rhwydwaith rhwydwaith yn y maes priodol CIDR.
Wrth gadarnhau cofnod data llwyddiannus, rhaid i chi ddychwelyd i'r dudalen gyda'r rhestr o rwydweithiau gan ddefnyddio'r botwm Yn ôl. Ar y pwynt hwn, gellir ystyried bod y gosodiad rhwydwaith sylfaenol yn gyflawn.
Cysylltu nodau rhwydwaith
- Yn gyntaf, rhaid gosod gwasanaeth ZeroTier One ar y nod y mae'r defnyddiwr am ei gysylltu â'r rhwydwaith.
Beth yw SeroHaen Un?Sero Haen Un yn wasanaeth sy'n rhedeg ar liniaduron, byrddau gwaith, gweinyddwyr, peiriannau rhithwir a chynwysyddion sy'n darparu cysylltiadau â rhwydwaith rhithwir trwy borthladd rhwydwaith rhithwir, yn debyg i gleient VPN.
Unwaith y bydd y gwasanaeth wedi'i osod a'i gychwyn, gallwch gysylltu â rhwydweithiau rhithwir gan ddefnyddio eu cyfeiriadau 16 digid. Mae pob rhwydwaith yn ymddangos fel porthladd rhwydwaith rhithwir ar y system, sy'n ymddwyn yn union fel porthladd Ethernet rheolaidd.
Gellir dod o hyd i ddolenni i ddosbarthiadau, yn ogystal â gorchmynion gosod .Gallwch reoli'r gwasanaeth gosodedig trwy derfynell llinell orchymyn (CLI) gyda hawliau gweinyddol / gwraidd. Ar Windows/MacOS hefyd yn defnyddio rhyngwyneb graffigol. Yn Android/iOS yn unig gan ddefnyddio GUI.
- Gwirio llwyddiant gosodiad y gwasanaeth:
CLI:
zerotier-cli statusCanlyniad:
200 info ebf416fac1 1.4.6 ONLINE
GUI:Yr union ffaith bod y cais yn rhedeg a phresenoldeb llinell gyda Node ID gyda chyfeiriad y nod ynddo.
- Cysylltu nod i'r rhwydwaith:
CLI:
zerotier-cli join <Network ID>Canlyniad:
200 join OKGUI:
Windows: de-gliciwch ar yr eicon Sero Haen Un yn yr hambwrdd system a dewis yr eitem - Ymunwch â Rhwydwaith.
MacOS: Lansio'r cais Sero Haen Un yn newislen y bar, os nad yw wedi'i lansio eisoes. Cliciwch ar yr eicon ⏁ a dewiswch Ymunwch â Rhwydwaith.Android/iOS: + (ynghyd â delwedd) yn yr ap
Yn y maes sy'n ymddangos, nodwch y rheolydd rhwydwaith a nodir yn y GUI ID Rhwydwaith, a gwasg Ymuno / Ychwanegu Rhwydwaith. - Neilltuo cyfeiriad IP i westeiwr
Nawr rydym yn dychwelyd at y rheolwr rhwydwaith ac ar y dudalen gyda rhestr o rwydweithiau dilynwch y ddolen aelodau. Os gwelwch lun tebyg i hwn ar y sgrin, mae'n golygu bod eich rheolwr rhwydwaith wedi derbyn cais i gadarnhau'r cysylltiad â'r rhwydwaith o'r nod cysylltiedig.
Ar y dudalen hon rydym yn gadael popeth fel y mae ar hyn o bryd a dilynwch y ddolen Aseiniad IP ewch i'r dudalen ar gyfer aseinio cyfeiriad IP i'r nod:
Ar ôl aseinio'r cyfeiriad, cliciwch ar y botwm Yn ôl dychwelyd i dudalen y rhestr o nodau cysylltiedig a gosod yr enw - Enw aelod a thiciwch y blwch ticio i awdurdodi'r nod ar y rhwydwaith - Awdurdodwyd. Gyda llaw, mae'r blwch gwirio hwn yn beth cyfleus iawn ar gyfer datgysylltu / cysylltu o'r rhwydwaith cynnal yn y dyfodol.
Arbedwch newidiadau gan ddefnyddio'r botwm Adnewyddu. - Wrthi'n gwirio statws cysylltiad y nod i'r rhwydwaith:
I wirio statws cysylltiad y nod ei hun, rhedwch:
CLI:zerotier-cli listnetworksCanlyniad:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:Dylai statws rhwydwaith fod yn iawn
I gysylltu'r nodau sy'n weddill, ailadroddwch weithrediadau 1-5 ar gyfer pob un ohonynt.
Gwirio cysylltedd rhwydwaith nodau
Rwy'n gwneud hyn trwy redeg y gorchymyn ping ar y ddyfais sy'n gysylltiedig â'r rhwydwaith yr wyf yn ei reoli ar hyn o bryd.
Yn y sgrinlun o'r rheolydd Web-GUI gallwch weld tri nod wedi'u cysylltu â'r rhwydwaith:
- ZTNCUI - 10.10.10.1 - fy rheolydd rhwydwaith gyda GUI - VDS yn un o'r RuVDS DCs. Ar gyfer gwaith arferol nid oes angen ei ychwanegu at y rhwydwaith, ond gwnes hyn oherwydd fy mod am rwystro mynediad i'r rhyngwyneb gwe o'r tu allan. Mwy am hyn yn nes ymlaen.
- MyComp - 10.10.10.2 - PC corfforol yw fy nghyfrifiadur gwaith
- Gwneud copi wrth gefn - 10.10.10.3 — VDS mewn DC arall.
Felly, o fy nghyfrifiadur gwaith rwy'n gwirio argaeledd nodau eraill gyda'r gorchmynion:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
Mae gan y defnyddiwr yr hawl i ddefnyddio offer eraill i wirio argaeledd nodau ar y rhwydwaith, y ddau wedi'u hymgorffori yn yr OS ac fel NMAP, Sganiwr IP Uwch, ac ati.
Rydym yn cuddio mynediad i'r rheolydd rhwydwaith GUI o'r tu allan.
Yn gyffredinol, gallaf leihau'r tebygolrwydd o fynediad heb awdurdod i'r VDS y mae fy rheolydd rhwydwaith wedi'i leoli arno gan ddefnyddio wal dân yn fy nghyfrif personol RuVDS. Mae'r pwnc hwn yn fwy tebygol ar gyfer erthygl ar wahân. Felly, yma byddaf yn dangos sut i ddarparu mynediad i'r rheolydd GUI yn unig o'r rhwydwaith a greais yn yr erthygl hon.
I wneud hyn, mae angen i chi gysylltu trwy SSH i'r VDS y mae'r rheolydd wedi'i leoli arno ac agor y ffeil ffurfweddu gan ddefnyddio'r gorchymyn:
nano /opt/key-networks/ztncui/.envYn y ffeil a agorwyd, ar ôl y llinell “HTTPS_PORT = 3443” sy'n cynnwys cyfeiriad y porthladd lle mae'r GUI yn agor, mae angen i chi ychwanegu llinell ychwanegol gyda'r cyfeiriad y bydd y GUI yn agor ynddo - yn fy achos i HTTPS_HOST = 10.10.10.1 .XNUMX.
Nesaf byddaf yn cadw'r ffeil
Сtrl+C
Y
Enter
a rhedeg y gorchymyn:
systemctl restart ztncuiA dyna ni, nawr mae GUI fy rheolydd rhwydwaith ar gael ar gyfer nodau rhwydwaith 10.10.10.0.24 yn unig.
Yn hytrach na i gasgliad
Dyma lle rydw i eisiau gorffen rhan gyntaf y canllaw ymarferol i greu rhwydweithiau rhithwir yn seiliedig ar ZeroTier. Edrychaf ymlaen at eich sylwadau.
Yn y cyfamser, i basio'r amser tan gyhoeddiad y rhan nesaf, lle byddaf yn dweud wrthych sut i gyfuno rhwydwaith rhithwir ag un corfforol, sut i drefnu modd "rhyfelwr ffordd" a rhywbeth arall, rwy'n awgrymu eich bod yn ceisio trefnu eich rhwydwaith rhithwir eich hun gan ddefnyddio rheolydd rhwydwaith preifat gyda GUI yn seiliedig ar VDS o'r farchnad ymlaen RUVDS. Ar ben hynny, mae gan bob cleient newydd gyfnod prawf am ddim o 3 diwrnod!
PS Oes! Bu bron imi anghofio! Gallwch dynnu nod o'r rhwydwaith gan ddefnyddio gorchymyn yn CLI y nod hwn.
zerotier-cli leave <Network ID>
200 leave OK
neu'r gorchymyn Dileu yn y GUI cleient ar y nod.
->
->
->
Ffynhonnell: hab.com