🥇 Toiteallikaks on ZeroTier. Praktiline juhend virtuaalsete võrkude ehitamiseks. 1. osa

Jätkates lugu ZeroTierist, artiklis välja toodud teooriast "Nutikas Etherneti lüliti Planet Earthile", liigun edasi praktika juurde, milles:

Loome ja konfigureerime privaatvõrgukontrolleri
Loome virtuaalse võrgu
Seadistame ja ühendame sellega sõlmed
Kontrollime nende vahelist võrguühendust
Blokeerime juurdepääsu võrgukontrolleri GUI-le väljastpoolt

Võrgukontroller

Nagu varem mainitud, vajab kasutaja virtuaalsete võrkude loomiseks, haldamiseks ja sõlmede ühendamiseks võrgukontrollerit, mille graafiline liides (GUI) on kahel kujul:

ZeroTier GUI valikud

Üks arendajalt ZeroTier, mis on saadaval avaliku pilve SaaS-i lahendusena nelja tellimisplaaniga, sealhulgas tasuta, kuid piiratud hallatavate seadmete arvu ja toe tasemega
Teine on sõltumatult arendajalt, funktsionaalsuselt mõnevõrra lihtsustatud, kuid saadaval privaatse avatud lähtekoodiga lahendusena kasutamiseks kohapeal või pilveressurssides.

Praktikas kasutasin mõlemat ja selle tulemusena leppisin lõpuks teisega. Selle põhjuseks olid arendaja hoiatused.

"Võrgukontrollerid toimivad ZeroTieri virtuaalsete võrkude sertifitseerimisasutustena. Kontrolleri salajasi võtmeid sisaldavad failid tuleb hoolikalt valvata ja turvaliselt arhiveerida. Nende kompromiss võimaldab volitamata ründajatel luua petturlikke võrgukonfiguratsioone ja nende kadumine toob kaasa võrgu juhtimise ja haldamise võime kaotuse, muutes selle tõhusalt kasutuskõlbmatuks.

→ Link dokumentatsioonile

Ja ka märke teie enda küberturvalisuse paranoiast :)

Isegi kui Cheburnet tuleb, peab mul ikkagi olema juurdepääs oma võrgukontrollerile;
Ainult mina peaksin kasutama võrgukontrollerit. Vajadusel juurdepääsu võimaldamine oma volitatud esindajatele;
Peaks olema võimalik piirata juurdepääsu võrgukontrollerile väljastpoolt.

Selles artiklis ei näe ma erilist mõtet eraldi käsitleda, kuidas juurutada võrgukontroller ja selle jaoks GUI kohapealsetes füüsilistes või virtuaalsetes ressurssides. Ja sellel on ka kolm põhjust:

kirju tuleb plaanitust rohkem
selle kohta juba rääkis GUI arendajal GitHabil
artikli teema räägib millestki muust

Seetõttu kasutan väikseima takistuse tee valides selles loos VDS-il põhineva GUI-ga võrgukontrollerit, mille on loonud mallist, mille on lahkelt välja töötanud minu kolleegid RuVDS-ist.

Esialgne seadistus

Pärast serveri loomist määratud malli järgi pääseb kasutaja brauseri kaudu juurdepääsu veebigraafilise kasutajaliidese kontrollerile, avades aadressi https:// :3443

Vaikimisi sisaldab server juba eelnevalt loodud iseallkirjastatud TLS/SSL-sertifikaati. Minu jaoks sellest piisab, kuna blokeerin sellele juurdepääsu väljastpoolt. Neile, kes soovivad kasutada muud tüüpi sertifikaate, on olemas paigaldusjuhised GUI arendajal GitHabil.

Kui kasutaja esimest korda sisse logib Logi sisse vaikimisi sisselogimise ja parooliga - admin и parool:

See soovitab muuta vaikeparool kohandatud parooliks

Ma teen seda veidi teisiti - ma ei muuda olemasoleva kasutaja parooli, vaid loon uue - Loo kasutaja.

Panin uue kasutaja nime - kasutajanimi:
Panin uue parooli - Sisestage uus parool:
Kinnitan uue parooli - Sisesta parool uuesti:

Sisestatavad märgid on tõstutundlikud – olge ettevaatlik!

Märkeruut parooli muutmise kinnitamiseks järgmisel sisselogimisel - Muuda parooli järgmisel sisselogimisel: Ma ei tähista.

Sisestatud andmete kinnitamiseks vajutage Määra parool:

Siis: ma login uuesti sisse - Logi välja / Logi sisse, juba uue kasutaja mandaatide all:

Järgmisena lähen kasutajate vahekaardile - kasutajad ja kasutaja kustutada adminklõpsates tema nimest vasakul asuval prügikastiikoonil.

Edaspidi saate muuta kasutaja parooli, klõpsates kas tema nimel või määratud paroolil.

Virtuaalse võrgu loomine

Virtuaalse võrgu loomiseks peab kasutaja minema vahekaardile Lisa võrk. Alates punktist Kasutaja seda saab teha lehe kaudu Avaleht — Web-GUI avaleht, mis kuvab selle võrgukontrolleri ZeroTieri aadressi ja sisaldab linki selle kaudu loodud võrkude loendi lehele.

Lehel Lisa võrk kasutaja määrab vastloodud võrgule nime.

Sisendandmete rakendamisel − Loo võrk kasutaja suunatakse lehele, kus on võrkude loend, mis sisaldab:

Võrgu nimi — võrgu nimi lingi kujul, sellel klõpsates saad seda muuta
Võrgu ID — võrgu identifikaator
detail — link üksikasjalike võrguparameetritega lehele
lihtne seadistamine - link lehele lihtsaks seadistamiseks
liikmetele — link sõlmede haldamise lehele

Edasiseks seadistamiseks järgige linki lihtne seadistamine. Avaneval lehel määrab kasutaja loodava võrgu IPv4-aadresside vahemiku. Seda saab teha automaatselt, vajutades nuppu Loo võrguaadress või käsitsi, sisestades võrguvõrgu maski vastavale väljale CIDR.

Eduka andmesisestuse kinnitamisel peate naasta võrkude loendiga lehele, kasutades nuppu Tagasi. Siinkohal võib võrgu põhiseadistuse lugeda lõpetatuks.

Võrgusõlmede ühendamine

Esiteks tuleb ZeroTier One teenus installida sõlme, mida kasutaja soovib võrguga ühendada.
Mis on ZeroTier One?ZeroTier One on sülearvutites, lauaarvutites, serverites, virtuaalmasinates ja konteinerites töötav teenus, mis pakub sarnaselt VPN-kliendiga ühendusi virtuaalse võrguga virtuaalse võrgupordi kaudu.

Kui teenus on installitud ja käivitatud, saate luua ühenduse virtuaalvõrkudega, kasutades nende 16-kohalisi aadresse. Iga võrk kuvatakse süsteemis virtuaalse võrgupordina, mis käitub täpselt nagu tavaline Etherneti port.
Leiate linke distributsioonidele, samuti installikäske tootja lehel.

Installitud teenust saate hallata administraatori / juurõigustega käsureaterminali (CLI) kaudu. Windows/MacOS-is, kasutades ka graafilist liidest. Androidis/iOS-is ainult GUI-ga.
Teenuse installimise edukuse kontrollimine:
CLI:
```
zerotier-cli status
```
Tulemus:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Asjaolu, et rakendus töötab, ja rea olemasolu selles, millel on sõlme ID ja sõlme aadress.
Sõlme ühendamine võrku:
CLI:
```
zerotier-cli join <Network ID>
```
Tulemus:

200 join OK

GUI:

Windows: paremklõpsake ikoonil ZeroTier One süsteemses salves ja valides üksuse - Liituge võrguga.

MacOS: Käivitage rakendus ZeroTier One ribamenüüs, kui see pole veel käivitatud. Klõpsake ikoonil ⏁ ja valige Liituge võrguga.

Android/iOS: + (pluss pilt) rakenduses

Sisestage ilmuvale väljale GUI-s määratud võrgukontroller Võrgu IDja vajutage Liitu/lisa võrk.
IP-aadressi määramine hostile
Nüüd pöördume tagasi võrgukontrolleri juurde ja järgige linki võrkude loendiga lehel liikmetele. Kui näete ekraanil sellele sarnast pilti, tähendab see, et teie võrgukontroller on saanud ühendatud sõlmelt võrguühenduse kinnitamise taotluse.

Sellel lehel jätame kõik praeguseks ja järgime linki IP määramine minge sõlmele IP-aadressi määramise lehele:

Pärast aadressi määramist klõpsake nuppu tagasi naaske ühendatud sõlmede loendi lehele ja määrake nimi - Liikme nimi ja märkige ruut võrgu sõlme autoriseerimiseks - Volitatud. Muide, see märkeruut on väga mugav asi edaspidi hostvõrgust lahtiühendamiseks/ühendamiseks.

Salvestage muudatused nupuga värskendama.
Sõlme võrguühenduse oleku kontrollimine:
Sõlme enda ühenduse oleku kontrollimiseks käivitage:
CLI:
```
zerotier-cli listnetworks
```
Tulemus:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Võrgu olek peaks olema korras

Ülejäänud sõlmede ühendamiseks korrake toiminguid 1-5 igaühe jaoks.

Sõlmede võrguühenduse kontrollimine

Teen seda käsu käivitamisega ping seadmes, mis on ühendatud praegu hallatava võrguga.

Web-GUI kontrolleri ekraanipildil näete kolme võrguga ühendatud sõlme:

ZTNCUI – 10.10.10.1 - minu võrgukontroller koos GUI-ga - VDS ühes RuVDS DC-s. Tavaliseks tööks pole vaja seda võrku lisada, kuid tegin seda, kuna soovin blokeerida juurdepääsu veebiliidesele väljastpoolt. Sellest lähemalt hiljem.
MyComp - 10.10.10.2 - minu tööarvuti on füüsiline arvuti
Varundus - 10.10.10.3 — VDS teises alalisvoolus.

Seetõttu kontrollin oma tööarvutist teiste sõlmede saadavust käskudega:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Kasutajal on õigus kasutada võrgus olevate sõlmede saadavuse kontrollimiseks muid tööriistu, nii OS-i sisseehitatud kui ka näiteks NMAP, Advanced IP Scanner jne.

Peidame juurdepääsu võrgukontrolleri GUI-le väljastpoolt.

Üldiselt saan oma isikliku RuVDS-i tulemüüri abil vähendada volitamata juurdepääsu tõenäosust VDS-ile, millel minu võrgukontroller asub. See teema on tõenäolisem eraldi artikli jaoks. Seetõttu näitan siin, kuidas pakkuda juurdepääsu GUI-kontrollerile ainult selles artiklis loodud võrgust.

Selleks peate SSH kaudu looma ühenduse VDS-iga, millel kontroller asub, ja avama konfiguratsioonifaili käsuga:

nano /opt/key-networks/ztncui/.env

Avatud failis peate pärast GUI avanemise pordi aadressi sisaldavat rida “HTTPS_PORT=3443” lisama täiendava rea aadressiga, millel GUI avaneb - minu puhul on see HTTPS_HOST=10.10.10.1 .XNUMX.

Järgmisena salvestan faili

Сtrl+C Y Enter

ja käivitage käsk:

systemctl restart ztncui

Ja ongi kõik, nüüd on minu võrgukontrolleri GUI saadaval ainult võrgusõlmede 10.10.10.0.24 jaoks.

Selle asemel, et järeldus

Siin tahan lõpetada ZeroTieril põhinevate virtuaalsete võrkude loomise praktilise juhendi esimese osa. Ootan teie kommentaare.

Et vahepeal oleks aega järgmise osa ilmumiseni, milles räägin teile, kuidas ühendada virtuaalne võrk füüsilisega, kuidas korraldada režiimi "maanteesõdalane" ja midagi muud, soovitan teil proovida oma virtuaalse võrgu korraldamine VDS-il põhineva GUI-ga privaatse võrgukontrolleri abil alates turust veebisait RUVDS. Lisaks on kõikidel uutel klientidel 3-päevane tasuta prooviperiood!

PS Jah! Ma peaaegu unustasin! Saate sõlme võrgust eemaldada, kasutades käsku selle sõlme CLI-s.

zerotier-cli leave <Network ID>

200 leave OK

või käsk Kustuta sõlme kliendi GUI-s.

-> Sissejuhatus. Teoreetiline osa. Nutikas Etherneti lüliti Planet Earthile
-> Praktiline juhend virtuaalsete võrkude ehitamiseks. 1. osa
-> Praktiline juhend virtuaalsete võrkude ehitamiseks. 2. osa

Allikas: www.habr.com

Toiteallikaks on ZeroTier. Praktiline juhend virtuaalsete võrkude ehitamiseks. 1. osa