🥇ZeroTier-ek bultzatuta. Sare birtualak eraikitzeko gida praktikoa. 1. zatia

ZeroTier-i buruzko istorioa jarraituz, artikuluan azaltzen den teoriatik abiatutaEthernet Switch adimenduna Lur planetarako", praktikara pasatzen naiz zeinetan:

Sortu eta konfigura dezagun sare pribatuko kontrolagailu bat
Sor dezagun sare birtual bat
Konfigura ditzagun eta konekta ditzagun nodoak
Egiaztatu dezagun haien arteko sare-konektibitatea
Blokeatu dezagun sareko kontrolagailuaren GUIrako sarbidea kanpotik

Sare-kontrolatzailea

Lehen esan bezala, sare birtualak sortzeko, kudeatzeko eta nodoak konektatzeko, erabiltzaileak sareko kontroladore bat behar du, interfaze grafiko bat (GUI) bi formatan dagoen:

ZeroTier GUI aukerak

ZeroTier garatzailearen bat, hodei publikoko SaaS soluzio gisa eskuragarri lau harpidetza-planekin, doakoa barne, baina kudeatutako gailu kopuruan eta laguntza mailan mugatua.
Bigarrena garatzaile independente batena da, funtzionalitatean zertxobait sinplifikatua, baina kode irekiko irtenbide pribatu gisa eskuragarri dago lokalean edo hodeiko baliabideetan erabiltzeko.

Nire praktikan, biak erabili nituen eta, ondorioz, azkenean bigarrenarekin finkatu nintzen. Horren arrazoia garatzailearen abisuak izan ziren.

"Sare-kontrolatzaileek ZeroTier sare birtualen ziurtapen-agintari gisa balio dute. Kontrolagailuaren gako sekretuak dituzten fitxategiak arretaz zaindu eta segurtasunez artxibatu behar dira. Haien konpromisoak baimenik gabeko erasotzaileei iruzurrezko sare konfigurazioak sortzeko aukera ematen die, eta galtzeak sarea kontrolatzeko eta kudeatzeko gaitasuna galtzen du, eraginkortasunez erabilezin bihurtuz".

→ Dokumentaziorako esteka

Eta, gainera, zure zibersegurtasun paranoiaren seinaleak :)

Cheburnet etortzen bada ere, nire sareko kontrolagailurako sarbidea izan behar dut;
Nik bakarrik sareko kontrolagailua erabili behar dut. Beharrezkoa izanez gero, baimendutako ordezkariei sarbidea ematea;
Posible izan beharko litzateke sareko kontrolagailurako sarbidea kanpotik mugatzea.

Artikulu honetan, ez dut balio handirik ikusten sare-kontrolagailu bat eta GUI-a baliabide fisiko edo birtualetan lokaletan nola zabaldu behar den bereizita. Eta horretarako 3 arrazoi ere badaude:

aurreikusitakoa baino gutun gehiago egongo dira
honi buruz dagoeneko esan GitHab GUI garatzailean
artikuluaren gaia beste zerbaiti buruzkoa da

Horregatik, erresistentzia gutxien duen bidea aukeratuz, istorio honetan VDSn oinarritutako GUI bat duen sare kontroladore bat erabiliko dut, txantiloitik, RuVDSko nire lankideek adeitasunez garatua.

Hasierako konfigurazioa

Zehaztutako txantiloitik zerbitzari bat sortu ondoren, erabiltzaileak Web-GUI kontrolagailura sarbidea lortzen du arakatzaile baten bidez https:// sartuta. :3443

Lehenespenez, zerbitzariak aurrez sortutako TLS/SSL ziurtagiri bat dauka. Hau nahikoa da niretzat, kanpotik sarbidea blokeatzen dudalako. Beste ziurtagiri mota batzuk erabili nahi dituztenentzat, badago instalatzeko argibideak GitHab GUI garatzailean.

Erabiltzailea lehen aldiz saioa hasten denean Saioa hasi saio-hasiera eta pasahitz lehenetsiarekin - admin и pasahitza:

Pasahitz lehenetsia pertsonalizatu batera aldatzea proposatzen du

Apur bat ezberdinean egiten dut - ez dut lehendik dagoen erabiltzaile baten pasahitza aldatzen, baizik eta berri bat sortzen - Sortu erabiltzailea.

Erabiltzaile berriaren izena ezarri dut - Erabiltzaile izena:
Pasahitz berria ezarri dut - Sartu pasahitz berria:
Pasahitz berria berresten dut - Pasahitza berriro sartu:

Sartzen dituzun karaktereek maiuskulak eta minuskulak bereizten dituzte. Kontuz!

Markagailua hurrengo saioa hasteko pasahitz aldaketa berresteko - Aldatu pasahitza hurrengo saioa hasteko: Ez dut ospatzen.

Sartutako datuak berresteko, sakatu Ezarri pasahitza:

Orduan: berriro saioa hasi dut - Logout / Saioa hasi, dagoeneko erabiltzaile berriaren kredentzialen azpian:

Ondoren, erabiltzaileen fitxara joaten naiz - erabiltzaileak eta erabiltzailea ezabatu adminbere izenaren ezkerrean dagoen zakarrontziaren ikonoan klik eginez.

Etorkizunean, erabiltzailearen pasahitza alda dezakezu bere izenan edo pasahitza ezarrita klik eginez.

Sare birtual bat sortzea

Sare birtual bat sortzeko, erabiltzaileak fitxara joan behar du Gehitu sarea. Puntutik Erabiltzaileak orriaren bidez egin daiteke Hasiera — Web-GUIaren orri nagusia, sareko kontrolagailu honen ZeroTier helbidea bistaratzen duena eta horren bidez sortutako sareen zerrendarako esteka duen orrialderako.

Orrialdean Gehitu sarea erabiltzaileak izen bat esleitzen dio sortu berri den sareari.

Sarrerako datuak aplikatzean − Sortu Sarea erabiltzailea sareen zerrenda duen orrialde batera eramaten da, eta bertan:

Sarearen izena — sarearen izena esteka moduan, gainean klik egiten duzunean alda dezakezu
Sareko IDa — sarearen identifikatzailea
zehatz-mehatz — sareko parametro zehatzak dituen orrialde batera estekatu
konfigurazio erraza - esteka orrira erraz konfiguratzeko
kide — esteka nodoen kudeaketa orrira

Konfigurazio gehiagorako, jarraitu esteka konfigurazio erraza. Irekitzen den orrian, erabiltzaileak sortzen ari den sarerako IPv4 helbide sorta bat zehazten du. Hau automatikoki egin daiteke botoi bat sakatuz Sortu sareko helbidea edo eskuz sareko sareko maskara dagokion eremuan sartuz CIDR.

Datuen sarrera arrakastatsua berresten duzunean, sareen zerrenda duen orrialdera itzuli behar duzu Atzera botoia erabiliz. Une honetan, oinarrizko sarearen konfigurazioa amaitutzat jo daiteke.

Sare-nodoak konektatzea

Lehenik eta behin, ZeroTier One zerbitzua erabiltzaileak sarera konektatu nahi duen nodoan instalatu behar da.
Zer da ZeroTier One?ZeroTier One ordenagailu eramangarrietan, mahaigainetan, zerbitzarietan, makina birtualetan eta edukiontzietan exekutatzen den zerbitzua da, sare birtual baterako konexioak eskaintzen dituena sare birtualaren ataka baten bidez, VPN bezero baten antzera.

Zerbitzua instalatu eta martxan jarri ondoren, sare birtualetara konekta zaitezke haien 16 digituko helbideak erabiliz. Sare bakoitza sare birtual ataka gisa agertzen da sisteman, Ethernet ataka arrunt baten antzera jokatzen duena.
Banaketaetarako estekak, baita instalazio komandoak ere, aurki daitezke fabrikatzailearen orrian.

Instalatutako zerbitzua komando lerroko terminal baten bidez (CLI) kudea dezakezu administratzaile/root eskubideekin. Windows/MacOS-en interfaze grafiko bat erabiliz. Android/iOS-en GUI erabiliz soilik.
Zerbitzuaren instalazioaren arrakasta egiaztatzea:
CLI:
```
zerotier-cli status
```
Emaitza:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Aplikazioa exekutatzen ari dela eta nodoaren helbidea duen Nodo IDa duen lerroa bertan egotea.
Nodo bat sarera konektatzea:
CLI:
```
zerotier-cli join <Network ID>
```
Emaitza:

200 join OK

GUI:

Windows: egin klik eskuineko botoiarekin ikonoan ZeroTier One sistemaren erretiluan eta elementua hautatuz - Sartu Sarera.

macOS: Abiarazi aplikazioa ZeroTier One barrako menuan, dagoeneko martxan jarri ez bada. Egin klik ⏁ ikonoan eta hautatu Sartu Sarera.

Android/iOS: + (gehi irudia) aplikazioan

Agertzen den eremuan, sartu GUIan zehaztutako sare kontrolatzailea Sareko IDa, eta sakatu Sartu/Gehitu sarera.
Ostalari bati IP helbidea esleitzea
Orain sareko kontrolagailura itzuliko gara eta sareen zerrenda duen orrialdean esteka jarraitu kide. Pantailan honen antzeko irudi bat ikusten baduzu, zure sare-kontrolatzaileak sarerako konexioa berresteko eskaera jaso duela esan nahi du konektatutako nodotik.

Orrialde honetan dena oraingoz bezala uzten dugu eta esteka jarraitzen dugu IP esleipena joan nodoari IP helbidea esleitzeko orrialdera:

Helbidea esleitu ondoren, egin klik botoian Itzuli itzuli konektatutako nodoen zerrendaren orrira eta ezarri izena - Kidearen izena eta markatu kontrol-laukia sareko nodoa baimentzeko - baimendutako. Bide batez, kontrol-lauki hau oso gauza erosoa da etorkizunean ostalari saretik deskonektatzeko/konektatzeko.

Gorde aldaketak botoia erabiliz Freskatu.
Nodoaren konexio-egoera sarera egiaztatzea:
Nodoan bertan konexioaren egoera egiaztatzeko, exekutatu:
CLI:
```
zerotier-cli listnetworks
```
Emaitza:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Sarearen egoerak ondo egon behar du

Gainerako nodoak konektatzeko, errepikatu 1-5 eragiketak horietako bakoitzean.

Nodoen sareko konektibitatea egiaztatzea

Komandoa exekutatuz egiten dut ping Une honetan kudeatzen ari naizen sarera konektatuta dagoen gailuan.

Web-GUI kontrolagailuaren pantaila-argazkian sarera konektatuta dauden hiru nodo ikus ditzakezu:

ZTNCUI - 10.10.10.1 - Nire sare kontrolatzailea GUIarekin - VDS RuVDS DC-etako batean. Lan arrunterako ez dago sarean gehitu beharrik, baina hau egin dut, kanpotik web interfazera sarbidea blokeatu nahi dudalako. Honi buruz gehiago.
MyComp - 10.10.10.2 - Nire laneko ordenagailua ordenagailu fisiko bat da
Babeskopia - 10.10.10.3 — VDS beste DC batean.

Hori dela eta, nire laneko ordenagailutik beste nodo batzuen erabilgarritasuna egiaztatzen dut komandoekin:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Erabiltzaileak eskubidea du sareko nodoen erabilgarritasuna egiaztatzeko beste tresna batzuk erabiltzeko, bai OSan barneratuak, bai NMAP, IP Scanner aurreratua, etab.

Sare kontroladorearen GUIrako sarbidea kanpotik ezkutatzen dugu.

Orokorrean, nire sare-kontrolatzailea dagoen VDSra baimenik gabe sartzeko aukera murriztu dezaket nire RuVDS kontu pertsonaleko suebaki bat erabiliz. Gai hau beste artikulu baterako litekeena da. Hori dela eta, hemen erakutsiko dut nola eman GUI kontrolagailurako sarbidea artikulu honetan sortu dudan saretik soilik.

Horretarako, SSH bidez konektatu behar duzu kontrolagailua dagoen VDSra eta ireki konfigurazio fitxategia komandoa erabiliz:

nano /opt/key-networks/ztncui/.env

Irekitako fitxategian, GUI irekitzen den atakaren helbidea duen "HTTPS_PORT=3443" lerroaren ondoren, lerro gehigarri bat gehitu behar duzu GUI irekiko den helbidearekin - nire kasuan HTTPS_HOST=10.10.10.1 da. .XNUMX.

Ondoren fitxategia gordeko dut

Сtrl+C Y Enter

eta exekutatu komandoa:

systemctl restart ztncui

Eta hori da, orain nire sareko kontrolagailuaren GUIa 10.10.10.0.24 sareko nodoetarako soilik dago eskuragarri.

Horren ordez Ondorio baten

Hemen amaitu nahi dut ZeroTier-en oinarritutako sare birtualak sortzeko gida praktikoaren lehen zatia. Zure iruzkinak espero ditut.

Bitartean, hurrengo zatia argitaratu arte denbora pasatzeko, zeinetan sare birtual bat fisikoarekin nola konbinatu, “errepideko gudari” modua eta beste zerbait nola antolatu eta beste zerbait esango dizut, proba dezazula proposatzen dizut. zure sare birtuala antolatzea merkatutik aurrera VDSn oinarritutako GUI duen sare pribatuko kontrolagailu bat erabiliz Online RUVDS. Gainera, bezero berri guztiek 3 eguneko doako proba-aldia dute!

PS Bai! Ia ahaztu zait! Nodo bat saretik ken dezakezu nodo honen CLIko komando bat erabiliz.

zerotier-cli leave <Network ID>

200 leave OK

edo Ezabatu komandoa nodoko bezeroaren GUIan.

-> Sarrera. Parte teorikoa. Ethernet Switch adimenduna Lur planetarako
-> Sare birtualak eraikitzeko gida praktikoa. 1. zatia
-> Sare birtualak eraikitzeko gida praktikoa. 2. zatia

Iturria: www.habr.com

ZeroTier-ek bultzatuta. Sare birtualak eraikitzeko gida praktikoa. 1. zatia