Kuten aiemmin mainittiin, virtuaalisten verkkojen luomiseen, hallintaan ja solmujen yhdistämiseen käyttäjä tarvitsee verkko-ohjaimen, graafisen käyttöliittymän (GUI), jolle on olemassa kahdessa muodossa:
ZeroTier GUI-asetukset
Yksi kehittäjältä ZeroTier, saatavilla julkisena pilvi SaaS-ratkaisuna neljällä tilaussopimuksella, mukaan lukien ilmainen, mutta rajoitettu määrä hallittujen laitteiden ja tukitason suhteen
Toinen on riippumattomalta kehittäjältä, toiminnaltaan hieman yksinkertaistettu, mutta se on saatavana yksityisenä avoimen lähdekoodin ratkaisuna käytettäväksi paikan päällä tai pilviresursseissa.
Käytän harjoituksissani molempia ja sen seurauksena päädyin lopulta toiseen. Syynä tähän olivat kehittäjän varoitukset.
”Verkkoohjaimet toimivat ZeroTier-virtuaaliverkkojen sertifiointiviranomaisina. Ohjaimen salaisia avaimia sisältävät tiedostot on suojattava huolellisesti ja arkistoitava turvallisesti. Heidän kompromissinsa ansiosta luvattomat hyökkääjät voivat luoda vilpillisiä verkkokokoonpanoja, ja niiden menettäminen johtaa verkon hallinnan ja hallinnan kyvyn menettämiseen, mikä tekee siitä käytännössä käyttökelvottoman."
Ja myös merkkejä omasta kyberturvallisuusparanoiastasi :)
Vaikka Cheburnet tulee, minulla on silti oltava pääsy verkko-ohjaimeen;
Vain minun pitäisi käyttää verkko-ohjainta. Tarvittaessa pääsyn tarjoaminen valtuutetuille edustajillesi;
Pääsy verkko-ohjaimeen pitäisi olla mahdollista rajoittaa ulkopuolelta.
Tässä artikkelissa en näe paljon järkeä pohtia erikseen verkko-ohjaimen ja sen graafisen käyttöliittymän käyttöönottoa paikan päällä oleviin fyysisiin tai virtuaalisiin resursseihin. Ja tähän on myös kolme syytä:
Siksi, valitessaan pienimmän vastuksen polun, käytän tässä tarinassa verkko-ohjainta VDS-pohjaisella graafisella käyttöliittymällä, jonka on luonut mallista, jonka ovat ystävällisesti kehittäneet kollegani RuVDS:stä.
Alkuasennus
Kun palvelin on luotu määritetystä mallista, käyttäjä pääsee Web-GUI-ohjaimeen selaimen kautta käyttämällä https:// :3443
Oletuksena palvelin sisältää jo valmiiksi luodun itse allekirjoitetun TLS/SSL-varmenteen. Tämä riittää minulle, koska estän pääsyn siihen ulkopuolelta. Niille, jotka haluavat käyttää muun tyyppisiä varmenteita, on olemassa asennusohjeet GUI-kehittäjä GitHabissa.
Kun käyttäjä kirjautuu sisään ensimmäisen kerran Kirjaudu oletuskirjautumistunnuksella ja salasanalla - admin и salasana:
Se ehdottaa oletussalasanan vaihtamista mukautettuun salasanaan
Teen sen hieman eri tavalla - en vaihda olemassa olevan käyttäjän salasanaa, vaan luon uuden - Luo käyttäjä.
Asetin uuden käyttäjän nimen - Käyttäjätunnus:
Asetin uuden salasanan - Syötä uusi salasana:
Vahvistan uuden salasanan - Kirjoita salasana uudelleen:
Syöttämäsi merkit erottelevat isot ja pienet kirjaimet – ole varovainen!
Valintaruutu vahvistaaksesi salasanan muutoksen seuraavan kirjautumisen yhteydessä - Vaihda salasana seuraavalla kirjautumiskerralla: En juhli.
Vahvista syötetyt tiedot painamalla Aseta salasana:
Sitten: kirjaudun uudelleen - Kirjaudu ulos / Kirjaudu, jo uuden käyttäjän tunnistetietojen alla:
Seuraavaksi siirryn Käyttäjät-välilehteen - käyttäjät ja poista käyttäjä adminnapsauttamalla hänen nimensä vasemmalla puolella olevaa roskakorikuvaketta.
Jatkossa voit vaihtaa käyttäjän salasanan napsauttamalla joko hänen nimeään tai asetettua salasanaa.
Virtuaaliverkon luominen
Virtuaaliverkon luomiseksi käyttäjän on siirryttävä välilehteen Lisää verkko. Kohdasta käyttäjä tämä voidaan tehdä sivun kautta Koti — Web-GUI:n pääsivu, joka näyttää tämän verkko-ohjaimen ZeroTier-osoitteen ja sisältää linkin sen kautta luotujen verkkojen luettelon sivulle.
Sivulla Lisää verkko käyttäjä antaa nimen juuri luodulle verkolle.
Käytettäessä syöttötietoja − Luo verkko käyttäjä ohjataan sivulle, jossa on verkkoluettelo, joka sisältää:
Verkon nimi - verkon nimi linkin muodossa, jota napsauttamalla voit muuttaa sitä Verkon tunnus — verkon tunniste yksityiskohta — linkki sivulle, jolla on yksityiskohtaiset verkkoparametrit helppo asennus - linkki sivulle asennuksen helpottamiseksi jäseniä — linkki solmunhallintasivulle
Katso lisäasetukset linkistä helppo asennus. Käyttäjä määrittää avautuvalla sivulla IPv4-osoitteita luotavalle verkolle. Tämä voidaan tehdä automaattisesti painamalla painiketta Luo verkko-osoite tai manuaalisesti kirjoittamalla verkon verkon peite asianmukaiseen kenttään CIDR.
Kun vahvistat onnistuneen tiedon syöttämisen, sinun on palattava verkkoluettelosivulle Takaisin-painikkeella. Tässä vaiheessa verkon perusasetusta voidaan pitää valmiina.
Verkkosolmujen yhdistäminen
Ensin ZeroTier One -palvelu on asennettava solmuun, jonka käyttäjä haluaa muodostaa yhteyden verkkoon.
Mikä on ZeroTier One?ZeroTier One on kannettavissa tietokoneissa, pöytäkoneissa, palvelimissa, virtuaalikoneen ja säilöissä toimiva palvelu, joka tarjoaa yhteydet virtuaaliverkkoon virtuaalisen verkkoportin kautta, kuten VPN-asiakas.
Kun palvelu on asennettu ja käynnistynyt, voit muodostaa yhteyden virtuaaliverkkoihin niiden 16-numeroisilla osoitteilla. Jokainen verkko näkyy järjestelmässä virtuaalisena verkkoporttina, joka toimii aivan kuten tavallinen Ethernet-portti.
Linkkejä jakeluihin sekä asennuskomentoihin löytyy valmistajan sivulla.
Voit hallita asennettua palvelua komentorivipäätteen (CLI) kautta, jolla on admin/root-oikeudet. Windows/MacOS-käyttöjärjestelmässä myös graafinen käyttöliittymä. Android/iOS vain graafisella käyttöliittymällä.
Palvelun asennuksen onnistumisen tarkistaminen:
CLI:
zerotier-cli status
Результат:
200 info ebf416fac1 1.4.6 ONLINE
GUI:
Itse se tosiasia, että sovellus on käynnissä ja siinä on rivi solmutunnuksella ja solmun osoite.
Solmun liittäminen verkkoon:
CLI:
zerotier-cli join <Network ID>
Результат:
200 join OK
GUI:
Windows: napsauta kuvaketta hiiren kakkospainikkeella ZeroTier One ilmaisinalueella ja valitsemalla kohteen - Liity verkkoon.
MacOS: Käynnistä sovellus ZeroTier One palkkivalikossa, ellei sitä ole jo käynnistetty. Napsauta ⏁-kuvaketta ja valitse Liity verkkoon.
Android/iOS: + (plus kuva) sovelluksessa
Kirjoita näyttöön tulevaan kenttään graafisessa käyttöliittymässä määritetty verkko-ohjain Verkon tunnus, ja paina Liity/Lisää verkko.
IP-osoitteen antaminen isännälle
Nyt palaamme verkko-ohjaimeen ja seuraa linkkiä sivulla, jolla on verkkoluettelo jäseniä. Jos näet näytöllä tämän kaltaisen kuvan, se tarkoittaa, että verkko-ohjain on vastaanottanut liitetyltä solmulta pyynnön vahvistaa verkkoyhteys.
Tälle sivulle jätämme kaiken ennalleen ja seuraa linkkiä IP-määritys siirry sivulle IP-osoitteen määrittämiseksi solmulle:
Kun olet määrittänyt osoitteen, napsauta painiketta takaisin palaa yhdistettyjen solmujen luettelon sivulle ja aseta nimi - Jäsen nimi ja valitse valintaruutu hyväksyäksesi solmun verkossa - valtuutettu. Muuten, tämä valintaruutu on erittäin kätevä tapa katkaista / muodostaa yhteys isäntäverkkoon tulevaisuudessa.
Tallenna muutokset painikkeella virkistää.
Solmun verkkoyhteyden tilan tarkistaminen:
Voit tarkistaa itse solmun yhteyden tilan suorittamalla:
CLI:
Yhdistä loput solmut toistamalla toiminnot 1-5 kullekin niistä.
Solmujen verkkoyhteyksien tarkistaminen
Teen tämän suorittamalla komennon ping laitteella, joka on yhdistetty tällä hetkellä hallitsemaani verkkoon.
Web-GUI-ohjaimen kuvakaappauksessa näet kolme verkkoon kytkettyä solmua:
ZTNCUI – 10.10.10.1 - verkko-ohjaimeni graafisella käyttöliittymällä - VDS yhdessä RuVDS-DC:ssä. Normaalia työtä varten sitä ei tarvitse lisätä verkkoon, mutta tein tämän, koska haluan estää pääsyn verkkokäyttöliittymään ulkopuolelta. Tästä lisää myöhemmin.
MyComp - 10.10.10.2 - Työtietokoneeni on fyysinen tietokone
Varmuuskopiointi - 10.10.10.3 — VDS toisessa DC:ssä.
Siksi tarkistan työtietokoneeltani muiden solmujen saatavuuden komennoilla:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
Käyttäjällä on oikeus käyttää muita työkaluja verkon solmujen saatavuuden tarkistamiseen, sekä käyttöjärjestelmään sisäänrakennettuna että kuten NMAP, Advanced IP Scanner jne.
Yleisesti ottaen voin vähentää todennäköisyyttä luvattomasta pääsystä VDS:ään, jossa verkko-ohjaimeni sijaitsee, käyttämällä henkilökohtaisen RuVDS-tilini palomuuria. Tämä aihe on todennäköisempää erilliselle artikkelille. Siksi näytän tässä, kuinka tarjota pääsy GUI-ohjaimeen vain tässä artikkelissa luomastani verkosta.
Tätä varten sinun on muodostettava yhteys SSH:n kautta VDS:ään, jossa ohjain sijaitsee, ja avattava asetustiedosto komennolla:
nano /opt/key-networks/ztncui/.env
Avatussa tiedostossa sen portin osoitteen sisältävän rivin “HTTPS_PORT=3443” jälkeen, jossa GUI avautuu, sinun on lisättävä ylimääräinen rivi, jossa on osoite, jossa GUI avautuu - minun tapauksessani se on HTTPS_HOST=10.10.10.1 .XNUMX.
Seuraavaksi tallennan tiedoston
Сtrl+C
Y
Enter
ja suorita komento:
systemctl restart ztncui
Ja siinä kaikki, nyt verkko-ohjaimeni graafinen käyttöliittymä on saatavilla vain verkkosolmuille 10.10.10.0.24.
Sen sijaan johtopäätös
Tähän haluan lopettaa ZeroTier-pohjaisten virtuaaliverkkojen luomisen käytännön oppaan ensimmäisen osan. Odotan innolla kommenttejasi.
Sillä välin, jotta kuluisit aikaa seuraavan osan julkaisuun, jossa kerron kuinka yhdistää virtuaalinen verkko fyysiseen verkkoon, kuinka järjestää "road warrior" -tila ja jotain muuta, suosittelen kokeilemaan oman virtuaalisen verkkosi järjestäminen käyttämällä yksityistä verkko-ohjainta, jossa on VDS-pohjainen GUI markkinoilla Online RUVDS. Lisäksi kaikilla uusilla asiakkailla on ilmainen 3 päivän kokeilujakso!
PS. Joo! Melkein unohdin! Voit poistaa solmun verkosta komennolla tämän solmun CLI:ssä.
zerotier-cli leave <Network ID>
200 leave OK
tai Delete-komento solmun asiakaskäyttöliittymässä.