🥇 Voimanlähteenä ZeroTier. Käytännön opas virtuaaliverkkojen rakentamiseen. Osa 1

Jatkaen tarinaa ZeroTierista artikkelissa esitetystä teoriasta "Älykäs Ethernet-kytkin Planet Earthille", siirryn harjoitukseen, jossa:

Luodaan ja määritetään yksityinen verkko-ohjain
Luodaan virtuaalinen verkko
Määritetään ja yhdistetään solmut siihen
Tarkastetaan niiden välinen verkkoyhteys
Estetään pääsy verkko-ohjaimen graafiseen käyttöliittymään ulkopuolelta

Verkko-ohjain

Kuten aiemmin mainittiin, virtuaalisten verkkojen luomiseen, hallintaan ja solmujen yhdistämiseen käyttäjä tarvitsee verkko-ohjaimen, graafisen käyttöliittymän (GUI), jolle on olemassa kahdessa muodossa:

ZeroTier GUI-asetukset

Yksi kehittäjältä ZeroTier, saatavilla julkisena pilvi SaaS-ratkaisuna neljällä tilaussopimuksella, mukaan lukien ilmainen, mutta rajoitettu määrä hallittujen laitteiden ja tukitason suhteen
Toinen on riippumattomalta kehittäjältä, toiminnaltaan hieman yksinkertaistettu, mutta se on saatavana yksityisenä avoimen lähdekoodin ratkaisuna käytettäväksi paikan päällä tai pilviresursseissa.

Käytän harjoituksissani molempia ja sen seurauksena päädyin lopulta toiseen. Syynä tähän olivat kehittäjän varoitukset.

”Verkkoohjaimet toimivat ZeroTier-virtuaaliverkkojen sertifiointiviranomaisina. Ohjaimen salaisia avaimia sisältävät tiedostot on suojattava huolellisesti ja arkistoitava turvallisesti. Heidän kompromissinsa ansiosta luvattomat hyökkääjät voivat luoda vilpillisiä verkkokokoonpanoja, ja niiden menettäminen johtaa verkon hallinnan ja hallinnan kyvyn menettämiseen, mikä tekee siitä käytännössä käyttökelvottoman."

→ Linkki dokumentaatioon

Ja myös merkkejä omasta kyberturvallisuusparanoiastasi :)

Vaikka Cheburnet tulee, minulla on silti oltava pääsy verkko-ohjaimeen;
Vain minun pitäisi käyttää verkko-ohjainta. Tarvittaessa pääsyn tarjoaminen valtuutetuille edustajillesi;
Pääsy verkko-ohjaimeen pitäisi olla mahdollista rajoittaa ulkopuolelta.

Tässä artikkelissa en näe paljon järkeä pohtia erikseen verkko-ohjaimen ja sen graafisen käyttöliittymän käyttöönottoa paikan päällä oleviin fyysisiin tai virtuaalisiin resursseihin. Ja tähän on myös kolme syytä:

kirjeitä tulee enemmän kuin suunniteltu
tästä jo kertoi GUI-kehittäjä GitHabissa
artikkelin aihe koskee jotain muuta

Siksi, valitessaan pienimmän vastuksen polun, käytän tässä tarinassa verkko-ohjainta VDS-pohjaisella graafisella käyttöliittymällä, jonka on luonut mallista, jonka ovat ystävällisesti kehittäneet kollegani RuVDS:stä.

Alkuasennus

Kun palvelin on luotu määritetystä mallista, käyttäjä pääsee Web-GUI-ohjaimeen selaimen kautta käyttämällä https:// :3443

Oletuksena palvelin sisältää jo valmiiksi luodun itse allekirjoitetun TLS/SSL-varmenteen. Tämä riittää minulle, koska estän pääsyn siihen ulkopuolelta. Niille, jotka haluavat käyttää muun tyyppisiä varmenteita, on olemassa asennusohjeet GUI-kehittäjä GitHabissa.

Kun käyttäjä kirjautuu sisään ensimmäisen kerran Kirjaudu oletuskirjautumistunnuksella ja salasanalla - admin и salasana:

Se ehdottaa oletussalasanan vaihtamista mukautettuun salasanaan

Teen sen hieman eri tavalla - en vaihda olemassa olevan käyttäjän salasanaa, vaan luon uuden - Luo käyttäjä.

Asetin uuden käyttäjän nimen - Käyttäjätunnus:
Asetin uuden salasanan - Syötä uusi salasana:
Vahvistan uuden salasanan - Kirjoita salasana uudelleen:

Syöttämäsi merkit erottelevat isot ja pienet kirjaimet – ole varovainen!

Valintaruutu vahvistaaksesi salasanan muutoksen seuraavan kirjautumisen yhteydessä - Vaihda salasana seuraavalla kirjautumiskerralla: En juhli.

Vahvista syötetyt tiedot painamalla Aseta salasana:

Sitten: kirjaudun uudelleen - Kirjaudu ulos / Kirjaudu, jo uuden käyttäjän tunnistetietojen alla:

Seuraavaksi siirryn Käyttäjät-välilehteen - käyttäjät ja poista käyttäjä adminnapsauttamalla hänen nimensä vasemmalla puolella olevaa roskakorikuvaketta.

Jatkossa voit vaihtaa käyttäjän salasanan napsauttamalla joko hänen nimeään tai asetettua salasanaa.

Virtuaaliverkon luominen

Virtuaaliverkon luomiseksi käyttäjän on siirryttävä välilehteen Lisää verkko. Kohdasta käyttäjä tämä voidaan tehdä sivun kautta Koti — Web-GUI:n pääsivu, joka näyttää tämän verkko-ohjaimen ZeroTier-osoitteen ja sisältää linkin sen kautta luotujen verkkojen luettelon sivulle.

Sivulla Lisää verkko käyttäjä antaa nimen juuri luodulle verkolle.

Käytettäessä syöttötietoja − Luo verkko käyttäjä ohjataan sivulle, jossa on verkkoluettelo, joka sisältää:

Verkon nimi - verkon nimi linkin muodossa, jota napsauttamalla voit muuttaa sitä
Verkon tunnus — verkon tunniste
yksityiskohta — linkki sivulle, jolla on yksityiskohtaiset verkkoparametrit
helppo asennus - linkki sivulle asennuksen helpottamiseksi
jäseniä — linkki solmunhallintasivulle

Katso lisäasetukset linkistä helppo asennus. Käyttäjä määrittää avautuvalla sivulla IPv4-osoitteita luotavalle verkolle. Tämä voidaan tehdä automaattisesti painamalla painiketta Luo verkko-osoite tai manuaalisesti kirjoittamalla verkon verkon peite asianmukaiseen kenttään CIDR.

Kun vahvistat onnistuneen tiedon syöttämisen, sinun on palattava verkkoluettelosivulle Takaisin-painikkeella. Tässä vaiheessa verkon perusasetusta voidaan pitää valmiina.

Verkkosolmujen yhdistäminen

Ensin ZeroTier One -palvelu on asennettava solmuun, jonka käyttäjä haluaa muodostaa yhteyden verkkoon.
Mikä on ZeroTier One?ZeroTier One on kannettavissa tietokoneissa, pöytäkoneissa, palvelimissa, virtuaalikoneen ja säilöissä toimiva palvelu, joka tarjoaa yhteydet virtuaaliverkkoon virtuaalisen verkkoportin kautta, kuten VPN-asiakas.

Kun palvelu on asennettu ja käynnistynyt, voit muodostaa yhteyden virtuaaliverkkoihin niiden 16-numeroisilla osoitteilla. Jokainen verkko näkyy järjestelmässä virtuaalisena verkkoporttina, joka toimii aivan kuten tavallinen Ethernet-portti.
Linkkejä jakeluihin sekä asennuskomentoihin löytyy valmistajan sivulla.

Voit hallita asennettua palvelua komentorivipäätteen (CLI) kautta, jolla on admin/root-oikeudet. Windows/MacOS-käyttöjärjestelmässä myös graafinen käyttöliittymä. Android/iOS vain graafisella käyttöliittymällä.
Palvelun asennuksen onnistumisen tarkistaminen:
CLI:
```
zerotier-cli status
```
Результат:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Itse se tosiasia, että sovellus on käynnissä ja siinä on rivi solmutunnuksella ja solmun osoite.
Solmun liittäminen verkkoon:
CLI:
```
zerotier-cli join <Network ID>
```
Результат:

200 join OK

GUI:

Windows: napsauta kuvaketta hiiren kakkospainikkeella ZeroTier One ilmaisinalueella ja valitsemalla kohteen - Liity verkkoon.

MacOS: Käynnistä sovellus ZeroTier One palkkivalikossa, ellei sitä ole jo käynnistetty. Napsauta ⏁-kuvaketta ja valitse Liity verkkoon.

Android/iOS: + (plus kuva) sovelluksessa

Kirjoita näyttöön tulevaan kenttään graafisessa käyttöliittymässä määritetty verkko-ohjain Verkon tunnus, ja paina Liity/Lisää verkko.
IP-osoitteen antaminen isännälle
Nyt palaamme verkko-ohjaimeen ja seuraa linkkiä sivulla, jolla on verkkoluettelo jäseniä. Jos näet näytöllä tämän kaltaisen kuvan, se tarkoittaa, että verkko-ohjain on vastaanottanut liitetyltä solmulta pyynnön vahvistaa verkkoyhteys.

Tälle sivulle jätämme kaiken ennalleen ja seuraa linkkiä IP-määritys siirry sivulle IP-osoitteen määrittämiseksi solmulle:

Kun olet määrittänyt osoitteen, napsauta painiketta takaisin palaa yhdistettyjen solmujen luettelon sivulle ja aseta nimi - Jäsen nimi ja valitse valintaruutu hyväksyäksesi solmun verkossa - valtuutettu. Muuten, tämä valintaruutu on erittäin kätevä tapa katkaista / muodostaa yhteys isäntäverkkoon tulevaisuudessa.

Tallenna muutokset painikkeella virkistää.
Solmun verkkoyhteyden tilan tarkistaminen:
Voit tarkistaa itse solmun yhteyden tilan suorittamalla:
CLI:
```
zerotier-cli listnetworks
```
Результат:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Verkon tilan pitäisi olla kunnossa

Yhdistä loput solmut toistamalla toiminnot 1-5 kullekin niistä.

Solmujen verkkoyhteyksien tarkistaminen

Teen tämän suorittamalla komennon ping laitteella, joka on yhdistetty tällä hetkellä hallitsemaani verkkoon.

Web-GUI-ohjaimen kuvakaappauksessa näet kolme verkkoon kytkettyä solmua:

ZTNCUI – 10.10.10.1 - verkko-ohjaimeni graafisella käyttöliittymällä - VDS yhdessä RuVDS-DC:ssä. Normaalia työtä varten sitä ei tarvitse lisätä verkkoon, mutta tein tämän, koska haluan estää pääsyn verkkokäyttöliittymään ulkopuolelta. Tästä lisää myöhemmin.
MyComp - 10.10.10.2 - Työtietokoneeni on fyysinen tietokone
Varmuuskopiointi - 10.10.10.3 — VDS toisessa DC:ssä.

Siksi tarkistan työtietokoneeltani muiden solmujen saatavuuden komennoilla:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Käyttäjällä on oikeus käyttää muita työkaluja verkon solmujen saatavuuden tarkistamiseen, sekä käyttöjärjestelmään sisäänrakennettuna että kuten NMAP, Advanced IP Scanner jne.

Piilotamme pääsyn verkko-ohjaimen graafiseen käyttöliittymään ulkopuolelta.

Yleisesti ottaen voin vähentää todennäköisyyttä luvattomasta pääsystä VDS:ään, jossa verkko-ohjaimeni sijaitsee, käyttämällä henkilökohtaisen RuVDS-tilini palomuuria. Tämä aihe on todennäköisempää erilliselle artikkelille. Siksi näytän tässä, kuinka tarjota pääsy GUI-ohjaimeen vain tässä artikkelissa luomastani verkosta.

Tätä varten sinun on muodostettava yhteys SSH:n kautta VDS:ään, jossa ohjain sijaitsee, ja avattava asetustiedosto komennolla:

nano /opt/key-networks/ztncui/.env

Avatussa tiedostossa sen portin osoitteen sisältävän rivin “HTTPS_PORT=3443” jälkeen, jossa GUI avautuu, sinun on lisättävä ylimääräinen rivi, jossa on osoite, jossa GUI avautuu - minun tapauksessani se on HTTPS_HOST=10.10.10.1 .XNUMX.

Seuraavaksi tallennan tiedoston

Сtrl+C Y Enter

ja suorita komento:

systemctl restart ztncui

Ja siinä kaikki, nyt verkko-ohjaimeni graafinen käyttöliittymä on saatavilla vain verkkosolmuille 10.10.10.0.24.

Sen sijaan johtopäätös

Tähän haluan lopettaa ZeroTier-pohjaisten virtuaaliverkkojen luomisen käytännön oppaan ensimmäisen osan. Odotan innolla kommenttejasi.

Sillä välin, jotta kuluisit aikaa seuraavan osan julkaisuun, jossa kerron kuinka yhdistää virtuaalinen verkko fyysiseen verkkoon, kuinka järjestää "road warrior" -tila ja jotain muuta, suosittelen kokeilemaan oman virtuaalisen verkkosi järjestäminen käyttämällä yksityistä verkko-ohjainta, jossa on VDS-pohjainen GUI markkinoilla Online RUVDS. Lisäksi kaikilla uusilla asiakkailla on ilmainen 3 päivän kokeilujakso!

PS. Joo! Melkein unohdin! Voit poistaa solmun verkosta komennolla tämän solmun CLI:ssä.

zerotier-cli leave <Network ID>

200 leave OK

tai Delete-komento solmun asiakaskäyttöliittymässä.

-> Johdanto. Teoreettinen osa. Älykäs Ethernet-kytkin Planet Earthille
-> Käytännön opas virtuaaliverkkojen rakentamiseen. Osa 1
-> Käytännön opas virtuaaliverkkojen rakentamiseen. Osa 2

Lähde: will.com

Powered by ZeroTier. Käytännön opas virtuaaliverkkojen rakentamiseen. Osa 1