Propulsé par ZeroTier. Un guide pratique pour créer des réseaux virtuels. Partie 1

Poursuite de l'histoire de ZeroTier, à partir de la théorie décrite dans l'article «Switch Ethernet intelligent pour la planète Terre", je passe à une pratique dans laquelle :

• Créons et configurons un contrôleur de réseau privé
• Créons un réseau virtuel
• Configurons et connectons-y des nœuds
• Vérifions la connectivité réseau entre eux
• Bloqueons l'accès à l'interface graphique du contrôleur réseau depuis l'extérieur

Contrôleur réseau

Comme mentionné précédemment, pour créer des réseaux virtuels, les gérer, ainsi que connecter des nœuds, l'utilisateur a besoin d'un contrôleur réseau, dont une interface graphique (GUI) existe sous deux formes :

Options d'interface graphique ZeroTier

• Celui du développeur ZeroTier, disponible sous forme de solution SaaS de cloud public avec quatre plans d'abonnement, dont gratuit, mais limité en nombre d'appareils gérés et en niveau de support
• La seconde provient d'un développeur indépendant, aux fonctionnalités quelque peu simplifiées, mais disponible en tant que solution open source privée pour une utilisation sur site ou sur des ressources cloud.

Dans ma pratique, j’ai utilisé les deux et j’ai finalement opté pour le second. La raison en était les avertissements du développeur.

« Les contrôleurs de réseau servent d'autorités de certification pour les réseaux virtuels ZeroTier. Les fichiers contenant les clés secrètes du contrôleur doivent être soigneusement gardés et archivés en toute sécurité. Leur compromission permet à des attaquants non autorisés de créer des configurations réseau frauduleuses, et leur perte entraîne la perte de la capacité de contrôler et de gérer le réseau, le rendant ainsi inutilisable. »

→ Lien vers la documentation

Et aussi, des signes de votre propre paranoïa en matière de cybersécurité :) 

• Même si Cheburnet arrive, je dois toujours avoir accès à mon contrôleur réseau ;
• Seulement, je devrais utiliser le contrôleur réseau. Si nécessaire, donner accès à vos représentants autorisés ;
• Il devrait être possible de restreindre l'accès au contrôleur réseau depuis l'extérieur.

Dans cet article, je ne vois pas l'intérêt de s'attarder séparément sur la façon de déployer un contrôleur réseau et son interface graphique sur des ressources physiques ou virtuelles sur site. Et il y a aussi 3 raisons à cela : 

• il y aura plus de lettres que prévu
• déjà à ce sujet dit sur le développeur GUI GitHab
• le sujet de l'article parle d'autre chose

Par conséquent, en choisissant la voie de moindre résistance, j'utiliserai dans cette histoire un contrôleur réseau avec une interface graphique basée sur VDS, créé par à partir du modèle, aimablement développé par mes collègues de RuVDS.

La configuration initiale

Après avoir créé un serveur à partir du modèle spécifié, l'utilisateur accède au contrôleur Web-GUI via un navigateur en accédant à https:// :3443

Par défaut, le serveur contient déjà un certificat TLS/SSL auto-signé pré-généré. Cela me suffit, puisque j'en bloque l'accès depuis l'extérieur. Pour ceux qui souhaitent utiliser d'autres types de certificats, il existe instructions d'installation sur le développeur GUI GitHab.

Lorsque l'utilisateur se connecte pour la première fois Se connecter avec login et mot de passe par défaut - admin и :

Il suggère de changer le mot de passe par défaut en un mot de passe personnalisé

Je le fais un peu différemment - je ne change pas le mot de passe d'un utilisateur existant, mais j'en crée un nouveau - Créer un utilisateur.

J'ai défini le nom du nouvel utilisateur - Nom d'utilisateur ( Ou : Nom d'épouse ):
J'ai défini un nouveau mot de passe - Entrez un nouveau mot de passe: 
Je confirme le nouveau mot de passe - Retaper le mot de passe:

Les caractères que vous saisissez sont sensibles à la casse – soyez prudent !

Case à cocher pour confirmer le changement de mot de passe lors de la prochaine connexion - Changer le mot de passe lors de la prochaine connexion : Je ne fais pas la fête. 

Pour confirmer les données saisies, appuyez sur Définir mot de passe:

Puis : je me reconnecte - Déconnexion / Se connecter, déjà sous les identifiants du nouvel utilisateur :

Ensuite, je vais dans l'onglet utilisateurs - Utilisateurs et supprimez l'utilisateur adminen cliquant sur l'icône poubelle située à gauche de son nom.

À l’avenir, vous pourrez modifier le mot de passe de l’utilisateur en cliquant soit sur son nom, soit sur le mot de passe défini.

Créer un réseau virtuel

Pour créer un réseau virtuel, l'utilisateur doit se rendre dans l'onglet Ajouter un réseau. Du point L'Utilisateur cela peut être fait via la page Home — la page principale de l'interface graphique Web, qui affiche l'adresse ZeroTier de ce contrôleur réseau et contient un lien vers la page de la liste des réseaux créés via celui-ci.

Sur la page Ajouter un réseau l'utilisateur attribue un nom au réseau nouvellement créé.

Lors de l'application des données d'entrée - Créer un réseau l'utilisateur est redirigé vers une page avec une liste de réseaux, qui contient : 

Nom de réseau — le nom du réseau sous forme de lien, lorsque vous cliquez dessus vous pouvez le modifier 
ID de réseau — identifiant du réseau
détail — lien vers une page avec les paramètres réseau détaillés
installation facile - lien vers la page pour une configuration facile
membres — lien vers la page de gestion des nœuds

Pour une configuration plus approfondie, suivez le lien installation facile. Sur la page qui s'ouvre, l'utilisateur précise une plage d'adresses IPv4 pour le réseau en cours de création. Cela peut être fait automatiquement en appuyant sur un bouton Générer une adresse réseau ou manuellement en saisissant le masque de réseau du réseau dans le champ approprié CIDR.

Après avoir confirmé la saisie réussie des données, vous devez revenir à la page avec la liste des réseaux à l'aide du bouton Retour. À ce stade, la configuration de base du réseau peut être considérée comme terminée.

Connexion des nœuds du réseau

1. Tout d'abord, le service ZeroTier One doit être installé sur le nœud que l'utilisateur souhaite connecter au réseau.

   Qu’est-ce que ZeroTier One ?Zéro niveau un est un service fonctionnant sur des ordinateurs portables, des ordinateurs de bureau, des serveurs, des machines virtuelles et des conteneurs qui fournit des connexions à un réseau virtuel via un port réseau virtuel, similaire à un client VPN. 

   Une fois le service installé et démarré, vous pouvez vous connecter aux réseaux virtuels en utilisant leurs adresses à 16 chiffres. Chaque réseau apparaît comme un port réseau virtuel sur le système, qui se comporte comme un port Ethernet classique.
   Des liens vers les distributions, ainsi que des commandes d'installation, peuvent être trouvés sur la page du fabricant.

   Vous pouvez gérer le service installé via un terminal de ligne de commande (CLI) avec des droits d'administrateur/root. Sous Windows/MacOS utilisant également une interface graphique. Sous Android/iOS uniquement en utilisant l'interface graphique.

2. Vérification du succès de l'installation du service :

   CLI :

   zerotier-cli status

   Résultat: 

   200 info ebf416fac1 1.4.6 ONLINE
   GUI:

   Le fait même que l'application soit en cours d'exécution et la présence d'une ligne avec Node ID avec l'adresse du nœud.

3. Connexion d'un nœud au réseau :

   CLI :

   zerotier-cli join <Network ID>

   Résultat: 

   200 join OK

   GUI:

   Windows: faites un clic droit sur l'icône Zéro niveau un dans la barre d'état système et en sélectionnant l'élément - Rejoindre le réseau.

   
   MacOS: Exécuter l'application Zéro niveau un dans le menu de la barre, s'il n'est pas déjà lancé. Cliquez sur l'icône ⏁ et sélectionnez Rejoindre le réseau.

   Android/iOS : + (plus image) dans l'application

   
   Dans le champ qui apparaît, entrez le contrôleur réseau spécifié dans l'interface graphique ID de réseau, et appuyez sur Rejoindre/Ajouter un réseau.

4. Attribuer une adresse IP à un hôte
   Revenons maintenant au contrôleur de réseau et sur la page avec une liste de réseaux suivez le lien membres. Si vous voyez une image similaire à celle-ci sur l'écran, cela signifie que votre contrôleur réseau a reçu une demande de confirmation de la connexion au réseau depuis le nœud connecté.

   
   Sur cette page, nous laissons tout tel quel pour l'instant et suivons le lien Attribution IP rendez-vous sur la page d'attribution d'une adresse IP au nœud :

   
   Après avoir attribué l'adresse, cliquez sur le bouton Retour revenez à la page de la liste des nœuds connectés et définissez le nom - Nom de membre et cochez la case pour autoriser le nœud sur le réseau - Autorisé. À propos, cette case à cocher est très pratique pour se déconnecter/se connecter du réseau hôte à l'avenir.

   
   Enregistrez les modifications à l'aide du bouton Refresh.

5. Vérification de l'état de connexion du nœud au réseau :
   Pour vérifier l'état de la connexion sur le nœud lui-même, exécutez :
   CLI :

   zerotier-cli listnetworks

   Résultat:

   200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
   GUI:

   L'état du réseau devrait être OK

   Pour connecter les nœuds restants, répétez les opérations 1 à 5 pour chacun d'eux.

Vérification de la connectivité réseau des nœuds

Je fais cela en exécutant la commande pinger sur l'appareil connecté au réseau que je gère actuellement.

Dans la capture d'écran du contrôleur Web-GUI, vous pouvez voir trois nœuds connectés au réseau :

1. ZTNCUI - 10.10.10.1 - mon contrôleur réseau avec GUI - VDS dans l'un des DC RuVDS. Pour un travail normal, il n'est pas nécessaire de l'ajouter au réseau, mais je l'ai fait parce que je souhaite bloquer l'accès à l'interface Web de l'extérieur. Nous en reparlerons plus tard. 
2. MonComp - 10.10.10.2 - mon ordinateur de travail est un PC physique
3. Sauvegarde - 10.10.10.3 — VDS dans un autre DC.

Par conséquent, depuis mon ordinateur de travail, je vérifie la disponibilité des autres nœuds avec les commandes :

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Statistiques Ping pour 10.10.10.1:
    Paquets: Envoyés = 4, Reçus = 4, Lost = 0 (perte de 0%),
Temps aller-retour approximatifs en millisecondes:
    Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Statistiques Ping pour 10.10.10.3:
    Paquets: Envoyés = 4, Reçus = 4, Lost = 0 (perte de 0%),
Temps aller-retour approximatifs en millisecondes:
    Minimum = 4ms, Maximum = 15ms, Average = 7ms

L'utilisateur a le droit d'utiliser d'autres outils pour vérifier la disponibilité des nœuds sur le réseau, à la fois intégrés au système d'exploitation et tels que NMAP, Advanced IP Scanner, etc.

Nous masquons l'accès à l'interface graphique du contrôleur réseau de l'extérieur.

En général, je peux réduire le risque d'accès non autorisé au VDS sur lequel se trouve mon contrôleur réseau en utilisant un pare-feu dans mon compte personnel RuVDS. Ce sujet est plus susceptible de faire l'objet d'un article séparé. Par conséquent, je vais montrer ici comment fournir l'accès au contrôleur GUI uniquement à partir du réseau que j'ai créé dans cet article.

Pour cela, vous devez vous connecter via SSH au VDS sur lequel se trouve le contrôleur et ouvrir le fichier de configuration à l'aide de la commande :

nano /opt/key-networks/ztncui/.env

Dans le fichier ouvert, après la ligne "HTTPS_PORT=3443" contenant l'adresse du port sur lequel l'interface graphique s'ouvre, vous devez ajouter une ligne supplémentaire avec l'adresse à laquelle l'interface graphique s'ouvrira - dans mon cas, c'est HTTPS_HOST=10.10.10.1 .XNUMX. 

Ensuite, je vais enregistrer le fichier

Сtrl+C
Y
Enter 

et exécutez la commande :

systemctl restart ztncui

Et voilà, désormais l'interface graphique de mon contrôleur réseau n'est disponible que pour les nœuds réseau 10.10.10.0.24.

Au lieu d'une conclusion 

C'est ici que je souhaite terminer la première partie du guide pratique de création de réseaux virtuels basés sur ZeroTier. J'attends tes commentaires avec impatience. 

En attendant, pour passer le temps jusqu'à la publication de la prochaine partie, dans laquelle je vous expliquerai comment combiner un réseau virtuel avec un réseau physique, comment organiser un mode « road Warrior » et autre chose, je vous propose d'essayer organiser votre propre réseau virtuel à l'aide d'un contrôleur de réseau privé avec une interface graphique basée sur VDS du marché sur En ligne RUVDS. De plus, tous les nouveaux clients bénéficient d’une période d’essai gratuite de 3 jours !

PS Oui! J'ai presque oublié! Vous pouvez supprimer un nœud du réseau à l'aide d'une commande dans la CLI de ce nœud.

zerotier-cli leave <Network ID>

200 leave OK

ou la commande Supprimer dans l'interface graphique client sur le nœud.

-> Introduction. Partie théorique. Switch Ethernet intelligent pour la planète Terre
-> Un guide pratique pour créer des réseaux virtuels. Partie 1
-> Un guide pratique pour créer des réseaux virtuels. Partie 2

Source: habr.com