Continuando a historia sobre ZeroTier, a partir da teoría exposta no artigo "", paso á práctica na que:
- Imos crear e configurar un controlador de rede privada
- Imos crear unha rede virtual
- Configuremos e conectemos os nós a el
- Comprobamos a conectividade de rede entre eles
- Imos bloquear o acceso á GUI do controlador de rede desde o exterior
Controlador de rede
Como se mencionou anteriormente, para crear redes virtuais, xestionalas, así como conectar nodos, o usuario necesita un controlador de rede, unha interface gráfica (GUI) para a cal existe en dúas formas:
Opcións da GUI ZeroTier
- Un do desarrollador ZeroTier, dispoñible como solución SaaS de nube pública con catro plans de subscrición, incluído gratuíto, pero limitado no número de dispositivos xestionados e o nivel de soporte.
- O segundo é dun programador independente, algo simplificado en funcións, pero dispoñible como unha solución privada de código aberto para o seu uso local ou recursos na nube.
Na miña práctica, usei os dous e, como resultado, finalmente decidín co segundo. O motivo disto foron as advertencias do desarrollador.
"Os controladores de rede serven como autoridades de certificación para as redes virtuais ZeroTier. Os ficheiros que conteñan chaves secretas do controlador deben estar coidadosamente protexidos e arquivados de forma segura. O seu compromiso permite que atacantes non autorizados creen configuracións de rede fraudulentas, e a súa perda leva á perda da capacidade de controlar e xestionar a rede, facéndoa efectivamente inservible".
→
E tamén, sinais da túa propia paranoia da ciberseguridade :)
- Aínda que chegue Cheburnet, aínda debo ter acceso ao meu controlador de rede;
- Só eu debería usar o controlador de rede. Se é necesario, proporcionando acceso aos seus representantes autorizados;
- Debería ser posible restrinxir o acceso ao controlador de rede desde o exterior.
Neste artigo, non vexo moito sentido pensar por separado sobre como implementar un controlador de rede e a GUI para el en recursos físicos ou virtuais locais. E tamén hai 3 razóns para iso:
- haberá máis cartas das previstas
- sobre isto xa no programador de GUI GitHab
- o tema do artigo trata sobre outra cousa
Polo tanto, escollendo o camiño de menor resistencia, vou utilizar nesta historia un controlador de rede cunha GUI baseada en VDS, creado por , desenvolvido amablemente polos meus compañeiros de RuVDS.
Configuración inicial
Despois de crear un servidor a partir do modelo especificado, o usuario accede ao controlador Web-GUI a través dun navegador accedendo a https:// : 3443
De forma predeterminada, o servidor xa contén un certificado TLS/SSL autoasinado previamente xerado. Isto é suficiente para min, xa que bloqueo o acceso a el desde fóra. Para aqueles que desexen utilizar outro tipo de certificados, hai no programador de GUI GitHab.
Cando o usuario inicia sesión por primeira vez Iniciar sesión con inicio de sesión e contrasinal predeterminados - administrador и contrasinal:
Suxire cambiar o contrasinal predeterminado por un personalizado
Fágoo un pouco diferente: non cambio o contrasinal dun usuario existente, pero creo un novo. Crear usuario.
Definei o nome do novo usuario - Nome de usuario:
Definei un novo contrasinal - Introduce un novo contrasinal:
Confirmo o novo contrasinal - Volve a escribir o contrasinal:
Os caracteres que introduce distinguen entre maiúsculas e minúsculas. Ten coidado!
Caixa de verificación para confirmar o cambio de contrasinal no seguinte inicio de sesión - Cambia o contrasinal no seguinte inicio de sesión: Non o celebro.
Para confirmar os datos introducidos, prema Establecer contrasinal:
Entón: Volvo a iniciar sesión - Saír / Iniciar sesión, xa baixo as credenciais do novo usuario:
A continuación, vou á pestana de usuarios - Usuarios e eliminar o usuario administradorpremendo na icona da papeleira situada á esquerda do seu nome.
No futuro, pode cambiar o contrasinal do usuario facendo clic no seu nome ou no contrasinal definido.
Creación dunha rede virtual
Para crear unha rede virtual, o usuario debe ir á pestana Engadir rede. Dende o punto Usuario isto pódese facer a través da páxina casa — a páxina principal da Web-GUI, que mostra o enderezo ZeroTier deste controlador de rede e contén unha ligazón á páxina para a lista de redes creadas a través del.
Na páxina Engadir rede o usuario asigna un nome á rede recén creada.
Ao aplicar os datos de entrada − Crear Rede o usuario é levado a unha páxina cunha lista de redes, que contén:
Nome da rede — o nome da rede en forma de ligazón, cando fai clic nela pode cambiala
ID de rede - identificador de rede
detalle — ligazón a unha páxina con parámetros de rede detallados
fácil configuración - ligazón á páxina para facilitar a configuración
membros — ligazón á páxina de xestión de nodos
Para máis configuración, siga a ligazón fácil configuración. Na páxina que se abre, o usuario especifica un intervalo de enderezos IPv4 para a rede que se está a crear. Isto pódese facer automaticamente premendo un botón Xerar enderezo de rede ou manualmente introducindo a máscara de rede de rede no campo correspondente CIDR.
Ao confirmar a entrada correcta dos datos, debes volver á páxina coa lista de redes usando o botón Atrás. Neste punto, a configuración básica da rede pódese considerar completa.
Conectando nodos de rede
- En primeiro lugar, o servizo ZeroTier One debe estar instalado no nodo que o usuario quere conectarse á rede.
Que é o ZeroTier One?ZeroTier Uno é un servizo que se executa en portátiles, escritorios, servidores, máquinas virtuais e contedores que proporciona conexións a unha rede virtual a través dun porto de rede virtual, semellante a un cliente VPN.
Unha vez instalado e iniciado o servizo, podes conectarte ás redes virtuais usando os seus enderezos de 16 díxitos. Cada rede aparece como un porto de rede virtual no sistema, que se comporta como un porto Ethernet normal.
Pódense atopar ligazóns a distribucións, así como comandos de instalación .Pode xestionar o servizo instalado a través dun terminal de liña de comandos (CLI) con dereitos de administrador/root. En Windows/MacOS tamén usando unha interface gráfica. En Android/iOS só usando GUI.
- Comprobando o éxito da instalación do servizo:
CLI:
zerotier-cli statusResultado:
200 info ebf416fac1 1.4.6 ONLINE
GUI:O feito mesmo de que a aplicación estea executando e a presenza nela dunha liña con ID de nodo co enderezo do nodo.
- Conectando un nodo á rede:
CLI:
zerotier-cli join <Network ID>Resultado:
200 join OKGUI:
Windows: fai clic co botón dereito na icona ZeroTier Uno na bandexa do sistema e seleccionando o elemento - Únete á rede.
macOS: Inicie a aplicación ZeroTier Uno no menú da barra, se aínda non se lanzou. Fai clic na icona ⏁ e selecciona Únete á rede.Android/iOS: + (máis imaxe) na aplicación
No campo que aparece, introduza o controlador de rede especificado na GUI ID de rede, e prema Únete/Engadir rede. - Asignar un enderezo IP a un host
Agora volvemos ao controlador de rede e na páxina cunha lista de redes seguimos a ligazón membros. Se ves unha imaxe semellante a esta na pantalla, significa que o teu controlador de rede recibiu unha solicitude para confirmar a conexión á rede desde o nodo conectado.
Nesta páxina deixamos todo como está polo momento e seguimos o enlace Asignación de IP vai á páxina para asignar un enderezo IP ao nodo:
Despois de asignar o enderezo, fai clic no botón de volta volver á páxina da lista de nós conectados e establecer o nome - Nome do membro e marque a caixa de verificación para autorizar o nodo na rede - Autorizado. Por certo, esta caixa de verificación é unha cousa moi conveniente para desconectarse/conectarse da rede host no futuro.
Garda os cambios usando o botón refrescar. - Comprobando o estado de conexión do nodo á rede:
Para comprobar o estado da conexión no propio nodo, execute:
CLI:zerotier-cli listnetworksResultado:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:O estado da rede debería estar correcto
Para conectar os nodos restantes, repita as operacións 1-5 para cada un deles.
Comprobación da conectividade de rede dos nodos
Fago isto executando o comando ping no dispositivo conectado á rede que estou xestionando actualmente.
Na captura de pantalla do controlador Web-GUI podes ver tres nodos conectados á rede:
- ZTNCUI - 10.10.10.1 - o meu controlador de rede con GUI - VDS nun dos DCs RuVDS. Para o traballo normal non é necesario engadilo á rede, pero fíxeno porque quero bloquear o acceso á interface web desde fóra. Máis sobre isto despois.
- MyComp - 10.10.10.2 - o meu ordenador de traballo é un ordenador físico
- Copia de seguranza - 10.10.10.3 — VDS noutro DC.
Polo tanto, dende o meu ordenador de traballo comprobo a dispoñibilidade doutros nodos cos comandos:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
O usuario ten dereito a utilizar outras ferramentas para comprobar a dispoñibilidade de nodos na rede, tanto integradas no SO como NMAP, Advanced IP Scanner, etc.
Ocultamos o acceso á GUI do controlador de rede desde o exterior.
En xeral, podo reducir a probabilidade de acceso non autorizado ao VDS no que se atopa o controlador de rede mediante un firewall na miña conta persoal de RuVDS. Este tema é máis probable para un artigo separado. Polo tanto, aquí mostrarei como proporcionar acceso ao controlador GUI só desde a rede que creei neste artigo.
Para iso, cómpre conectarse mediante SSH ao VDS no que se atopa o controlador e abrir o ficheiro de configuración mediante o comando:
nano /opt/key-networks/ztncui/.envNo ficheiro aberto, despois da liña "HTTPS_PORT=3443" que contén o enderezo do porto no que se abre a GUI, cómpre engadir unha liña adicional co enderezo no que se abrirá a GUI; no meu caso, é HTTPS_HOST=10.10.10.1. .XNUMX.
A continuación gardarei o ficheiro
Сtrl+C
Y
Enter
e executa o comando:
systemctl restart ztncuiE iso é todo, agora a GUI do meu controlador de rede só está dispoñible para os nós de rede 10.10.10.0.24.
En vez de unha conclusión
Aquí é onde quero rematar a primeira parte da guía práctica para crear redes virtuais baseadas en ZeroTier. Espero os teus comentarios.
Mentres tanto, para pasar o tempo ata a publicación da seguinte parte, na que vos contarei como combinar unha rede virtual cunha física, como organizar un modo “guerreiro de estrada” e outra cousa, suxírovos que probedes. organizar a súa propia rede virtual mediante un controlador de rede privada con GUI baseado en VDS desde o mercado RUVDS. Ademais, todos os novos clientes teñen un período de proba gratuíto de 3 días.
PS Si! Case me esquezo! Pode eliminar un nodo da rede mediante un comando na CLI deste nodo.
zerotier-cli leave <Network ID>
200 leave OK
ou o comando Eliminar na GUI do cliente no nodo.
->
->
->
Fonte: www.habr.com