Powered by ZeroTier. Yon gid pratik pou konstwi rezo vityèl. Pati 1

Kontinye istwa a sou ZeroTier, ki soti nan teyori ki dekri nan atik la "Smart Ethernet switch pou planèt Latè", mwen ale nan pratik nan ki:

• Ann kreye ak konfigirasyon yon kontwolè rezo prive
• Ann kreye yon rezo vityèl
• Ann konfigirasyon epi konekte nœuds nan li
• Ann tcheke koneksyon rezo a ant yo
• Ann bloke aksè a entèfas kontwolè rezo a soti deyò

Kontwolè rezo

Kòm mansyone pi bonè, yo kreye rezo vityèl, jere yo, osi byen ke konekte nœuds, itilizatè a bezwen yon kontwolè rezo, yon koòdone grafik (GUI) pou ki egziste nan de fòm:

Opsyon GUI ZeroTier

• Youn nan pwomotè ZeroTier, ki disponib kòm yon solisyon SaaS nwaj piblik ak kat plan abònman, ki gen ladan gratis, men limite nan kantite aparèy jere ak nivo sipò.
• Dezyèm lan se soti nan yon pwomotè endepandan, yon ti jan senplifye nan fonksyonalite, men ki disponib kòm yon solisyon prive louvri sous pou itilize sou lokal oswa sou resous nwaj yo.

Nan pratik mwen an, mwen te itilize tou de e kòm yon rezilta, mwen finalman rezoud sou dezyèm lan. Rezon ki fè sa a te avètisman pwomotè a.

“Kontwòl rezo yo sèvi kòm otorite sètifikasyon pou rezo vityèl ZeroTier. Dosye ki gen kle sekrè kontwolè yo dwe byen siveye epi yo dwe achive byen. Konpwomi yo pèmèt atakè san otorizasyon yo kreye konfigirasyon rezo fwod, epi pèt yo mennen nan pèt nan kapasite nan kontwole ak jere rezo a, efektivman rann li inutilisab."

→ Link ak dokimantasyon

Epi tou, siy pwòp paranoya cybersecurity ou :)

• Menm si Cheburnet vini, mwen dwe toujou gen aksè a kontwolè rezo mwen an;
• Se sèlman mwen ta dwe itilize kontwolè rezo a. Si sa nesesè, bay aksè a reprezantan otorize ou yo;
• Li ta dwe posib pou limite aksè nan kontwolè rezo a soti deyò.

Nan atik sa a, mwen pa wè anpil pwen nan abitasyon separeman sou ki jan yo deplwaye yon kontwolè rezo ak entèfas a pou li sou resous fizik oswa vityèl sou lokal. Epi gen 3 rezon tou pou sa:

• pral gen plis lèt pase sa te planifye
• sou sa deja te di sou GUI devlope GitHab
• sijè atik la se sou yon lòt bagay

Se poutèt sa, lè m chwazi chemen ki gen mwens rezistans lan, m ap itilize nan naratif sa a yon kontwolè rezo ak yon koòdone grafik ki baze sou VDS, kreye soti nan modèl, devlope avèk jantiyès pa kòlèg mwen yo nan ProHoster.

Premye konfigirasyon

Apre kreyasyon sèvè Apati modèl espesifye a, itilizatè a jwenn aksè nan kontwolè Web-GUI a atravè yon navigatè lè li jwenn aksè nan adrès http:// :3443

Pa default sèvè deja gen yon sètifika TLS/SSL pre-pwodui ki siyen poukont li. Sa sifi pou mwen, paske mwen pa pèmèt aksè ekstèn ladan l. Pou moun ki vle itilize lòt kalite sètifika, genyen enstriksyon enstalasyon yo sou GUI devlope GitHab.

Lè itilizatè a konekte pou premye fwa Kenekte ak login default ak modpas - admin и modpas:

Li sijere chanje modpas la default nan yon sèl koutim

Mwen fè li yon ti jan diferan - mwen pa chanje modpas yon itilizatè ki egziste deja, men mwen kreye yon nouvo - Kreye Itilizatè.

Mwen mete non nouvo itilizatè a - Non itilazatè:
Mwen mete yon nouvo modpas - Antre nouvo modpas:
Mwen konfime nouvo modpas la - Re-antre modpas:

Karaktè ou antre yo dispozisyon majiskil - fè atansyon!

Case pou konfime chanjman modpas nan pwochen koneksyon - Chanje modpas sou pwochen koneksyon: Mwen pa fete.

Pou konfime done yo antre, peze Mete modpas:

Lè sa a: Mwen re-konekte - Dekonekte / Kenekte, deja anba kalifikasyon nouvo itilizatè a:

Apre sa, mwen ale nan tab itilizatè yo - Itilizatè yo epi efase itilizatè a adminpa klike sou ikòn fatra a ki sitiye sou bò gòch la nan non li.

Nan tan kap vini an, ou ka chanje modpas itilizatè a pa klike swa sou non li oswa sou modpas mete.

Kreye yon rezo vityèl

Pou kreye yon rezo vityèl, itilizatè a bezwen ale nan tab la Ajoute rezo a. Soti nan pwen Itilizatè sa ka fèt atravè paj la Akèy — paj prensipal Web-GUI a, ki montre adrès ZeroTier kontwolè rezo sa a epi ki gen yon lyen ki mennen nan paj la pou lis rezo yo kreye atravè li.

Nan paj la Ajoute rezo a itilizatè a bay yon non rezo ki fèk kreye a.

Lè w ap aplike done yo antre − Kreye rezo itilizatè a mennen nan yon paj ki gen yon lis rezo, ki genyen:

Non rezo a — non rezo a nan fòm yon lyen, lè w klike sou li ou ka chanje li
Rezo ID - idantifyan rezo
detay — lyen nan yon paj ki gen paramèt rezo detaye
konfigirasyon fasil - lyen nan paj pou konfigirasyon fasil
manm - lyen nan paj la jesyon ne

Pou plis konfigirasyon swiv lyen an konfigirasyon fasil. Nan paj la ki louvri, itilizatè a espesifye yon seri adrès IPv4 pou rezo a ke yo te kreye. Sa a ka fè otomatikman lè w peze yon bouton Jenere adrès rezo a oswa manyèlman lè w antre mask rezo rezo a nan jaden ki apwopriye a CIDR.

Lè w konfime siksè antre done, ou dwe retounen nan paj la ak lis rezo yo lè l sèvi avèk bouton an tounen. Nan pwen sa a, konfigirasyon rezo debaz la ka konsidere kòm konplè.

Konekte nœuds rezo yo

1. Premyèman, sèvis ZeroTier One dwe enstale sou ne itilizatè a vle konekte ak rezo a.Ki sa ki ZeroTier One?ZeroTier Youn — yon sèvis ki fonksyone sou òdinatè pòtab, òdinatè biwo, sèvè, machin vityèl, ak kontenè, ki bay koneksyon ak yon rezo vityèl atravè yon pò rezo vityèl, menm jan ak yon kliyan VPN. Yon fwa sèvis la enstale epi li ap fonksyone, ou ka konekte ak rezo vityèl yo lè l sèvi avèk adrès 16 chif yo. Chak rezo parèt kòm yon pò rezo vityèl nan sistèm nan, ki konpòte li menm jan ak yon pò Ethernet regilye.
   Ou ka jwenn lyen ki mennen nan distribisyon, ak kòmandman enstalasyon yo sou paj manifakti aOu ka jere sèvis ki enstale a atravè tèminal liy kòmand lan (CLI) avèk dwa admin/root. Windows/MacOS itilize yon koòdone grafik tou. Android/iOS sèlman atravè koòdone itilizatè grafik la.
2. Tcheke siksè enstalasyon sèvis la:CLI:

   zerotier-cli status

   Rezilta:

   200 info ebf416fac1 1.4.6 ONLINE
   Entèfas:

   Lefèt ke aplikasyon an ap kouri ak prezans nan li nan yon liy ak ID Node ak adrès la ne.

3. Konekte yon ne nan rezo a:CLI:

   zerotier-cli join <Network ID>

   Rezilta:

   200 join OK

   Entèfas:

   Windows: dwa-klike sou icon nan ZeroTier Youn nan plato sistèm lan epi chwazi atik la - Antre nan rezo a.

   
   macOS: Lanse aplikasyon an ZeroTier Youn nan meni an ba, si se pa deja lanse. Klike sou ikòn ⏁ a epi chwazi Antre nan rezo a.

   Android/iOS: + (siy plis) nan aplikasyon an

   
   Nan jaden ki parèt, antre kontwolè rezo a ki espesifye nan entèfas la Rezo ID, ak peze Antre nan/Ajoute rezo.

4. Bay yon adrès IP nan yon lame
   Koulye a, nou retounen nan kontwolè rezo a ak sou paj la ak yon lis rezo swiv lyen an manm. Si ou wè yon foto ki sanble ak sa a sou ekran an, sa vle di kontwolè rezo ou a te resevwa yon demann pou konfime koneksyon an nan rezo a soti nan ne ki konekte.
   Sou paj sa a nou kite tout bagay jan yo ye pou kounye a epi swiv lyen an Plasman IP ale nan paj la pou asiyen yon adrès IP nan ne la:
   Apre ou fin bay adrès la, klike sou bouton an Retounen retounen nan paj la nan lis la nan nœuds ki konekte ak mete non an - Non manm epi tcheke kaz la pou otorize ne sou rezo a - Otorize. By wout la, kaz sa a se yon bagay trè pratik pou dekonekte / konekte nan rezo lame a nan lavni.
   Sove chanjman lè l sèvi avèk bouton an Refresh.
5. Tcheke estati koneksyon ne a ak rezo a:
   Pou tcheke estati koneksyon an sou ne nan tèt li, kouri:
   CLI:

   zerotier-cli listnetworks

   Rezilta:

   200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
   Entèfas:

   Estati rezo a ta dwe OK

   Pou konekte nœuds ki rete yo, repete operasyon 1-5 pou chak nan yo.

Tcheke koneksyon rezo nan nœuds

Mwen fè sa nan kouri lòd la ping sou aparèy ki konekte ak rezo m ap jere kounye a.

Nan Ekran nan kontwolè Web-GUI ou ka wè twa nœuds ki konekte nan rezo a:

1. ZTNCUI - 10.10.10.1 — kontwolè rezo mwen an ak koòdone itilizatè grafik — VDS nan youn nan DC yo ProHosterPa gen okenn nesesite pou ajoute li nan rezo a pou fonksyònman nòmal, men mwen te fè sa paske mwen vle bloke aksè ekstèn nan koòdone entènèt la. M ap pale plis sou sa pita.
2. MyComp - 10.10.10.2 - òdinatè travay mwen an se yon PC fizik
3. Sovgad - 10.10.10.3 — VDS nan yon lòt DC.

Se poutèt sa, nan òdinatè travay mwen an mwen tcheke disponiblite a nan lòt nœuds ak kòmandman yo:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Statistik Ping pou 10.10.10.1:
Pake: Voye = 4, Resevwa = 4, Pèdi = 0 (0% pèt),
Tan apwoksimatif vwayaj ale nan mili-segonn:
Minimòm = 2ms, Maksimòm = 14ms, Mwayèn = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Statistik Ping pou 10.10.10.3:
Pake: Voye = 4, Resevwa = 4, Pèdi = 0 (0% pèt),
Tan apwoksimatif vwayaj ale nan mili-segonn:
Minimòm = 4ms, Maksimòm = 15ms, Mwayèn = 7ms

Itilizatè a gen dwa sèvi ak lòt zouti pou tcheke disponiblite nœuds sou rezo a, tou de entegre nan OS la ak tankou NMAP, Advanced IP Scanner, elatriye.

Nou kache aksè nan entèfas kontwolè rezo a soti deyò.

An jeneral, mwen ka diminye chans pou gen aksè san otorizasyon nan VDS kote kontwolè rezo mwen an ye a lè m sèvi ak pare-feu ki nan kont pèsonèl mwen an. ProHosterSijè sa a pi apwopriye pou yon atik apa. Se poutèt sa, isit la m ap montre w kijan pou asire ke aksè nan koòdone itilizatè grafik kontwolè a limite a rezo mwen te kreye nan atik sa a.

Pou fè sa, ou bezwen konekte via SSH ak VDS kote kontwolè a sitiye epi louvri dosye konfigirasyon an lè l sèvi avèk lòd la:

nano /opt/key-networks/ztncui/.env

Nan fichye a louvri, apre liy "HTTPS_PORT=3443" ki gen adrès pò a nan ki entèfas ouvè a, ou bezwen ajoute yon liy adisyonèl ak adrès kote entèfas a ap louvri - nan ka mwen an se HTTPS_HOST=10.10.10.1. .XNUMX.

Apre sa, mwen pral sove fichye a

Сtrl+C
Y
Enter 

epi kouri lòd la:

systemctl restart ztncui

Epi sa a, kounye a entèfas kontwolè rezo mwen an disponib sèlman pou nœuds rezo 10.10.10.0.24.

Olye pou yo yon konklizyon

Sa a se kote mwen vle fini premye pati nan gid pratik pou kreye rezo vityèl ki baze sou ZeroTier. Mwen tann kòmantè ou yo.

Nan entre-temps la, yo pase tan an jiskaske piblikasyon an nan pwochen pati a, nan ki mwen pral di w ki jan yo konbine yon rezo vityèl ak yon sèl fizik, ki jan yo òganize yon mòd "gèrye wout" ak yon lòt bagay, mwen sijere ou eseye. òganize pwòp rezo vityèl ou lè l sèvi avèk yon kontwolè rezo prive ak entèfas ki baze sou VDS soti nan mache a sou Online ProHosterAnplis, tout nouvo kliyan yo resevwa yon peryòd esè 3 jou gratis!

PS Wi! Mwen prèske bliye! Ou ka retire yon ne nan rezo a lè l sèvi avèk yon lòd nan CLI a nan ne sa a.

zerotier-cli leave <Network ID>

200 leave OK

oswa kòmandman Efase nan entèfas kliyan an sou ne la.

-> Entwodiksyon. Pati teyorik. Smart Ethernet switch pou planèt Latè
-> Yon gid pratik pou konstwi rezo vityèl. Pati 1
-> Yon gid pratik pou konstwi rezo vityèl. Pati 2

Sous: www.habr.com