Powered by ZeroTier. Yon gid pratik pou konstwi rezo vityèl. Pati 1

Kontinye istwa a sou ZeroTier, ki soti nan teyori ki dekri nan atik la "Smart Ethernet switch pou planèt Latè", mwen ale nan pratik nan ki:

• Ann kreye ak konfigirasyon yon kontwolè rezo prive
• Ann kreye yon rezo vityèl
• Ann konfigirasyon epi konekte nœuds nan li
• Ann tcheke koneksyon rezo a ant yo
• Ann bloke aksè a entèfas kontwolè rezo a soti deyò

Kontwolè rezo

Kòm mansyone pi bonè, yo kreye rezo vityèl, jere yo, osi byen ke konekte nœuds, itilizatè a bezwen yon kontwolè rezo, yon koòdone grafik (GUI) pou ki egziste nan de fòm:

Opsyon GUI ZeroTier

• Youn nan pwomotè ZeroTier, ki disponib kòm yon solisyon SaaS nwaj piblik ak kat plan abònman, ki gen ladan gratis, men limite nan kantite aparèy jere ak nivo sipò.
• Dezyèm lan se soti nan yon pwomotè endepandan, yon ti jan senplifye nan fonksyonalite, men ki disponib kòm yon solisyon prive louvri sous pou itilize sou lokal oswa sou resous nwaj yo.

Nan pratik mwen an, mwen te itilize tou de e kòm yon rezilta, mwen finalman rezoud sou dezyèm lan. Rezon ki fè sa a te avètisman pwomotè a.

“Kontwòl rezo yo sèvi kòm otorite sètifikasyon pou rezo vityèl ZeroTier. Dosye ki gen kle sekrè kontwolè yo dwe byen siveye epi yo dwe achive byen. Konpwomi yo pèmèt atakè san otorizasyon yo kreye konfigirasyon rezo fwod, epi pèt yo mennen nan pèt nan kapasite nan kontwole ak jere rezo a, efektivman rann li inutilisab."

→ Link ak dokimantasyon

Epi tou, siy pwòp paranoya cybersecurity ou :) 

• Menm si Cheburnet vini, mwen dwe toujou gen aksè a kontwolè rezo mwen an;
• Se sèlman mwen ta dwe itilize kontwolè rezo a. Si sa nesesè, bay aksè a reprezantan otorize ou yo;
• Li ta dwe posib pou limite aksè nan kontwolè rezo a soti deyò.

Nan atik sa a, mwen pa wè anpil pwen nan abitasyon separeman sou ki jan yo deplwaye yon kontwolè rezo ak entèfas a pou li sou resous fizik oswa vityèl sou lokal. Epi gen 3 rezon tou pou sa: 

• pral gen plis lèt pase sa te planifye
• sou sa deja te di sou GUI devlope GitHab
• sijè atik la se sou yon lòt bagay

Se poutèt sa, chwazi chemen an nan pi piti rezistans, mwen pral sèvi ak nan istwa sa a yon kontwolè rezo ak yon entèfas ki baze sou VDS, ki te kreye pa soti nan modèl, dousman devlope pa kòlèg mwen yo nan RuVDS.

Premye konfigirasyon

Apre li fin kreye yon sèvè nan modèl espesifye a, itilizatè a jwenn aksè nan kontwolè Web-GUI a atravè yon navigatè lè li gen aksè https:// :3443

Pa defo, sèvè a deja gen yon sètifika TLS/SSL ki te deja siyen. Sa a se ase pou mwen, depi mwen bloke aksè a li soti an deyò de la. Pou moun ki vle sèvi ak lòt kalite sètifika, gen enstriksyon enstalasyon yo sou GUI devlope GitHab.

Lè itilizatè a konekte pou premye fwa Ouvri sesyon an ak login default ak modpas - admin и modpas:

Li sijere chanje modpas la default nan yon sèl koutim

Mwen fè li yon ti jan diferan - mwen pa chanje modpas yon itilizatè ki egziste deja, men mwen kreye yon nouvo - Kreye Itilizatè.

Mwen mete non nouvo itilizatè a - D ':
Mwen mete yon nouvo modpas - Antre nouvo modpas: 
Mwen konfime nouvo modpas la - Re-antre modpas:

Karaktè ou antre yo dispozisyon majiskil - fè atansyon!

Case pou konfime chanjman modpas nan pwochen koneksyon - Chanje modpas sou pwochen koneksyon: Mwen pa fete. 

Pou konfime done yo antre, peze Mete modpas:

Lè sa a: Mwen re-konekte - Logout / Ouvri sesyon an, deja anba kalifikasyon nouvo itilizatè a:

Apre sa, mwen ale nan tab itilizatè yo - Itilizatè yo epi efase itilizatè a adminpa klike sou ikòn fatra a ki sitiye sou bò gòch la nan non li.

Nan tan kap vini an, ou ka chanje modpas itilizatè a pa klike swa sou non li oswa sou modpas mete.

Kreye yon rezo vityèl

Pou kreye yon rezo vityèl, itilizatè a bezwen ale nan tab la Ajoute rezo a. Soti nan pwen Itilizatè sa ka fèt atravè paj la Akèy — paj prensipal Web-GUI a, ki montre adrès ZeroTier kontwolè rezo sa a epi ki gen yon lyen ki mennen nan paj la pou lis rezo yo kreye atravè li.

Nan paj la Ajoute rezo a itilizatè a bay yon non rezo ki fèk kreye a.

Lè w ap aplike done yo antre − Kreye rezo itilizatè a mennen nan yon paj ki gen yon lis rezo, ki genyen: 

Non rezo a — non rezo a nan fòm yon lyen, lè w klike sou li ou ka chanje li 
Rezo ID - idantifyan rezo
detay — lyen nan yon paj ki gen paramèt rezo detaye
konfigirasyon fasil - lyen nan paj pou konfigirasyon fasil
manm - lyen nan paj la jesyon ne

Pou plis konfigirasyon swiv lyen an konfigirasyon fasil. Nan paj la ki louvri, itilizatè a espesifye yon seri adrès IPv4 pou rezo a ke yo te kreye. Sa a ka fè otomatikman lè w peze yon bouton Jenere adrès rezo a oswa manyèlman lè w antre mask rezo rezo a nan jaden ki apwopriye a CIDR.

Lè w konfime siksè antre done, ou dwe retounen nan paj la ak lis rezo yo lè l sèvi avèk bouton an tounen. Nan pwen sa a, konfigirasyon rezo debaz la ka konsidere kòm konplè.

Konekte nœuds rezo yo

1. Premyèman, sèvis ZeroTier One dwe enstale sou ne itilizatè a vle konekte ak rezo a.

   Ki sa ki ZeroTier One?ZeroTier Youn se yon sèvis ki fonksyone sou òdinatè pòtab, biwo, sèvè, machin vityèl ak resipyan ki bay koneksyon ak yon rezo vityèl atravè yon pò rezo vityèl, menm jan ak yon kliyan VPN. 

   Yon fwa sèvis la enstale epi kòmanse, ou ka konekte nan rezo vityèl lè l sèvi avèk adrès 16 chif yo. Chak rezo parèt kòm yon pò rezo vityèl sou sistèm nan, ki konpòte li menm jan ak yon pò Ethernet regilye.
   Ou ka jwenn lyen ki mennen nan distribisyon, ak kòmandman enstalasyon yo sou paj manifakti a.

   Ou ka jere sèvis enstale a atravè yon tèminal liy kòmand (CLI) ak dwa admin/rasin. Sou Windows/MacOS tou lè l sèvi avèk yon koòdone grafik. Nan Android/iOS sèlman lè l sèvi avèk entèfas.

2. Tcheke siksè enstalasyon sèvis la:

   CLI:

   zerotier-cli status

   Rezilta: 

   200 info ebf416fac1 1.4.6 ONLINE
   Entèfas:

   Lefèt ke aplikasyon an ap kouri ak prezans nan li nan yon liy ak ID Node ak adrès la ne.

3. Konekte yon ne nan rezo a:

   CLI:

   zerotier-cli join <Network ID>

   Rezilta: 

   200 join OK

   Entèfas:

   Fenèt: dwa-klike sou icon nan ZeroTier Youn nan plato sistèm lan epi chwazi atik la - Antre nan rezo a.

   
   macOS: Lanse aplikasyon an ZeroTier Youn nan meni an ba, si se pa deja lanse. Klike sou ikòn ⏁ a epi chwazi Antre nan rezo a.

   Android/iOS: + (plis imaj) nan app a

   
   Nan jaden ki parèt, antre kontwolè rezo a ki espesifye nan entèfas la Rezo ID, ak peze Antre nan/Ajoute rezo.

4. Bay yon adrès IP nan yon lame
   Koulye a, nou retounen nan kontwolè rezo a ak sou paj la ak yon lis rezo swiv lyen an manm. Si ou wè yon foto ki sanble ak sa a sou ekran an, sa vle di kontwolè rezo ou a te resevwa yon demann pou konfime koneksyon an nan rezo a soti nan ne ki konekte.

   
   Sou paj sa a nou kite tout bagay jan yo ye pou kounye a epi swiv lyen an Plasman IP ale nan paj la pou asiyen yon adrès IP nan ne la:

   
   Apre ou fin bay adrès la, klike sou bouton an Retounen retounen nan paj la nan lis la nan nœuds ki konekte ak mete non an - Non manm epi tcheke kaz la pou otorize ne sou rezo a - Otorize. By wout la, kaz sa a se yon bagay trè pratik pou dekonekte / konekte nan rezo lame a nan lavni.

   
   Sove chanjman lè l sèvi avèk bouton an Refresh.

5. Tcheke estati koneksyon ne a ak rezo a:
   Pou tcheke estati koneksyon an sou ne nan tèt li, kouri:
   CLI:

   zerotier-cli listnetworks

   Rezilta:

   200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
   Entèfas:

   Estati rezo a ta dwe OK

   Pou konekte nœuds ki rete yo, repete operasyon 1-5 pou chak nan yo.

Tcheke koneksyon rezo nan nœuds

Mwen fè sa nan kouri lòd la ping sou aparèy ki konekte ak rezo m ap jere kounye a.

Nan Ekran nan kontwolè Web-GUI ou ka wè twa nœuds ki konekte nan rezo a:

1. ZTNCUI - 10.10.10.1 - kontwolè rezo mwen an ak entèfas - VDS nan youn nan RuVDS DC yo. Pou travay nòmal pa gen okenn bezwen ajoute li nan rezo a, men mwen te fè sa paske mwen vle bloke aksè nan koòdone entènèt la soti an deyò de la. Plis sou sa pita. 
2. MyComp - 10.10.10.2 - òdinatè travay mwen an se yon PC fizik
3. Sovgad - 10.10.10.3 — VDS nan yon lòt DC.

Se poutèt sa, nan òdinatè travay mwen an mwen tcheke disponiblite a nan lòt nœuds ak kòmandman yo:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 4ms, Maximum = 15ms, Average = 7ms

Itilizatè a gen dwa sèvi ak lòt zouti pou tcheke disponiblite nœuds sou rezo a, tou de entegre nan OS la ak tankou NMAP, Advanced IP Scanner, elatriye.

Nou kache aksè nan entèfas kontwolè rezo a soti deyò.

An jeneral, mwen ka diminye chans pou gen aksè san otorizasyon nan VDS kote kontwolè rezo mwen an ye lè l sèvi avèk yon firewall nan kont pèsonèl RuVDS mwen an. Sijè sa a gen plis chans pou yon atik separe. Se poutèt sa, isit la mwen pral montre ki jan yo bay aksè a kontwolè GUI sèlman nan rezo a ke mwen te kreye nan atik sa a.

Pou fè sa, ou bezwen konekte via SSH ak VDS kote kontwolè a sitiye epi louvri dosye konfigirasyon an lè l sèvi avèk lòd la:

nano /opt/key-networks/ztncui/.env

Nan fichye a louvri, apre liy "HTTPS_PORT=3443" ki gen adrès pò a nan ki entèfas ouvè a, ou bezwen ajoute yon liy adisyonèl ak adrès kote entèfas a ap louvri - nan ka mwen an se HTTPS_HOST=10.10.10.1. .XNUMX. 

Apre sa, mwen pral sove fichye a

Сtrl+C
Y
Enter 

epi kouri lòd la:

systemctl restart ztncui

Epi sa a, kounye a entèfas kontwolè rezo mwen an disponib sèlman pou nœuds rezo 10.10.10.0.24.

Olye pou yo yon konklizyon 

Sa a se kote mwen vle fini premye pati nan gid pratik pou kreye rezo vityèl ki baze sou ZeroTier. Mwen tann kòmantè ou yo. 

Nan entre-temps la, yo pase tan an jiskaske piblikasyon an nan pwochen pati a, nan ki mwen pral di w ki jan yo konbine yon rezo vityèl ak yon sèl fizik, ki jan yo òganize yon mòd "gèrye wout" ak yon lòt bagay, mwen sijere ou eseye. òganize pwòp rezo vityèl ou lè l sèvi avèk yon kontwolè rezo prive ak entèfas ki baze sou VDS soti nan mache a sou Online RUVDS. Anplis, tout nouvo kliyan gen yon peryòd esè gratis nan 3 jou!

PS Wi! Mwen prèske bliye! Ou ka retire yon ne nan rezo a lè l sèvi avèk yon lòd nan CLI a nan ne sa a.

zerotier-cli leave <Network ID>

200 leave OK

oswa kòmandman Efase nan entèfas kliyan an sou ne la.

-> Entwodiksyon. Pati teyorik. Smart Ethernet switch pou planèt Latè
-> Yon gid pratik pou konstwi rezo vityèl. Pati 1
-> Yon gid pratik pou konstwi rezo vityèl. Pati 2

Sous: www.habr.com