Folytatva a ZeroTier történetét, a cikkben felvázolt elméletből „", áttérek a gyakorlatra, amelyben:
- Hozzon létre és konfiguráljon egy privát hálózati vezérlőt
- Hozzunk létre egy virtuális hálózatot
- Konfiguráljunk és csatlakoztassunk hozzá csomópontokat
- Ellenőrizzük a köztük lévő hálózati kapcsolatot
- Letiltjuk a hozzáférést a hálózati vezérlő grafikus felületéhez kívülről
Hálózati vezérlő
Mint korábban említettük, a virtuális hálózatok létrehozásához, kezeléséhez, valamint csomópontok csatlakoztatásához a felhasználónak hálózati vezérlőre van szüksége, amelyhez kétféle grafikus felület (GUI) létezik:
ZeroTier GUI beállítások
- Az egyik a fejlesztő ZeroTiertől, nyilvános felhőalapú SaaS-megoldásként elérhető négy előfizetési csomaggal, beleértve az ingyenes, de korlátozott számú felügyelt eszközöket és támogatási szintet.
- A második független fejlesztőtől származik, funkcionalitásában némileg leegyszerűsítve, de privát, nyílt forráskódú megoldásként elérhető helyszíni vagy felhőalapú erőforrásokon való használatra.
A gyakorlatom során mindkettőt használtam, és ennek eredményeként végül a második mellett döntöttem. Ennek oka a fejlesztő figyelmeztetése volt.
„A hálózati vezérlők hitelesítő hatóságként szolgálnak a ZeroTier virtuális hálózatokhoz. A vezérlő titkos kulcsait tartalmazó fájlokat gondosan meg kell őrizni és biztonságosan archiválni kell. Kompromisszumuk lehetővé teszi az illetéktelen támadók számára, hogy csalárd hálózati konfigurációkat hozzanak létre, elvesztésük pedig a hálózat irányítási és kezelési képességének elvesztéséhez vezet, ami gyakorlatilag használhatatlanná teszi azt."
→
És a saját kiberbiztonsági paranoiád jelei is :)
- Még ha Cheburnet jön is, akkor is hozzá kell férnem a hálózati vezérlőmhöz;
- Csak nekem kéne a hálózati vezérlőt használni. Szükség esetén hozzáférést biztosít az Ön meghatalmazott képviselőinek;
- Lehetővé kell tenni a hálózati vezérlőhöz való hozzáférés kívülről történő korlátozását.
Ebben a cikkben nem látom sok értelmét annak, hogy külön foglalkozzunk a hálózati vezérlő és a hozzá tartozó grafikus felhasználói felület telepítésével a helyszíni fizikai vagy virtuális erőforrásokon. És ennek 3 oka is van:
- a tervezettnél több levél lesz
- erről már a GUI-fejlesztő GitHab-on
- a cikk témája másról szól
Ezért a legkisebb ellenállás útját választva ebben a történetben egy VDS alapú grafikus felhasználói felülettel rendelkező hálózati vezérlőt fogok használni, amelyet , amelyet a RuVDS kollégáim kedvesen fejlesztettek.
Kezdeti beállítás
Miután létrehozta a szervert a megadott sablonból, a felhasználó böngészőn keresztül hozzáfér a Web-GUI vezérlőhöz a https:// elérésével. :3443
Alapértelmezés szerint a kiszolgáló már tartalmaz egy előre generált önaláírt TLS/SSL-tanúsítványt. Ez nekem elég, mivel kívülről blokkolom a hozzáférést. Azok számára, akik más típusú tanúsítványokat szeretnének használni, van a GUI-fejlesztő GitHab-on.
Amikor a felhasználó először jelentkezik be Bejelentkezés alapértelmezett bejelentkezési névvel és jelszóval - admin и jelszó:
Azt javasolja, hogy módosítsa az alapértelmezett jelszót egyénire
Kicsit másképp csinálom – nem egy meglévő felhasználó jelszavát változtatom meg, hanem létrehozok egy újat – Felhasználó létrehozása.
Beállítottam az új felhasználó nevét - Felhasználónév:
Beállítottam egy új jelszót - Adjon meg új jelszót:
Megerősítem az új jelszót - Írd be újra a jelszót:
A beírt karakterek megkülönböztetik a kis- és nagybetűket – legyen óvatos!
Jelölőnégyzet a jelszó módosításának megerősítéséhez a következő bejelentkezéskor - Jelszó módosítása a következő bejelentkezéskor: nem ünneplem.
A bevitt adatok megerősítéséhez nyomja meg a gombot Jelszó beállítása:
Aztán: újra bejelentkezek - Kilépés / Bejelentkezés, már az új felhasználó hitelesítő adatai alatt:
Ezután a felhasználók lapra lépek - felhasználók és törölje a felhasználót admina nevétől balra található kuka ikonra kattintva.
A jövőben megváltoztathatja a felhasználó jelszavát a nevére vagy a beállított jelszóra kattintva.
Virtuális hálózat létrehozása
Virtuális hálózat létrehozásához a felhasználónak a lapra kell lépnie Hálózat hozzáadása. Pontból használó ezt az oldalon keresztül lehet megtenni Kezdőlap — a Web-GUI főoldala, amely megjeleníti ennek a hálózati vezérlőnek a ZeroTier címét, és tartalmaz egy hivatkozást a rajta keresztül létrehozott hálózatok listájának oldalára.
Az oldalon Hálózat hozzáadása a felhasználó nevet rendel az újonnan létrehozott hálózathoz.
A bemeneti adatok alkalmazásakor − Hálózat létrehozása a felhasználó a hálózatok listáját tartalmazó oldalra kerül, amely a következőket tartalmazza:
Hálózat neve — a hálózat neve link formájában, rákattintva módosítható
Hálózati azonosító — hálózati azonosító
részlet — hivatkozás egy részletes hálózati paramétereket tartalmazó oldalra
egyszerű beállítás - link az oldalra az egyszerű beállítás érdekében
tagjai — hivatkozás a csomópontkezelési oldalra
A további beállításhoz kövesse a linket egyszerű beállítás. A megnyíló oldalon a felhasználó megad egy IPv4-címtartományt a létrehozandó hálózathoz. Ez automatikusan megtehető egy gomb megnyomásával Hálózati cím generálása vagy manuálisan a hálózati hálózati maszk megfelelő mezőbe való beírásával CIDR.
A sikeres adatbevitel megerősítésekor a Vissza gombbal vissza kell térnie a hálózatok listáját tartalmazó oldalra. Ezen a ponton a hálózati alapbeállítás befejezettnek tekinthető.
Hálózati csomópontok csatlakoztatása
- Először a ZeroTier One szolgáltatást kell telepíteni arra a csomópontra, amelyhez a felhasználó csatlakozni szeretne.
Mi az a ZeroTier One?ZeroTier One egy laptopokon, asztali számítógépeken, szervereken, virtuális gépeken és konténereken futó szolgáltatás, amely a VPN-klienshez hasonlóan virtuális hálózati porton keresztül biztosít kapcsolatot a virtuális hálózattal.
A szolgáltatás telepítése és elindítása után csatlakozhat a virtuális hálózatokhoz a 16 számjegyű címek használatával. Minden hálózat virtuális hálózati portként jelenik meg a rendszeren, amely ugyanúgy viselkedik, mint egy hagyományos Ethernet-port.
A disztribúciókra mutató hivatkozások, valamint a telepítési parancsok megtalálhatók .A telepített szolgáltatást admin/root jogokkal rendelkező parancssori terminálon (CLI) keresztül kezelheti. Windows/MacOS rendszeren szintén grafikus felülettel. Android/iOS rendszeren csak grafikus felhasználói felülettel.
- A szolgáltatás telepítésének sikerességének ellenőrzése:
CLI:
zerotier-cli statusEredmény:
200 info ebf416fac1 1.4.6 ONLINE
GUI:Maga a tény, hogy az alkalmazás fut, és egy sor jelenléte benne a csomóponti azonosítóval és a csomópont címével.
- Csomópont csatlakoztatása a hálózathoz:
CLI:
zerotier-cli join <Network ID>Eredmény:
200 join OKGUI:
Windows: kattintson a jobb gombbal az ikonra ZeroTier One a tálcán, és válassza ki az elemet - Csatlakozzon a hálózathoz.
Mac operációs rendszer: Indítsa el az alkalmazást ZeroTier One a sáv menüjében, ha még nincs elindítva. Kattintson a ⏁ ikonra, és válassza ki Csatlakozzon a hálózathoz.Android/iOS: + (plusz kép) az alkalmazásban
A megjelenő mezőbe írja be a grafikus felhasználói felületen megadott hálózati vezérlőt Hálózati azonosító, és nyomja meg Csatlakozás/Hozzáadás a hálózathoz. - IP-cím hozzárendelése egy gazdagéphez
Most visszatérünk a hálózati vezérlőhöz, és a hálózatok listáját tartalmazó oldalon kövessük a hivatkozást tagjai. Ha ehhez hasonló képet lát a képernyőn, az azt jelenti, hogy a hálózati vezérlője kérést kapott a hálózathoz való csatlakozás megerősítésére a csatlakoztatott csomóponttól.
Ezen az oldalon mindent úgy hagyunk, ahogy van, és követjük a linket IP hozzárendelés menjen az oldalra, ahol IP-címet rendelhet a csomóponthoz:
A cím hozzárendelése után kattintson a gombra Vissza térjen vissza a csatlakoztatott csomópontok listájának oldalára, és állítsa be a nevet - Tag név és jelölje be a jelölőnégyzetet a csomópont engedélyezéséhez a hálózaton - Felhatalmazott. Ez a jelölőnégyzet egyébként egy nagyon kényelmes dolog a jövőbeni hoszthálózat leválasztásához/csatlakozásához.
Mentse el a változtatásokat a gombbal felfrissít. - A csomópont hálózathoz való csatlakozási állapotának ellenőrzése:
A kapcsolat állapotának ellenőrzéséhez magán a csomóponton futtassa:
CLI:zerotier-cli listnetworksEredmény:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:A hálózat állapotának rendben kell lennie
A fennmaradó csomópontok összekapcsolásához ismételje meg az 1-5 műveletet mindegyiknél.
A csomópontok hálózati kapcsolatának ellenőrzése
Ezt a parancs futtatásával teszem ping a jelenleg kezelt hálózathoz csatlakoztatott eszközön.
A Web-GUI vezérlő képernyőképen három csomópont látható a hálózathoz csatlakoztatva:
- ZTNCUI - 10.10.10.1 - a hálózati vezérlőm GUI-val - VDS az egyik RuVDS DC-ben. Normál munkához nem kell hozzáadni a hálózathoz, de ezt megtettem, mert szeretném letiltani a webes felület elérését kívülről. Erről később.
- MyComp - 10.10.10.2 - a munkahelyi számítógépem egy fizikai PC
- Biztonsági mentés - 10.10.10.3 — VDS egy másik DC-ben.
Ezért a munkahelyi számítógépemről a következő parancsokkal ellenőrzöm a többi csomópont elérhetőségét:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
A felhasználónak jogában áll más eszközöket használni a hálózaton található csomópontok elérhetőségének ellenőrzésére, mind az operációs rendszerbe beépített, mind az NMAP, Advanced IP Scanner stb.
A hálózati vezérlő grafikus felhasználói felületéhez való hozzáférést kívülről rejtjük el.
Általánosságban elmondható, hogy a személyes RuVDS-fiókomban lévő tűzfal segítségével csökkenthetem a VDS-hez való jogosulatlan hozzáférés valószínűségét, amelyen a hálózati vezérlőm található. Ez a téma inkább egy külön cikkre való. Ezért itt megmutatom, hogyan biztosíthatok hozzáférést a GUI-vezérlőhöz csak az ebben a cikkben létrehozott hálózatról.
Ehhez SSH-n keresztül csatlakoznia kell ahhoz a VDS-hez, amelyen a vezérlő található, és meg kell nyitnia a konfigurációs fájlt a következő paranccsal:
nano /opt/key-networks/ztncui/.envA megnyitott fájlban a „HTTPS_PORT=3443” sor után, amely annak a portnak a címét tartalmazza, amelyen a grafikus felhasználói felület megnyílik, egy további sort kell hozzáadni azzal a címmel, amelyen a grafikus felület megnyílik - az én esetemben ez a HTTPS_HOST=10.10.10.1 .XNUMX.
Legközelebb elmentem a fájlt
Сtrl+C
Y
Enter
és futtasd a parancsot:
systemctl restart ztncuiÉs ennyi, most a hálózati vezérlőm grafikus felülete csak a 10.10.10.0.24 hálózati csomópontokhoz érhető el.
Ahelyett, hogy egy következtetés
Ezzel szeretném befejezni a virtuális hálózatok ZeroTier alapú létrehozásáról szóló gyakorlati útmutató első részét. Várom észrevételeiket.
Addig is, hogy elteljen az idő a következő rész megjelenéséig, amelyben elmondom, hogyan lehet összekapcsolni a virtuális hálózatot a fizikaival, hogyan kell megszervezni a „road warrior” módot és valami mást, javaslom, próbálja ki saját virtuális hálózatának megszervezése VDS-alapú grafikus felhasználói felülettel rendelkező privát hálózati vezérlővel a piactól kezdve RUVDS. Ráadásul minden új ügyfélnek 3 napos ingyenes próbaidőszaka van!
PS Igen! Majdnem elfelejtettem! Egy csomópontot eltávolíthat a hálózatból a csomópont CLI-jében található paranccsal.
zerotier-cli leave <Network ID>
200 leave OK
vagy a Delete parancsot a csomópont ügyfél grafikus felületén.
->
->
->
Forrás: will.com