Powered by ZeroTier. Վիրտուալ ցանցեր կառուցելու գործնական ուղեցույց: Մաս 1

Շարունակելով պատմությունը ZeroTier-ի մասին՝ հոդվածում ներկայացված տեսությունից «Smart Ethernet անջատիչ Երկիր մոլորակի համար«Ես անցնում եմ պրակտիկայի, որում.

• Եկեք ստեղծենք և կարգավորենք մասնավոր ցանցի վերահսկիչ
• Եկեք ստեղծենք վիրտուալ ցանց
• Եկեք կարգավորենք և միացնենք հանգույցները դրան
• Եկեք ստուգենք նրանց միջև ցանցային կապը
• Եկեք արգելափակենք մուտքը դեպի ցանցի վերահսկիչի միջերեսային միջերեսը դրսից

Сетевой վերահսկիչ

Ինչպես նշվեց ավելի վաղ, վիրտուալ ցանցեր ստեղծելու, դրանք կառավարելու, ինչպես նաև հանգույցներ միացնելու համար օգտագործողին անհրաժեշտ է ցանցային վերահսկիչ, գրաֆիկական ինտերֆեյս (GUI), որի համար գոյություն ունի երկու ձևով.

ZeroTier GUI ընտրանքներ

• Մեկը մշակողի ZeroTier-ից, որը հասանելի է որպես հանրային ամպային SaaS լուծում չորս բաժանորդագրության պլաններով, ներառյալ անվճար, բայց սահմանափակ կառավարվող սարքերի քանակով և աջակցության մակարդակով:
• Երկրորդը անկախ ծրագրավորողից է՝ որոշ չափով պարզեցված ֆունկցիոնալությամբ, բայց հասանելի է որպես մասնավոր բաց կոդով լուծում՝ տեղում կամ ամպային ռեսուրսների վրա օգտագործելու համար:

Իմ պրակտիկայում ես երկուսն էլ օգտագործել եմ և արդյունքում վերջապես կանգ եմ առել երկրորդի վրա։ Սրա պատճառը ծրագրավորողի զգուշացումներն էին։

«Ցանցի կարգավորիչները ծառայում են որպես ZeroTier վիրտուալ ցանցերի սերտիֆիկացման մարմիններ: Վերահսկիչի գաղտնի բանալիներ պարունակող ֆայլերը պետք է ուշադիր պահպանվեն և ապահով արխիվացվեն: Նրանց փոխզիջումը թույլ է տալիս չարտոնված հարձակվողներին ստեղծել խարդախ ցանցի կոնֆիգուրացիաներ, և նրանց կորուստը հանգեցնում է ցանցը կառավարելու և կառավարելու ունակության կորստի՝ այն արդյունավետ դարձնելով անօգտագործելի»:

→ Հղում դեպի փաստաթղթեր

Եվ նաև, ձեր սեփական կիբերանվտանգության պարանոյայի նշաններ :) 

• Նույնիսկ եթե Cheburnet-ը գա, ես դեռ պետք է մուտք գործեմ իմ ցանցի վերահսկիչին.
• Միայն ես պետք է օգտագործեմ ցանցի վերահսկիչը: Անհրաժեշտության դեպքում՝ ապահովելով ձեր լիազորված ներկայացուցիչների մուտքը.
• Պետք է հնարավոր լինի սահմանափակել մուտքը դեպի ցանցի վերահսկիչ դրսից:

Այս հոդվածում ես առանձնապես իմաստ չեմ տեսնում, թե ինչպես կարելի է տեղակայել ցանցի վերահսկիչն ու դրա համար GUI-ն ներքին ֆիզիկական կամ վիրտուալ ռեսուրսների վրա: Եվ դրա համար կա նաև 3 պատճառ. 

• նախատեսվածից շատ նամակներ կլինեն
• այս մասին արդեն պատմեց GUI մշակող GitHab-ում
• հոդվածի թեման այլ բանի մասին է

Հետևաբար, ընտրելով նվազագույն դիմադրության ուղին, ես այս պատմության մեջ կօգտագործեմ ցանցային վերահսկիչ VDS-ի վրա հիմնված GUI-ով, որը ստեղծվել է կաղապարից, սիրով մշակվել է RuVDS-ի իմ գործընկերների կողմից:

Նախնական կարգավորում

Նշված ձևանմուշից սերվեր ստեղծելուց հետո օգտվողը բրաուզերի միջոցով մուտք է ստանում Web-GUI կարգավորիչ՝ մուտք գործելով https://:3443

Լռելյայնորեն, սերվերն արդեն պարունակում է նախապես ստեղծված ինքնաստորագրված TLS/SSL վկայագիր: Սա ինձ բավական է, քանի որ ես դրան մուտքն արգելափակում եմ դրսից։ Նրանց համար, ովքեր ցանկանում են օգտվել այլ տեսակի վկայագրերից, կա տեղադրման հրահանգներ GUI մշակող GitHab-ում:

Երբ օգտվողն առաջին անգամ մուտք է գործում Մուտք լռելյայն մուտքով և գաղտնաբառով - admin մասին и Գաղտնաբառ:

Այն առաջարկում է լռելյայն գաղտնաբառը փոխել մաքսայինի

Ես դա մի փոքր այլ կերպ եմ անում. ես չեմ փոխում գոյություն ունեցող օգտվողի գաղտնաբառը, այլ ստեղծում եմ նորը. Ստեղծել օգտվողին.

Ես սահմանել եմ նոր օգտվողի անունը. Օգտագործողի անունը:
Ես նոր գաղտնաբառ եմ սահմանել - Մուտքագրեք նոր գաղտնաբառ: 
Ես հաստատում եմ նոր գաղտնաբառը - Կրկին մուտքագրեք գաղտնաբառ:

Ձեր մուտքագրած կերպարները մեծատառերի զգայուն են. զգույշ եղեք:

Նշեք վանդակը՝ հաջորդ մուտքի ժամանակ գաղտնաբառի փոփոխությունը հաստատելու համար. Փոխեք գաղտնաբառը հաջորդ մուտքի ժամանակ. Ես չեմ նշում. 

Մուտքագրված տվյալները հաստատելու համար սեղմեք Սահմանել գաղտնաբառը:

Այնուհետև՝ ես նորից մուտք եմ գործում - Ելք / Մուտք, արդեն նոր օգտատիրոջ հավատարմագրերի ներքո՝

Հաջորդը, ես գնում եմ օգտվողների ներդիր. Users և ջնջել օգտվողին admin մասինսեղմելով նրա անվան ձախ կողմում գտնվող աղբամանի պատկերակը:

Հետագայում կարող եք փոխել օգտատիրոջ գաղտնաբառը՝ սեղմելով կամ նրա անվան կամ սահմանված գաղտնաբառը:

Վիրտուալ ցանցի ստեղծում

Վիրտուալ ցանց ստեղծելու համար օգտագործողը պետք է գնա ներդիր Ավելացնել ցանց. Կետից Օգտվող դա կարելի է անել էջի միջոցով Գլխավոր — Web-GUI-ի գլխավոր էջը, որը ցուցադրում է այս ցանցային կարգավորիչի ZeroTier հասցեն և պարունակում է հղում դեպի էջի՝ դրա միջոցով ստեղծված ցանցերի ցանկի համար:

Էջում Ավելացնել ցանց օգտատերը նորաստեղծ ցանցին անուն է տալիս:

Մուտքային տվյալները կիրառելիս − Ստեղծեք ցանց օգտատերը տեղափոխվում է ցանցերի ցանկով էջ, որը պարունակում է. 

Անցի անուն — ցանցի անվանումը հղման տեսքով, երբ սեղմում եք դրա վրա, կարող եք փոխել այն 
Անցի ID - ցանցի նույնացուցիչ
մանրամասն — կապել ցանցի մանրամասն պարամետրերով էջի
հեշտ կարգավորում - հղում դեպի էջի հեշտ տեղադրման համար
անդամ — հղում դեպի հանգույցի կառավարման էջ

Լրացուցիչ կարգավորումների համար հետևեք հղմանը հեշտ կարգավորում. Բացվող էջում օգտատերը նշում է IPv4 հասցեների մի շարք ստեղծվող ցանցի համար: Դա կարելի է անել ավտոմատ կերպով՝ սեղմելով կոճակը Ստեղծեք ցանցի հասցե կամ ձեռքով` համապատասխան դաշտում մուտքագրելով ցանցի ցանցի դիմակը CIDR.

Տվյալների հաջող մուտքագրման ժամանակ դուք պետք է վերադառնաք էջ ցանցերի ցանկով՝ օգտագործելով «Հետ» կոճակը: Այս պահին ցանցի հիմնական կարգավորումը կարելի է համարել ավարտված:

Ցանցային հանգույցների միացում

1. Նախ, ZeroTier One ծառայությունը պետք է տեղադրվի այն հանգույցի վրա, որը օգտվողը ցանկանում է միացնել ցանցին:

   Ի՞նչ է ZeroTier One-ը:ZeroTier One նոութբուքերի, աշխատասեղանների, սերվերների, վիրտուալ մեքենաների և կոնտեյներների վրա աշխատող ծառայություն է, որն ապահովում է միացումներ վիրտուալ ցանցին վիրտուալ ցանցի պորտի միջոցով, որը նման է VPN հաճախորդի: 

   Ծառայությունը տեղադրվելուց և գործարկվելուց հետո կարող եք միանալ վիրտուալ ցանցերին՝ օգտագործելով դրանց 16 նիշանոց հասցեները: Յուրաքանչյուր ցանց հայտնվում է որպես վիրտուալ ցանցային պորտ համակարգի վրա, որն իրեն պահում է այնպես, ինչպես սովորական Ethernet պորտը:
   Բաշխումների հղումները, ինչպես նաև տեղադրման հրամանները կարելի է գտնել արտադրողի էջում.

   Դուք կարող եք կառավարել տեղադրված ծառայությունը հրամանի տող տերմինալի (CLI) միջոցով՝ ադմինիստրատորի/արմատային իրավունքներով: Windows/MacOS-ում նաև գրաֆիկական ինտերֆեյս օգտագործելով: Android/iOS-ում միայն GUI-ի միջոցով:

2. Ծառայության տեղադրման հաջողության ստուգում.

   CLI:

   zerotier-cli status

   Արդյունքը: 

   200 info ebf416fac1 1.4.6 ONLINE
   GUI:

   Հենց այն փաստը, որ հավելվածն աշխատում է և դրանում հանգույցի հասցեով Node ID-ով տողի առկայությունը:

3. Հանգույցի միացում ցանցին.

   CLI:

   zerotier-cli join <Network ID>

   Արդյունքը: 

   200 join OK

   GUI:

   Պատուհաններ աջ սեղմեք պատկերակի վրա ZeroTier One համակարգի սկուտեղում և ընտրելով տարրը՝ Միացեք ցանցին.

   
   macOS: Գործարկեք հավելվածը ZeroTier One բարի ցանկում, եթե արդեն գործարկված չէ: Սեղմեք ⏁ պատկերակը և ընտրեք Միացեք ցանցին.

   Android/iOS՝ + (գումարած պատկեր) հավելվածում

   
   Հայտնվող դաշտում մուտքագրեք GUI-ում նշված ցանցի վերահսկիչը Անցի ID, և սեղմեք Միանալ/Ավելացնել ցանց.

4. Հոսթին IP հասցե հատկացնելը
   Այժմ մենք վերադառնում ենք ցանցի վերահսկիչին և ցանցերի ցանկով էջում հետևում ենք հղմանը անդամ. Եթե ​​էկրանին տեսնում եք այս նկարի նման նկար, դա նշանակում է, որ ձեր ցանցի կարգավորիչը հարցում է ստացել միացված հանգույցից ցանցին կապը հաստատելու համար:

   
   Այս էջում մենք ամեն ինչ թողնում ենք այնպես, ինչպես կա և հետևում ենք հղմանը IP հանձնարարություն գնացեք հանգույցին IP հասցե նշանակելու էջ.

   
   Հասցեն նշանակելուց հետո սեղմեք կոճակը Վերադառնալ վերադառնալ կապակցված հանգույցների ցանկի էջ և սահմանել անունը. Անդամի անունը և նշեք վանդակը՝ ցանցում հանգույցը լիազորելու համար. Լիազորված. Ի դեպ, այս վանդակը շատ հարմար բան է ապագայում հոսթ ցանցից անջատվելու/միանալու համար։

   
   Պահպանեք փոփոխությունները՝ օգտագործելով կոճակը Թարմացնել.

5. Ցանցին հանգույցի միացման կարգավիճակի ստուգում.
   Հանգույցի վրա կապի կարգավիճակը ստուգելու համար գործարկեք.
   CLI:

   zerotier-cli listnetworks

   Արդյունքը:

   200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
   GUI:

   Ցանցի կարգավիճակը պետք է լավ լինի

   Մնացած հանգույցները միացնելու համար կրկնեք 1-5 գործողությունները նրանցից յուրաքանչյուրի համար:

Հանգույցների ցանցային կապի ստուգում

Ես դա անում եմ՝ գործարկելով հրամանը ping ցանցին միացված սարքի վրա, որը ես ներկայումս ղեկավարում եմ:

Web-GUI կարգավորիչի սքրինշոթում կարող եք տեսնել ցանցին միացված երեք հանգույց.

1. ZTNCUI - 10.10.10.1 - իմ ցանցի կարգավորիչը GUI-ով - VDS RuVDS DC-ներից մեկում: Նորմալ աշխատանքի համար կարիք չկա այն ավելացնել ցանցին, բայց ես դա արեցի, քանի որ ուզում եմ արգելափակել մուտքը դեպի վեբ ինտերֆեյս դրսից: Այս մասին ավելի ուշ: 
2. MyComp - 10.10.10.2 - Իմ աշխատանքային համակարգիչը ֆիզիկական համակարգիչ է
3. Կրկնօրինակում - 10.10.10.3 — VDS մեկ այլ DC-ում:

Հետևաբար, իմ աշխատանքային համակարգչից ես ստուգում եմ այլ հանգույցների առկայությունը հրամաններով.

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 4ms, Maximum = 15ms, Average = 7ms

Օգտագործողը իրավունք ունի օգտագործել այլ գործիքներ ցանցում հանգույցների առկայությունը ստուգելու համար՝ ինչպես ՕՀ-ում ներկառուցված, այնպես էլ՝ NMAP, Advanced IP Scanner և այլն:

Մենք արտաքինից թաքցնում ենք մուտքը դեպի ցանցի վերահսկիչի GUI:

Ընդհանուր առմամբ, ես կարող եմ նվազեցնել VDS-ին չարտոնված մուտքի հավանականությունը, որի վրա գտնվում է իմ ցանցի վերահսկիչը՝ օգտագործելով իմ RuVDS անձնական հաշվի firewall-ը: Այս թեման ավելի հավանական է առանձին հոդվածի համար: Հետևաբար, այստեղ ես ցույց կտամ, թե ինչպես կարելի է մուտք գործել GUI կարգավորիչ միայն այն ցանցից, որը ես ստեղծել եմ այս հոդվածում:

Դա անելու համար հարկավոր է SSH-ի միջոցով միանալ VDS-ին, որի վրա գտնվում է վերահսկիչը և բացել կազմաձևման ֆայլը՝ օգտագործելով հրամանը.

nano /opt/key-networks/ztncui/.env

Բացված ֆայլում «HTTPS_PORT=3443» տողից հետո, որը պարունակում է այն պորտի հասցեն, որով բացվում է GUI-ն, պետք է ավելացնել լրացուցիչ տող այն հասցեով, որով կբացվի GUI-ն. իմ դեպքում դա HTTPS_HOST=10.10.10.1 է: .XNUMX. 

Հաջորդը ես կպահեմ ֆայլը

Сtrl+C
Y
Enter 

և գործարկեք հրամանը.

systemctl restart ztncui

Եվ վերջ, այժմ իմ ցանցային վերահսկիչի միջերեսային միջերեսը հասանելի է միայն ցանցային հանգույցների համար 10.10.10.0.24:

Փոխարենը մի եզրակացության 

Այստեղ ես ուզում եմ ավարտել ZeroTier-ի վրա հիմնված վիրտուալ ցանցերի ստեղծման գործնական ուղեցույցի առաջին մասը: Անհամբեր սպասում եմ ձեր մեկնաբանություններին: 

Միևնույն ժամանակ, որպեսզի անցնենք հաջորդ մասի հրապարակմանը, որում կպատմեմ, թե ինչպես համատեղել վիրտուալ ցանցը ֆիզիկականի հետ, ինչպես կազմակերպել «ճանապարհային մարտիկ» ռեժիմ և այլ բան, առաջարկում եմ փորձել. կազմակերպել ձեր սեփական վիրտուալ ցանցը, օգտագործելով մասնավոր ցանցի վերահսկիչ VDS-ի վրա հիմնված GUI-ով շուկայից սկսած Առցանց ՌՈՒՎԴՍ. Ավելին, բոլոր նոր հաճախորդներն ունեն 3 օր անվճար փորձաշրջան:

PS Այո՛։ Ես գրեթե մոռացել էի! Դուք կարող եք հեռացնել հանգույցը ցանցից՝ օգտագործելով այս հանգույցի CLI-ի հրամանը:

zerotier-cli leave <Network ID>

200 leave OK

կամ Delete հրամանը հաճախորդի GUI-ում հանգույցի վրա:

-> Ներածություն. Տեսական մաս. Smart Ethernet անջատիչ Երկիր մոլորակի համար
-> Վիրտուալ ցանցեր կառուցելու գործնական ուղեցույց: Մաս 1
-> Վիրտուալ ցանցեր կառուցելու գործնական ուղեցույց: Մաս 2

Source: www.habr.com