Melanjutkan cerita tentang ZeroTier, dari teori yang dituangkan pada artikel “", saya melanjutkan ke latihan di mana:
- Mari membuat dan mengonfigurasi pengontrol jaringan pribadi
- Mari kita buat jaringan virtual
- Mari konfigurasikan dan sambungkan node ke sana
- Mari kita periksa konektivitas jaringan di antara mereka
- Mari kita memblokir akses ke GUI pengontrol jaringan dari luar
Pengontrol Jaringan
Seperti disebutkan sebelumnya, untuk membuat jaringan virtual, mengelolanya, dan menghubungkan node, pengguna memerlukan pengontrol jaringan, antarmuka grafis (GUI) yang tersedia dalam dua bentuk:
Opsi GUI Tingkat Nol
- Satu dari pengembang ZeroTier, tersedia sebagai solusi SaaS cloud publik dengan empat paket berlangganan, termasuk gratis, namun terbatas dalam jumlah perangkat yang dikelola dan tingkat dukungan
- Yang kedua berasal dari pengembang independen, fungsinya agak disederhanakan, tetapi tersedia sebagai solusi sumber terbuka pribadi untuk digunakan di sumber daya lokal atau cloud.
Dalam latihan saya, saya menggunakan keduanya dan sebagai hasilnya, saya akhirnya memilih yang kedua. Alasannya adalah peringatan dari pengembang.
“Pengontrol jaringan berfungsi sebagai otoritas sertifikasi untuk jaringan virtual ZeroTier. File yang berisi kunci rahasia pengontrol harus dijaga dengan hati-hati dan diarsipkan dengan aman. Kompromi mereka memungkinkan penyerang yang tidak berwenang membuat konfigurasi jaringan yang menipu, dan kerugian mereka menyebabkan hilangnya kemampuan untuk mengontrol dan mengelola jaringan, sehingga secara efektif membuatnya tidak dapat digunakan."
→
Dan juga, tanda-tanda paranoia keamanan siber Anda sendiri :)
- Meskipun Cheburnet hadir, saya harus tetap memiliki akses ke pengontrol jaringan saya;
- Hanya saya yang harus menggunakan pengontrol jaringan. Jika perlu, memberikan akses kepada perwakilan resmi Anda;
- Akses ke pengontrol jaringan harus dibatasi dari luar.
Dalam artikel ini, saya tidak melihat ada gunanya membahas secara terpisah tentang cara menerapkan pengontrol jaringan dan GUI untuknya pada sumber daya fisik atau virtual di lokasi. Dan ada juga 3 alasan untuk ini:
- akan ada lebih banyak surat dari yang direncanakan
- tentang ini sudah pada pengembang GUI GitHab
- topik artikelnya adalah tentang hal lain
Oleh karena itu, dengan memilih jalur dengan hambatan paling kecil, dalam cerita ini saya akan menggunakan pengontrol jaringan dengan GUI berdasarkan VDS, yang dibuat oleh , dikembangkan dengan baik oleh rekan-rekan saya dari RuVDS.
Pengaturan awal
Setelah membuat server dari templat yang ditentukan, pengguna memperoleh akses ke pengontrol Web-GUI melalui browser dengan mengakses https:// :3443
Secara default, server sudah berisi sertifikat TLS/SSL yang ditandatangani sendiri dan dibuat sebelumnya. Ini cukup bagi saya, karena saya memblokir akses dari luar. Bagi yang ingin menggunakan sertifikat jenis lain, ada pada pengembang GUI GitHab.
Saat pengguna login untuk pertama kalinya Login dengan login dan kata sandi default - admin и kata sandi:
Ini menyarankan untuk mengubah kata sandi default menjadi kata sandi khusus
Saya melakukannya sedikit berbeda - saya tidak mengubah kata sandi pengguna yang sudah ada, tetapi membuat yang baru - Buat Pengguna.
Saya menetapkan nama pengguna baru - Nama Pengguna:
Saya menetapkan kata sandi baru - Masukan kata sandi baru:
Saya mengonfirmasi kata sandi baru - Masukkan Kembali password:
Karakter yang Anda masukkan peka huruf besar-kecil - hati-hati!
Kotak centang untuk mengonfirmasi perubahan kata sandi pada login berikutnya - Ubah kata sandi pada login berikutnya: Saya tidak merayakannya.
Untuk mengkonfirmasi data yang dimasukkan, tekan Setel kata sandi:
Lalu: Saya login ulang - Keluar / Login, sudah berada di bawah kredensial pengguna baru:
Selanjutnya saya pergi ke tab pengguna - pengguna dan menghapus pengguna admindengan mengklik ikon tempat sampah yang terletak di sebelah kiri namanya.
Di masa mendatang, Anda dapat mengubah kata sandi pengguna dengan mengeklik namanya atau menyetel kata sandinya.
Membuat jaringan virtual
Untuk membuat jaringan virtual, pengguna perlu membuka tab Tambahkan jaringan. Dari titik Pengguna ini dapat dilakukan melalui halaman Beranda — halaman utama Web-GUI, yang menampilkan alamat ZeroTier pengontrol jaringan ini dan berisi tautan ke halaman daftar jaringan yang dibuat melaluinya.
Di halaman Tambahkan jaringan pengguna memberikan nama ke jaringan yang baru dibuat.
Saat menerapkan data masukan - Buat Jaringan pengguna dibawa ke halaman dengan daftar jaringan, yang berisi:
Nama jaringan — nama jaringan dalam bentuk link, bila diklik Anda dapat mengubahnya
ID Jaringan — pengenal jaringan
rinci — tautan ke halaman dengan parameter jaringan terperinci
pengaturan mudah — tautan ke halaman untuk pengaturan yang mudah
anggota — tautan ke halaman manajemen simpul
Untuk pengaturan lebih lanjut ikuti tautannya pengaturan mudah. Pada halaman yang terbuka, pengguna menentukan rentang alamat IPv4 untuk jaringan yang sedang dibuat. Ini dapat dilakukan secara otomatis dengan menekan sebuah tombol Hasilkan alamat jaringan atau secara manual dengan memasukkan network mask jaringan di bidang yang sesuai CIDR.
Saat mengonfirmasi entri data yang berhasil, Anda harus kembali ke halaman dengan daftar jaringan menggunakan tombol Kembali. Pada titik ini, pengaturan jaringan dasar dapat dianggap selesai.
Menghubungkan node jaringan
- Pertama, layanan ZeroTier One harus diinstal pada node yang ingin dihubungkan pengguna ke jaringan.
Apa itu ZeroTier One?Tingkat Nol Satu adalah layanan yang berjalan di laptop, desktop, server, mesin virtual, dan container yang menyediakan koneksi ke jaringan virtual melalui port jaringan virtual, mirip dengan klien VPN.
Setelah layanan diinstal dan dimulai, Anda dapat terhubung ke jaringan virtual menggunakan alamat 16 digitnya. Setiap jaringan muncul sebagai port jaringan virtual pada sistem, yang berperilaku seperti port Ethernet biasa.
Tautan ke distribusi, serta perintah instalasi, dapat ditemukan .Anda dapat mengelola layanan yang diinstal melalui terminal baris perintah (CLI) dengan hak admin/root. Pada Windows/MacOS juga menggunakan antarmuka grafis. Di Android/iOS hanya menggunakan GUI.
- Memeriksa keberhasilan instalasi layanan:
KLI:
zerotier-cli statusHasilnya:
200 info ebf416fac1 1.4.6 ONLINE
GUI:Fakta bahwa aplikasi sedang berjalan dan adanya baris dengan ID Node dengan alamat node di dalamnya.
- Menghubungkan node ke jaringan:
KLI:
zerotier-cli join <Network ID>Hasilnya:
200 join OKGUI:
Windows: klik kanan pada ikon tersebut Tingkat Nol Satu di baki sistem dan memilih item - Gabung Jaringan.
MacOS: Luncurkan aplikasi Tingkat Nol Satu di menu bar, jika belum diluncurkan. Klik pada ikon ⏁ dan pilih Gabung Jaringan.Android/iOS: + (plus gambar) di aplikasi
Di kolom yang muncul, masukkan pengontrol jaringan yang ditentukan di GUI ID Jaringan, dan tekan Gabung/Tambah Jaringan. - Menetapkan alamat IP ke host
Sekarang kita kembali ke pengontrol jaringan dan pada halaman dengan daftar jaringan ikuti tautannya anggota. Jika Anda melihat gambar seperti ini di layar, berarti pengontrol jaringan Anda telah menerima permintaan untuk mengonfirmasi koneksi ke jaringan dari node yang terhubung.
Di halaman ini kami membiarkan semuanya apa adanya untuk saat ini dan mengikuti tautannya penugasan IP buka halaman untuk menetapkan alamat IP ke node:
Setelah menetapkan alamat, klik tombol Kembali kembali ke halaman daftar node yang terhubung dan atur namanya - Nama anggota dan centang kotak untuk mengotorisasi node di jaringan - Resmi. Omong-omong, kotak centang ini adalah hal yang sangat berguna untuk memutuskan/menghubungkan dari jaringan host di masa mendatang.
Simpan perubahan menggunakan tombol menyegarkan. - Memeriksa status koneksi node ke jaringan:
Untuk memeriksa status koneksi pada node itu sendiri, jalankan:
KLI:zerotier-cli listnetworksHasilnya:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:Status jaringan seharusnya baik-baik saja
Untuk menghubungkan node yang tersisa, ulangi operasi 1-5 untuk masing-masing node.
Memeriksa konektivitas jaringan node
Saya melakukan ini dengan menjalankan perintah ping pada perangkat yang terhubung ke jaringan yang sedang saya kelola.
Di tangkapan layar pengontrol Web-GUI, Anda dapat melihat tiga node yang terhubung ke jaringan:
- ZTNCUI - 10.10.10.1 - pengontrol jaringan saya dengan GUI - VDS di salah satu RuVDS DC. Untuk pekerjaan normal tidak perlu menambahkannya ke jaringan, tapi saya melakukan ini karena saya ingin memblokir akses ke antarmuka web dari luar. Lebih lanjut tentang ini nanti.
- Komputer Saya - 10.10.10.2 - komputer kerja saya adalah PC fisik
- Cadangan - 10.10.10.3 — VDS di DC lain.
Oleh karena itu, dari komputer kerja saya, saya memeriksa ketersediaan node lain dengan perintah:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
Pengguna berhak menggunakan alat lain untuk memeriksa ketersediaan node di jaringan, baik yang terpasang di dalam OS maupun seperti NMAP, Advanced IP Scanner, dll.
Kami menyembunyikan akses ke GUI pengontrol jaringan dari luar.
Secara umum, saya dapat mengurangi kemungkinan akses tidak sah ke VDS tempat pengontrol jaringan saya berada menggunakan firewall di akun pribadi RuVDS saya. Topik ini lebih mungkin untuk artikel terpisah. Oleh karena itu, disini saya akan menunjukkan cara memberikan akses ke pengontrol GUI hanya dari jaringan yang saya buat di artikel ini.
Untuk melakukan ini, Anda perlu terhubung melalui SSH ke VDS tempat pengontrol berada dan membuka file konfigurasi menggunakan perintah:
nano /opt/key-networks/ztncui/.envDalam file yang dibuka, setelah baris "HTTPS_PORT=3443" yang berisi alamat port tempat GUI dibuka, Anda perlu menambahkan baris tambahan dengan alamat di mana GUI akan dibuka - dalam kasus saya ini adalah HTTPS_HOST=10.10.10.1 .XNUMX.
Selanjutnya saya akan menyimpan file tersebut
Сtrl+C
Y
Enter
dan jalankan perintah:
systemctl restart ztncuiSelesai, sekarang GUI pengontrol jaringan saya hanya tersedia untuk node jaringan 10.10.10.0.24.
Alih-alih sebuah kesimpulan
Di sinilah saya ingin menyelesaikan bagian pertama dari panduan praktis membuat jaringan virtual berdasarkan ZeroTier. Saya menantikan komentar Anda.
Sementara itu, untuk menghabiskan waktu hingga penerbitan bagian selanjutnya, di mana saya akan memberi tahu Anda cara menggabungkan jaringan virtual dengan jaringan fisik, cara mengatur mode "pejuang jalanan" dan hal lainnya, saya sarankan Anda mencobanya mengatur jaringan virtual Anda sendiri menggunakan pengontrol jaringan pribadi dengan GUI berdasarkan VDS dari pasar RUVDS. Selain itu, semua klien baru memiliki masa uji coba gratis selama 3 hari!
PS Ya! Saya hampir lupa! Anda dapat menghapus sebuah node dari jaringan menggunakan perintah di CLI node ini.
zerotier-cli leave <Network ID>
200 leave OK
atau perintah Hapus di GUI klien pada node.
->
->
->
Sumber: www.habr.com