Weider d'Geschicht iwwer ZeroTier, vun der Theorie, déi am Artikel beschriwwe gëtt "", Ech gi weider op d'Praxis an deem:
- Loosst eis e private Netzwierkkontroller erstellen a konfiguréieren
- Loosst eis e virtuellt Netzwierk erstellen
- Loosst eis Wirbelen konfiguréieren a verbannen
- Loosst eis d'Netzwierkverbindung tëscht hinnen iwwerpréiwen
- Loosst eis den Zougang zum GUI vum Netzwierkkontroller vu baussen blockéieren
Network Controller
Wéi virdru scho gesot, fir virtuell Netzwierker ze kreéieren, se ze verwalten, souwéi Noden ze verbannen, brauch de Benotzer e Netzwierkkontroller, eng grafesch Interface (GUI) fir déi an zwou Formen existéiert:
ZeroTier GUI Optiounen
- Ee vum Entwéckler ZeroTier, verfügbar als ëffentlech Cloud SaaS Léisung mat véier Abonnementspläng, abegraff gratis, awer limitéiert an der Unzuel vu verwalteten Apparater an der Ënnerstëtzung
- Déi zweet ass vun engem onofhängegen Entwéckler, e bësse vereinfacht a Funktionalitéit, awer verfügbar als privat Open Source Léisung fir on-premise oder op Cloud Ressourcen ze benotzen.
A menger Praxis hunn ech béid benotzt an als Resultat hunn ech mech endlech op déi zweet néiergelooss. De Grond dofir waren d'Warnunge vum Entwéckler.
"Netz Controller déngen als Zertifizéierungsautoritéiten fir ZeroTier virtuell Netzwierker. Dateien mat Controller geheime Schlësselen mussen suergfälteg bewaacht a sécher archivéiert ginn. Hire Kompromiss erlaabt onerlaabten Ugräifer betrügeresch Netzwierkkonfiguratiounen ze kreéieren, an hire Verloscht féiert zum Verloscht vun der Fäegkeet fir d'Netz ze kontrolléieren an ze verwalten, wat et effektiv onbrauchbar mécht.
→
An och, Zeeche vun Ärer eegener Cybersecurity Paranoia :)
- Och wann Cheburnet kënnt, muss ech nach Zougang zu mengem Reseau Controller hunn;
- Nëmmen ech sollt den Netzwierkkontroller benotzen. Wann néideg, Zougang zu Ären autoriséierte Vertrieder;
- Et sollt méiglech sinn den Zougang zum Netzwierkkontroller vu baussen ze beschränken.
An dësem Artikel gesinn ech net vill Sënn fir getrennt ze wunnen iwwer wéi een en Netzwierkkontroller an d'GUI dofir op on-premise physikaleschen oder virtuelle Ressourcen ofsetzen. An et ginn och 3 Grënn dofir:
- et gi méi Bréiwer wéi geplangt
- iwwer dëst schonn op GUI Entwéckler GitHab
- d'Thema vum Artikel geet iwwer eppes anescht
Dofir, de Wee vun der mannsten Resistenz auswielen, wäert ech an dëser Geschicht e Netzwierkkontroller benotzen mat engem GUI baséiert op VDS, erstallt vum , frëndlech entwéckelt vu menge Kollege vu RuVDS.
Éischte Setup
Nodeems Dir e Server aus der spezifizéierter Schabloun erstallt hutt, kritt de Benotzer Zougang zum Web-GUI Controller duerch e Browser andeems hien op https:// :3443
Par défaut enthält de Server schonn e pre-generéierte selbst ënnerschriwwene TLS/SSL Zertifika. Dëst ass genuch fir mech, well ech den Zougang dobaussen blockéieren. Fir déi, déi aner Zorte vu Certificaten benotze wëllen, gëtt et op GUI Entwéckler GitHab.
Wann de Benotzer fir d'éischte Kéier aloggen Login mat Standard Login a Passwuert - Administrator и Passwuert:
Et proposéiert d'Standardpasswuert op e personaliséierten z'änneren
Ech maachen et e bëssen anescht - ech änneren net d'Passwuert vun engem existente Benotzer, mee erstellen en neit - Benotzer erstellen.
Ech setzen den Numm vum neie Benotzer - Benotzernumm:
Ech setzen en neit Passwuert - Gitt neit Passwuert:
Ech confirméieren dat neit Passwuert - Passwuert nach eng Kéier aginn:
D'Zeechen, déi Dir agitt, si ka sensibel - passt op!
Checkbox fir d'Passwuertännerung beim nächste Login ze bestätegen - Passwuert änneren beim nächste Login: Ech feieren net.
Fir déi aginn Donnéeën ze confirméieren, Press Setzt Passwuert:
Dann: Ech aloggen nei - Ausloggen / Login, schonn ënner den Umeldungsinformatiounen vum neie Benotzer:
Als nächst ginn ech op d'Benotzer Tab - Benotzer a läschen de Benotzer Administratorandeems Dir op d'Dreckskëscht Ikon klickt lénks vu sengem Numm.
An Zukunft kënnt Dir d'Passwuert vum Benotzer änneren andeems Dir entweder op säin Numm oder op Set Passwuert klickt.
Schafe vun engem virtuellen Netzwierk
Fir e virtuellt Netzwierk ze kreéieren, muss de Benotzer op d'Tab goen Netzwierk derbäisetzen. Vum Punkt Benotzersäit dëst kann duerch d'Säit gemaach ginn Home - d'Haaptsäit vun der Web-GUI, déi d'ZeroTier Adress vun dësem Netzwierk Controller weist an e Link op d'Säit enthält fir d'Lëscht vun den Netzwierker, déi doduerch erstallt sinn.
Op der Säit Netzwierk derbäisetzen de Benotzer gëtt en Numm un déi nei erstallt Netzwierk.
Wann Dir d'Inputdaten applizéiert - Schafen Network de Benotzer gëtt op eng Säit mat enger Lëscht vun Netzwierker geholl, déi enthält:
Netzwierk Numm - den Numm vum Netzwierk a Form vun engem Link, wann Dir drop klickt, kënnt Dir et änneren
Netzwierk ID - Netzwierk Identifizéierer
Detail - Link op eng Säit mat detailléierte Netzwierkparameter
einfach Ariichten - Link op d'Säit fir einfache Setup
Memberen - Link op d'Node Management Säit
Fir weider Konfiguratioun befollegt de Link einfach Ariichten. Op der Säit déi opmaacht, spezifizéiert de Benotzer eng Rei vun IPv4 Adressen fir d'Netzwierk dat erstallt gëtt. Dëst kann automatesch gemaach ginn andeems Dir e Knäppchen dréckt Generéiere Reseau Adress oder manuell andeems Dir d'Netzwierkmaske am passenden Feld aginn CIDR.
Wann Dir den erfollegräichen Dateentrée bestätegt, musst Dir op d'Säit mat der Lëscht vun Netzwierker zréckkuckt andeems Dir de Back Button benotzt. Zu dësem Zäitpunkt kann d'Basis Netzwierksetup als komplett ugesi ginn.
Verbannen Reseau Wirbelen
- Als éischt muss den ZeroTier One Service op den Node installéiert ginn, deen de Benotzer mam Netz verbënnt.
Wat ass ZeroTier One?ZeroTier One ass e Service deen op Laptops, Desktops, Serveren, virtuelle Maschinnen a Container leeft, deen Verbindunge mat engem virtuellen Netzwierk iwwer e virtuellen Netzwierkport ubitt, ähnlech wéi e VPN Client.
Wann de Service installéiert a gestart ass, kënnt Dir mat virtuellen Netzwierker mat hiren 16-Zifferen Adressen verbannen. All Netzwierk erschéngt als e virtuellen Netzwierkport um System, dee sech grad wéi e normale Ethernet Hafen behält.
Linken op Verdeelungen, souwéi Installatiounsbefehle, kënne fonnt ginn .Dir kënnt den installéierten Service iwwer e Kommandozeilterminal (CLI) mat Admin / Root Rechter verwalten. Op Windows / MacOS benotzt och eng grafesch Interface. An Android / iOS nëmmen GUI benotzt.
- Iwwerpréift den Erfolleg vun der Serviceinstallatioun:
CLI:
zerotier-cli statusResultat:
200 info ebf416fac1 1.4.6 ONLINE
GUI:Déi ganz Tatsaach datt d'Applikatioun leeft an d'Präsenz an et vun enger Linn mat Node ID mat der Node Adress.
- En Node mam Netz verbannen:
CLI:
zerotier-cli join <Network ID>Resultat:
200 join OKGUI:
Windows: riets-klickt op d'Ikon ZeroTier One am Systemtablett a wielt den Artikel - Maacht mat Network.
macOS: Lancéiere der Applikatioun ZeroTier One an der Bar Menü, wann net schonn lancéiert. Klickt op d'Ikon ⏁ a wielt Maacht mat Network.Android/iOS: + (plus Bild) an der App
Am Feld dat erschéngt, gitt den Netzwierk Controller an der GUI spezifizéiert Netzwierk ID, an dréckt Maacht mat / Add Network. - Eng IP Adress un engem Host ze ginn
Elo gi mir zréck op den Netzwierkkontroller an op der Säit mat enger Lëscht vun Netzwierker verfollegen de Link Memberen. Wann Dir e Bild ähnlech wéi dëst um Écran gesitt, heescht et datt Ären Netzwierkkontroller eng Ufro kritt huet fir d'Verbindung mam Netz vum verbonne Node ze bestätegen.
Op dëser Säit loossen mir alles sou wéi et elo ass a befollegen de Link IP Aufgab gitt op d'Säit fir eng IP Adress un den Node ze ginn:
Nodeems Dir d'Adress zougewisen hutt, klickt op de Knäppchen Back zréck op d'Säit vun der Lëscht vun de verbonne Wirbelen a setzt den Numm - Member Numm a kontrolléiert d'Checkbox fir den Node am Netz ze autoriséieren - Autoriséiert. Iwwregens ass dës Checkbox eng ganz praktesch Saach fir an Zukunft aus dem Hostnetz ze trennen / ze verbannen.
Späichert d'Ännerunge mam Knäppchen Frëscht. - Iwwerpréift de Verbindungsstatus vum Node mam Netz:
Fir de Verbindungsstatus um Node selwer ze kontrolléieren, lafen:
CLI:zerotier-cli listnetworksResultat:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:Netzwierkstatus soll OK sinn
Fir déi verbleiwen Noden ze verbannen, widderhuelen d'Operatiounen 1-5 fir all eenzel.
Iwwerpréift d'Netzverbindung vun den Noden
Ech maachen dat duerch de Kommando auszeféieren ping op dem Apparat verbonne mat dem Netz deen ech am Moment verwalten.
Am Screenshot vum Web-GUI Controller kënnt Dir dräi Wirbelen gesinn, déi mam Netz verbonne sinn:
- ZTNCUI - 10.10.10.1 - meng Reseau Controller mat GUI - VDS an ee vun de RuVDS DCs. Fir normal Aarbecht ass et net néideg et am Netz ze addéieren, awer ech hunn dat gemaach well ech den Zougang zum Webinterface vu baussen blockéiere wëll. Méi iwwer dëst méi spéit.
- MyComp - 10.10.10.2 - mäin Aarbechtscomputer ass e kierperleche PC
- Backupsatellit - 10.10.10.3 - VDS an engem aneren DC.
Dofir, vu mengem Aarbechtscomputer kontrolléieren ech d'Disponibilitéit vun aneren Noden mat de Kommandoen:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
De Benotzer huet d'Recht aner Tools ze benotzen fir d'Disponibilitéit vun Noden am Netz ze kontrolléieren, souwuel am OS agebaut wéi NMAP, Advanced IP Scanner, etc.
Mir verstoppen den Zougang zum Netz Controller GUI vu baussen.
Am Allgemengen kann ech d'Wahrscheinlechkeet vun onerlaabten Zougang zum VDS reduzéieren, op deem mäi Netzwierkkontroller läit mat enger Firewall a mengem RuVDS perséinleche Kont. Dëst Thema ass méi wahrscheinlech fir en separaten Artikel. Dofir wäert ech hei weisen wéi een Zougang zum GUI Controller nëmmen aus dem Netz ubitt deen ech an dësem Artikel erstallt hunn.
Fir dëst ze maachen, musst Dir iwwer SSH mam VDS verbannen, op deem de Controller läit an d'Konfiguratiounsdatei mat dem Kommando opmaachen:
nano /opt/key-networks/ztncui/.envAn der opgemaachter Datei, no der Linn "HTTPS_PORT=3443" mat der Adress vum Hafen, op deem de GUI opmaacht, musst Dir eng zousätzlech Zeil mat der Adress addéieren, op där d'GUI opmaacht - a mengem Fall ass et HTTPS_HOST=10.10.10.1 .XNUMX.
Als nächst wäert ech d'Datei späicheren
Сtrl+C
Y
Enter
a lafen de Kommando:
systemctl restart ztncuiAn dat ass et, elo ass d'GUI vu mengem Netzwierkkontroller nëmme verfügbar fir Netzwierkknoten 10.10.10.0.24.
Amplaz vun enger Konklusioun
Hei wëll ech den éischten Deel vum praktesche Guide fäerdeg maachen fir virtuell Netzwierker op ZeroTier ze kreéieren. Ech freeën eis op Är Kommentaren.
An der Tëschenzäit, fir d'Zäit bis zur Verëffentlechung vum nächsten Deel ze verbréngen, an deem ech Iech soen wéi Dir e virtuellt Netzwierk mat engem kierperlechen kombinéiere kënnt, wéi Dir e Modus "Road Warrior" organiséiert an soss eppes, ech proposéieren Iech ze probéieren organiséiert Ären eegene virtuelle Netzwierk mat engem privaten Netzwierkkontroller mat GUI baséiert op VDS vum Maartplaz op RUVDS. Ausserdeem hunn all nei Clienten eng gratis Testperiod vun 3 Deeg!
PS Jo! Ech hu bal vergiess! Dir kënnt en Node aus dem Netz ewechhuelen andeems Dir e Kommando am CLI vun dësem Node benotzt.
zerotier-cli leave <Network ID>
200 leave OK
oder de Kommando Läschen am Client GUI um Node.
->
->
->
Source: will.com