Izveidosim un konfigurÄsim privÄto tÄ«kla kontrolleri
Izveidosim virtuÄlo tÄ«klu
KonfigurÄsim un savienosim ar to mezglus
PÄrbaudÄ«sim tÄ«kla savienojumu starp tiem
BloÄ·Äsim piekļuvi tÄ«kla kontrollera GUI no Ärpuses
TÄ«kla kontrolieris
KÄ minÄts iepriekÅ”, lai izveidotu virtuÄlos tÄ«klus, pÄrvaldÄ«tu tos, kÄ arÄ« savienotu mezglus, lietotÄjam ir nepiecieÅ”ams tÄ«kla kontrolleris, kura grafiskais interfeiss (GUI) pastÄv divos veidos:
ZeroTier GUI opcijas
Viens no izstrÄdÄtÄja ZeroTier, pieejams kÄ publiska mÄkoÅa SaaS risinÄjums ar Äetriem abonÄÅ”anas plÄniem, tostarp bezmaksas, bet ierobežots pÄrvaldÄ«to ierÄ«Äu skaitÄ un atbalsta lÄ«menÄ«.
Otrais ir no neatkarÄ«ga izstrÄdÄtÄja, nedaudz vienkÄrÅ”ots funkcionalitÄtÄ, bet pieejams kÄ privÄts atvÄrtÄ pirmkoda risinÄjums lietoÅ”anai uz vietas vai mÄkoÅa resursos.
SavÄ praksÄ izmantoju abus un rezultÄtÄ beidzot samierinÄjos ar otro. Iemesls tam bija izstrÄdÄtÄja brÄ«dinÄjumi.
āTÄ«kla kontrolleri kalpo kÄ ZeroTier virtuÄlo tÄ«klu sertifikÄcijas iestÄdes. Faili, kas satur kontroliera slepenÄs atslÄgas, ir rÅ«pÄ«gi jÄsargÄ un droÅ”i arhivÄ. ViÅu kompromiss ļauj nesankcionÄtiem uzbrucÄjiem izveidot krÄpnieciskas tÄ«kla konfigurÄcijas, un to zaudÄÅ”ana izraisa spÄju kontrolÄt un pÄrvaldÄ«t tÄ«klu, padarot to nederÄ«gu.
Un arī tavas kiberdroŔības paranojas pazīmes :)
Pat ja Cheburnet nÄk, man joprojÄm ir jÄbÅ«t piekļuvei savam tÄ«kla kontrollerim;
Tikai man vajadzÄtu izmantot tÄ«kla kontrolleri. Ja nepiecieÅ”ams, nodroÅ”inot piekļuvi saviem pilnvarotajiem pÄrstÄvjiem;
JÄbÅ«t iespÄjai ierobežot piekļuvi tÄ«kla kontrollerim no Ärpuses.
Å ajÄ rakstÄ es neredzu lielu jÄgu atseviŔķi aplÅ«kot tÄ«kla kontrolleri un tÄ GUI izvietoÅ”anu lokÄlajos fiziskajos vai virtuÄlajos resursos. Un tam ir arÄ« 3 iemesli:
vÄstuļu bÅ«s vairÄk nekÄ plÄnots
par Å”o jau stÄstÄ«ja GUI izstrÄdÄtÄjÄ GitHab
raksta tÄma ir par ko citu
TÄpÄc, izvÄloties mazÄkÄs pretestÄ«bas ceļu, Å”ajÄ stÄstÄ izmantoÅ”u tÄ«kla kontrolleri ar uz VDS balstÄ«tu GUI, ko radÄ«jis no veidnes, kuru laipni izstrÄdÄjuÅ”i mani kolÄÄ£i no RuVDS.
SÄkotnÄjÄ iestatÄ«Å”ana
PÄc servera izveides no norÄdÄ«tÄs veidnes lietotÄjs iegÅ«st piekļuvi Web-GUI kontrollerim, izmantojot pÄrlÅ«kprogrammu, piekļūstot https://:3443
PÄc noklusÄjuma serverÄ« jau ir iepriekÅ” Ä£enerÄts paÅ”parakstÄ«ts TLS/SSL sertifikÄts. Man ar to pietiek, jo es bloÄ·Äju piekļuvi tai no Ärpuses. Tiem, kas vÄlas izmantot cita veida sertifikÄtus, ir uzstÄdÄ«Å”anas instrukcijas GUI izstrÄdÄtÄjÄ GitHab.
Kad lietotÄjs piesakÄs pirmo reizi PieslÄgties ar noklusÄjuma pieteikumvÄrdu un paroli - admin Šø parole:
Tas iesaka mainÄ«t noklusÄjuma paroli uz pielÄgotu
Es to daru nedaudz savÄdÄk - es nemainu esoÅ”a lietotÄja paroli, bet izveidoju jaunu - Izveidot lietotÄju.
Es iestatÄ«ju jaunÄ lietotÄja vÄrdu - LietotÄjvÄrds:
Es iestatīju jaunu paroli - Ievadiet jauno paroli:
Es apstiprinu jauno paroli - Ievadiet paroli vÄlreiz:
IevadÄ«tÄs rakstzÄ«mes ir reÄ£istrjutÄ«gas ā esiet piesardzÄ«gs!
IzvÄles rÅ«tiÅa, lai apstiprinÄtu paroles maiÅu nÄkamajÄ pieteikÅ”anÄs reizÄ - Mainiet paroli nÄkamajÄ pieteikÅ”anÄs reizÄ: Es nesvinu.
Lai apstiprinÄtu ievadÄ«tos datus, nospiediet UzstÄdÄ«t paroli:
Tad: es atkÄrtoti pieteicos - Iziet / PieslÄgties, jau saskaÅÄ ar jaunÄ lietotÄja akreditÄcijas datiem:
PÄc tam es dodos uz cilni lietotÄji - LietotÄji un izdzÄsiet lietotÄju adminnoklikŔķinot uz miskastes ikonas, kas atrodas pa kreisi no viÅa vÄrda.
NÄkotnÄ jÅ«s varat mainÄ«t lietotÄja paroli, noklikŔķinot vai nu uz viÅa vÄrda, vai uz iestatÄ«tÄs paroles.
VirtuÄlÄ tÄ«kla izveide
Lai izveidotu virtuÄlo tÄ«klu, lietotÄjam jÄdodas uz cilni Pievienojiet tÄ«klu. No punkta lietotÄjs to var izdarÄ«t, izmantojot lapu SÄkumlapa ā Web-GUI galvenÄ lapa, kas parÄda Ŕī tÄ«kla kontrollera ZeroTier adresi un satur saiti uz caur to izveidoto tÄ«klu sarakstu.
LapÄ Pievienojiet tÄ«klu lietotÄjs pieŔķir nosaukumu jaunizveidotajam tÄ«klam.
Lietojot ievades datus ā Izveidojiet tÄ«klu lietotÄjs tiek novirzÄ«ts uz lapu ar tÄ«klu sarakstu, kurÄ ir:
TÄ«kla nosaukums ā tÄ«kla nosaukums saites veidÄ, uzklikŔķinot uz tÄ, to var mainÄ«t TÄ«kla ID ā tÄ«kla identifikators detaļa ā saite uz lapu ar detalizÄtiem tÄ«kla parametriem vienkÄrÅ”a iestatÄ«Å”ana ā saite uz lapu Ärtai iestatÄ«Å”anai biedri ā saite uz mezglu pÄrvaldÄ«bas lapu
Lai veiktu turpmÄku iestatÄ«Å”anu, sekojiet saitei vienkÄrÅ”a iestatÄ«Å”ana. AtvÄrtajÄ lapÄ lietotÄjs norÄda izveidotÄ tÄ«kla IPv4 adreÅ”u diapazonu. To var izdarÄ«t automÄtiski, nospiežot pogu Ä¢enerÄt tÄ«kla adresi vai manuÄli, attiecÄ«gajÄ laukÄ ievadot tÄ«kla tÄ«kla masku CIDR.
Apstiprinot veiksmÄ«gu datu ievadi, jums ir jÄatgriežas lapÄ ar tÄ«klu sarakstu, izmantojot pogu Atpakaļ. Å ajÄ brÄ«dÄ« pamata tÄ«kla iestatÄ«Å”anu var uzskatÄ«t par pabeigtu.
Tīkla mezglu savienoŔana
PirmkÄrt, ZeroTier One pakalpojums ir jÄinstalÄ mezglÄ, kuru lietotÄjs vÄlas izveidot savienojumu ar tÄ«klu.
Kas ir ZeroTier One?ZeroTier One ir pakalpojums, kas darbojas klÄpjdatoros, galddatoros, serveros, virtuÄlajÄs maŔīnÄs un konteineros, kas nodroÅ”ina savienojumus ar virtuÄlo tÄ«klu, izmantojot virtuÄlÄ tÄ«kla portu, lÄ«dzÄ«gi kÄ VPN klientam.
Kad pakalpojums ir instalÄts un palaists, varat izveidot savienojumu ar virtuÄlajiem tÄ«kliem, izmantojot to 16 ciparu adreses. Katrs tÄ«kls sistÄmÄ parÄdÄs kÄ virtuÄls tÄ«kla ports, kas darbojas tÄpat kÄ parasts Ethernet ports.
Var atrast saites uz izplatÄ«Å”anu, kÄ arÄ« instalÄÅ”anas komandas ražotÄja lapÄ.
JÅ«s varat pÄrvaldÄ«t instalÄto pakalpojumu, izmantojot komandrindas terminÄli (CLI) ar administratora/saknes tiesÄ«bÄm. OperÄtÄjsistÄmÄ Windows/MacOS arÄ« tiek izmantots grafiskais interfeiss. OperÄtÄjsistÄmÄ Android/iOS tikai izmantojot GUI.
Pakalpojuma instalÄÅ”anas panÄkumu pÄrbaude:
CLI:
zerotier-cli status
RezultÄts:
200 info ebf416fac1 1.4.6 ONLINE
GUI:
Pats fakts, ka lietojumprogramma darbojas, un lÄ«nijas klÄtbÅ«tne ar mezgla ID ar mezgla adresi.
Mezgla pievienoŔana tīklam:
CLI:
zerotier-cli join <Network ID>
RezultÄts:
200 join OK
GUI:
Logi: ar peles labo pogu noklikŔķiniet uz ikonas ZeroTier One sistÄmas teknÄ un atlasot vienumu - Pievienojieties tÄ«klam.
MacOS: Palaidiet lietojumprogrammu ZeroTier One joslas izvÄlnÄ, ja tas vÄl nav palaists. NoklikŔķiniet uz ikonas ā un atlasiet Pievienojieties tÄ«klam.
IP adreses pieŔķirŔana saimniekdatoram
Tagad mÄs atgriežamies pie tÄ«kla kontrollera un lapÄ ar tÄ«klu sarakstu sekojiet saitei biedri. Ja ekrÄnÄ redzat Å”im attÄlam lÄ«dzÄ«gu attÄlu, tas nozÄ«mÄ, ka jÅ«su tÄ«kla kontrolleris ir saÅÄmis pieprasÄ«jumu apstiprinÄt savienojumu ar tÄ«klu no pievienotÄ mezgla.
Å ajÄ lapÄ mÄs atstÄjam visu, kÄ tas ir Å”obrÄ«d, un sekojam saitei IP pieŔķirÅ”ana dodieties uz lapu, lai mezglam pieŔķirtu IP adresi:
PÄc adreses pieŔķirÅ”anas noklikŔķiniet uz pogas atpakaļ atgriezieties pievienoto mezglu saraksta lapÄ un iestatiet nosaukumu - DalÄ«bnieka vÄrds un atzÄ«mÄjiet izvÄles rÅ«tiÅu, lai autorizÄtu tÄ«kla mezglu - AutorizÄts. Starp citu, Ŕī izvÄles rÅ«tiÅa ir ļoti Ärta lieta, lai nÄkotnÄ atvienotos/pieslÄgtos no resursdatora tÄ«kla.
SaglabÄjiet izmaiÅas, izmantojot pogu atsvaidzinÄt.
Mezgla savienojuma ar tÄ«klu statusa pÄrbaude:
Lai pÄrbaudÄ«tu savienojuma statusu paÅ”Ä mezglÄ, palaidiet:
CLI:
Lai savienotu atlikuÅ”os mezglus, atkÄrtojiet darbÄ«bas 1-5 katram no tiem.
Mezglu tÄ«kla savienojamÄ«bas pÄrbaude
Es to daru, izpildot komandu ping ierÄ«cÄ, kas savienota ar tÄ«klu, kuru paÅ”laik pÄrvaldu.
Web-GUI kontrollera ekrÄnuzÅÄmumÄ var redzÄt trÄ«s tÄ«klam pievienotus mezglus:
ZTNCUI - 10.10.10.1 - mans tÄ«kla kontrolleris ar GUI - VDS vienÄ no RuVDS DC. NormÄlam darbam tas nav jÄpievieno tÄ«klam, bet es to izdarÄ«ju, jo vÄlos bloÄ·Ät piekļuvi tÄ«mekļa saskarnei no Ärpuses. VairÄk par to vÄlÄk.
MyComp - 10.10.10.2 - mans darba dators ir fizisks dators
Rezerves kopija - 10.10.10.3 ā VDS citÄ DC.
TÄpÄc no sava darba datora es pÄrbaudu citu mezglu pieejamÄ«bu ar komandÄm:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
LietotÄjam ir tiesÄ«bas izmantot citus rÄ«kus, lai pÄrbaudÄ«tu mezglu pieejamÄ«bu tÄ«klÄ, gan iebÅ«vÄtus OS, gan tÄdus kÄ NMAP, Advanced IP Scanner utt.
MÄs slÄpjam piekļuvi tÄ«kla kontrollera GUI no Ärpuses.
KopumÄ es varu samazinÄt nesankcionÄtas piekļuves iespÄjamÄ«bu VDS, kurÄ atrodas mans tÄ«kla kontrolleris, izmantojot ugunsmÅ«ri manÄ RuVDS personÄ«gajÄ kontÄ. Å Ä« tÄma, visticamÄk, ir paredzÄta atseviŔķam rakstam. TÄpÄc Å”eit es parÄdÄ«Å”u, kÄ nodroÅ”inÄt piekļuvi GUI kontrollerim tikai no tÄ«kla, kuru izveidoju Å”ajÄ rakstÄ.
Lai to izdarÄ«tu, caur SSH ir jÄpievienojas VDS, kurÄ atrodas kontrolleris, un jÄatver konfigurÄcijas fails, izmantojot komandu:
nano /opt/key-networks/ztncui/.env
AtvÄrtajÄ failÄ pÄc rindas āHTTPS_PORT=3443ā, kurÄ ir tÄ porta adrese, kurÄ tiek atvÄrts GUI, jÄpievieno papildu rinda ar adresi, kurÄ tiks atvÄrta GUI - manÄ gadÄ«jumÄ tÄ ir HTTPS_HOST=10.10.10.1. .XNUMX.
TÄlÄk es saglabÄÅ”u failu
Š”trl+C
Y
Enter
un palaidiet komandu:
systemctl restart ztncui
Un viss, tagad mana tīkla kontrollera GUI ir pieejama tikai tīkla mezgliem 10.10.10.0.24.
TÄ vietÄ, lai noslÄgtu
Å eit es vÄlos pabeigt praktiskÄ rokasgrÄmatas pirmo daļu virtuÄlo tÄ«klu izveidei, pamatojoties uz ZeroTier. Gaidu jÅ«su komentÄrus.
TikmÄr, lai paietu laiks lÄ«dz nÄkamÄs daļas publicÄÅ”anai, kurÄ pastÄstÄ«Å”u, kÄ apvienot virtuÄlo tÄ«klu ar fizisko, kÄ organizÄt āroad warriorā režīmu un vÄl kaut ko, iesaku pamÄÄ£inÄt sava virtuÄlÄ tÄ«kla organizÄÅ”ana, izmantojot privÄtu tÄ«kla kontrolleri ar GUI, kura pamatÄ ir VDS no tirgus TieÅ”saistÄ RUVDS. TurklÄt visiem jaunajiem klientiem ir pieejams 3 dienu bezmaksas izmÄÄ£inÄjuma periods!
PS JÄ! Es gandrÄ«z aizmirsu! JÅ«s varat noÅemt mezglu no tÄ«kla, izmantojot komandu Ŕī mezgla CLI.