🥇 Darbojas ar ZeroTier. Praktisks ceļvedis virtuālo tīklu veidošanā. 1. daļa

Turpinot stāstu par ZeroTier, no rakstā izklāstītās teorijas “Viedais Ethernet slēdzis planētai Zeme", es pāreju uz praksi, kurā:

Izveidosim un konfigurēsim privāto tīkla kontrolleri
Izveidosim virtuālo tīklu
Konfigurēsim un savienosim ar to mezglus
Pārbaudīsim tīkla savienojumu starp tiem
Bloķēsim piekļuvi tīkla kontrollera GUI no ārpuses

Tīkla kontrolieris

Kā minēts iepriekš, lai izveidotu virtuālos tīklus, pārvaldītu tos, kā arī savienotu mezglus, lietotājam ir nepieciešams tīkla kontrolleris, kura grafiskais interfeiss (GUI) pastāv divos veidos:

ZeroTier GUI opcijas

Viens no izstrādātāja ZeroTier, pieejams kā publiska mākoņa SaaS risinājums ar četriem abonēšanas plāniem, tostarp bezmaksas, bet ierobežots pārvaldīto ierīču skaitā un atbalsta līmenī.
Otrais ir no neatkarīga izstrādātāja, nedaudz vienkāršots funkcionalitātē, bet pieejams kā privāts atvērtā pirmkoda risinājums lietošanai uz vietas vai mākoņa resursos.

Savā praksē izmantoju abus un rezultātā beidzot samierinājos ar otro. Iemesls tam bija izstrādātāja brīdinājumi.

“Tīkla kontrolleri kalpo kā ZeroTier virtuālo tīklu sertifikācijas iestādes. Faili, kas satur kontroliera slepenās atslēgas, ir rūpīgi jāsargā un droši arhivē. Viņu kompromiss ļauj nesankcionētiem uzbrucējiem izveidot krāpnieciskas tīkla konfigurācijas, un to zaudēšana izraisa spēju kontrolēt un pārvaldīt tīklu, padarot to nederīgu.

→ Saite uz dokumentāciju

Un arī tavas kiberdrošības paranojas pazīmes :)

Pat ja Cheburnet nāk, man joprojām ir jābūt piekļuvei savam tīkla kontrollerim;
Tikai man vajadzētu izmantot tīkla kontrolleri. Ja nepieciešams, nodrošinot piekļuvi saviem pilnvarotajiem pārstāvjiem;
Jābūt iespējai ierobežot piekļuvi tīkla kontrollerim no ārpuses.

Šajā rakstā es neredzu lielu jēgu atsevišķi aplūkot tīkla kontrolleri un tā GUI izvietošanu lokālajos fiziskajos vai virtuālajos resursos. Un tam ir arī 3 iemesli:

vēstuļu būs vairāk nekā plānots
par šo jau stāstīja GUI izstrādātājā GitHab
raksta tēma ir par ko citu

Tāpēc, izvēloties mazākās pretestības ceļu, šajā stāstā izmantošu tīkla kontrolleri ar uz VDS balstītu GUI, ko radījis no veidnes, kuru laipni izstrādājuši mani kolēģi no RuVDS.

Sākotnējā iestatīšana

Pēc servera izveides no norādītās veidnes lietotājs iegūst piekļuvi Web-GUI kontrollerim, izmantojot pārlūkprogrammu, piekļūstot https://:3443

Pēc noklusējuma serverī jau ir iepriekš ģenerēts pašparakstīts TLS/SSL sertifikāts. Man ar to pietiek, jo es bloķēju piekļuvi tai no ārpuses. Tiem, kas vēlas izmantot cita veida sertifikātus, ir uzstādīšanas instrukcijas GUI izstrādātājā GitHab.

Kad lietotājs piesakās pirmo reizi Pieslēgties ar noklusējuma pieteikumvārdu un paroli - admin и parole:

Tas iesaka mainīt noklusējuma paroli uz pielāgotu

Es to daru nedaudz savādāk - es nemainu esoša lietotāja paroli, bet izveidoju jaunu - Izveidot lietotāju.

Es iestatīju jaunā lietotāja vārdu - Lietotājvārds:
Es iestatīju jaunu paroli - Ievadiet jauno paroli:
Es apstiprinu jauno paroli - Ievadiet paroli vēlreiz:

Ievadītās rakstzīmes ir reģistrjutīgas — esiet piesardzīgs!

Izvēles rūtiņa, lai apstiprinātu paroles maiņu nākamajā pieteikšanās reizē - Mainiet paroli nākamajā pieteikšanās reizē: Es nesvinu.

Lai apstiprinātu ievadītos datus, nospiediet Uzstādīt paroli:

Tad: es atkārtoti pieteicos - Iziet / Pieslēgties, jau saskaņā ar jaunā lietotāja akreditācijas datiem:

Pēc tam es dodos uz cilni lietotāji - Lietotāji un izdzēsiet lietotāju adminnoklikšķinot uz miskastes ikonas, kas atrodas pa kreisi no viņa vārda.

Nākotnē jūs varat mainīt lietotāja paroli, noklikšķinot vai nu uz viņa vārda, vai uz iestatītās paroles.

Virtuālā tīkla izveide

Lai izveidotu virtuālo tīklu, lietotājam jādodas uz cilni Pievienojiet tīklu. No punkta lietotājs to var izdarīt, izmantojot lapu Sākumlapa — Web-GUI galvenā lapa, kas parāda šī tīkla kontrollera ZeroTier adresi un satur saiti uz caur to izveidoto tīklu sarakstu.

Lapā Pievienojiet tīklu lietotājs piešķir nosaukumu jaunizveidotajam tīklam.

Lietojot ievades datus − Izveidojiet tīklu lietotājs tiek novirzīts uz lapu ar tīklu sarakstu, kurā ir:

Tīkla nosaukums — tīkla nosaukums saites veidā, uzklikšķinot uz tā, to var mainīt
Tīkla ID — tīkla identifikators
detaļa — saite uz lapu ar detalizētiem tīkla parametriem
vienkārša iestatīšana — saite uz lapu ērtai iestatīšanai
biedri — saite uz mezglu pārvaldības lapu

Lai veiktu turpmāku iestatīšanu, sekojiet saitei vienkārša iestatīšana. Atvērtajā lapā lietotājs norāda izveidotā tīkla IPv4 adrešu diapazonu. To var izdarīt automātiski, nospiežot pogu Ģenerēt tīkla adresi vai manuāli, attiecīgajā laukā ievadot tīkla tīkla masku CIDR.

Apstiprinot veiksmīgu datu ievadi, jums ir jāatgriežas lapā ar tīklu sarakstu, izmantojot pogu Atpakaļ. Šajā brīdī pamata tīkla iestatīšanu var uzskatīt par pabeigtu.

Tīkla mezglu savienošana

Pirmkārt, ZeroTier One pakalpojums ir jāinstalē mezglā, kuru lietotājs vēlas izveidot savienojumu ar tīklu.
Kas ir ZeroTier One?ZeroTier One ir pakalpojums, kas darbojas klēpjdatoros, galddatoros, serveros, virtuālajās mašīnās un konteineros, kas nodrošina savienojumus ar virtuālo tīklu, izmantojot virtuālā tīkla portu, līdzīgi kā VPN klientam.

Kad pakalpojums ir instalēts un palaists, varat izveidot savienojumu ar virtuālajiem tīkliem, izmantojot to 16 ciparu adreses. Katrs tīkls sistēmā parādās kā virtuāls tīkla ports, kas darbojas tāpat kā parasts Ethernet ports.
Var atrast saites uz izplatīšanu, kā arī instalēšanas komandas ražotāja lapā.

Jūs varat pārvaldīt instalēto pakalpojumu, izmantojot komandrindas termināli (CLI) ar administratora/saknes tiesībām. Operētājsistēmā Windows/MacOS arī tiek izmantots grafiskais interfeiss. Operētājsistēmā Android/iOS tikai izmantojot GUI.
Pakalpojuma instalēšanas panākumu pārbaude:
CLI:
```
zerotier-cli status
```
Rezultāts:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Pats fakts, ka lietojumprogramma darbojas, un līnijas klātbūtne ar mezgla ID ar mezgla adresi.
Mezgla pievienošana tīklam:
CLI:
```
zerotier-cli join <Network ID>
```
Rezultāts:

200 join OK

GUI:

Logi: ar peles labo pogu noklikšķiniet uz ikonas ZeroTier One sistēmas teknē un atlasot vienumu - Pievienojieties tīklam.

MacOS: Palaidiet lietojumprogrammu ZeroTier One joslas izvēlnē, ja tas vēl nav palaists. Noklikšķiniet uz ikonas ⏁ un atlasiet Pievienojieties tīklam.

Android/iOS: + (plus attēls) lietotnē

Parādītajā laukā ievadiet GUI norādīto tīkla kontrolleri Tīkla IDun nospiediet Pievienojieties/pievienojiet tīklu.
IP adreses piešķiršana saimniekdatoram
Tagad mēs atgriežamies pie tīkla kontrollera un lapā ar tīklu sarakstu sekojiet saitei biedri. Ja ekrānā redzat šim attēlam līdzīgu attēlu, tas nozīmē, ka jūsu tīkla kontrolleris ir saņēmis pieprasījumu apstiprināt savienojumu ar tīklu no pievienotā mezgla.

Šajā lapā mēs atstājam visu, kā tas ir šobrīd, un sekojam saitei IP piešķiršana dodieties uz lapu, lai mezglam piešķirtu IP adresi:

Pēc adreses piešķiršanas noklikšķiniet uz pogas atpakaļ atgriezieties pievienoto mezglu saraksta lapā un iestatiet nosaukumu - Dalībnieka vārds un atzīmējiet izvēles rūtiņu, lai autorizētu tīkla mezglu - Autorizēts. Starp citu, šī izvēles rūtiņa ir ļoti ērta lieta, lai nākotnē atvienotos/pieslēgtos no resursdatora tīkla.

Saglabājiet izmaiņas, izmantojot pogu atsvaidzināt.
Mezgla savienojuma ar tīklu statusa pārbaude:
Lai pārbaudītu savienojuma statusu pašā mezglā, palaidiet:
CLI:
```
zerotier-cli listnetworks
```
Rezultāts:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Tīkla statusam jābūt OK

Lai savienotu atlikušos mezglus, atkārtojiet darbības 1-5 katram no tiem.

Mezglu tīkla savienojamības pārbaude

Es to daru, izpildot komandu ping ierīcē, kas savienota ar tīklu, kuru pašlaik pārvaldu.

Web-GUI kontrollera ekrānuzņēmumā var redzēt trīs tīklam pievienotus mezglus:

ZTNCUI - 10.10.10.1 - mans tīkla kontrolleris ar GUI - VDS vienā no RuVDS DC. Normālam darbam tas nav jāpievieno tīklam, bet es to izdarīju, jo vēlos bloķēt piekļuvi tīmekļa saskarnei no ārpuses. Vairāk par to vēlāk.
MyComp - 10.10.10.2 - mans darba dators ir fizisks dators
Rezerves kopija - 10.10.10.3 — VDS citā DC.

Tāpēc no sava darba datora es pārbaudu citu mezglu pieejamību ar komandām:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Lietotājam ir tiesības izmantot citus rīkus, lai pārbaudītu mezglu pieejamību tīklā, gan iebūvētus OS, gan tādus kā NMAP, Advanced IP Scanner utt.

Mēs slēpjam piekļuvi tīkla kontrollera GUI no ārpuses.

Kopumā es varu samazināt nesankcionētas piekļuves iespējamību VDS, kurā atrodas mans tīkla kontrolleris, izmantojot ugunsmūri manā RuVDS personīgajā kontā. Šī tēma, visticamāk, ir paredzēta atsevišķam rakstam. Tāpēc šeit es parādīšu, kā nodrošināt piekļuvi GUI kontrollerim tikai no tīkla, kuru izveidoju šajā rakstā.

Lai to izdarītu, caur SSH ir jāpievienojas VDS, kurā atrodas kontrolleris, un jāatver konfigurācijas fails, izmantojot komandu:

nano /opt/key-networks/ztncui/.env

Atvērtajā failā pēc rindas “HTTPS_PORT=3443”, kurā ir tā porta adrese, kurā tiek atvērts GUI, jāpievieno papildu rinda ar adresi, kurā tiks atvērta GUI - manā gadījumā tā ir HTTPS_HOST=10.10.10.1. .XNUMX.

Tālāk es saglabāšu failu

Сtrl+C Y Enter

un palaidiet komandu:

systemctl restart ztncui

Un viss, tagad mana tīkla kontrollera GUI ir pieejama tikai tīkla mezgliem 10.10.10.0.24.

Tā vietā, lai noslēgtu

Šeit es vēlos pabeigt praktiskā rokasgrāmatas pirmo daļu virtuālo tīklu izveidei, pamatojoties uz ZeroTier. Gaidu jūsu komentārus.

Tikmēr, lai paietu laiks līdz nākamās daļas publicēšanai, kurā pastāstīšu, kā apvienot virtuālo tīklu ar fizisko, kā organizēt “road warrior” režīmu un vēl kaut ko, iesaku pamēģināt sava virtuālā tīkla organizēšana, izmantojot privātu tīkla kontrolleri ar GUI, kura pamatā ir VDS no tirgus Tiešsaistē RUVDS. Turklāt visiem jaunajiem klientiem ir pieejams 3 dienu bezmaksas izmēģinājuma periods!

PS Jā! Es gandrīz aizmirsu! Jūs varat noņemt mezglu no tīkla, izmantojot komandu šī mezgla CLI.

zerotier-cli leave <Network ID>

200 leave OK

vai komandu Dzēst mezgla klienta GUI.

-> Ievads. Teorētiskā daļa. Viedais Ethernet slēdzis planētai Zeme
-> Praktisks ceļvedis virtuālo tīklu veidošanā. 1. daļa
-> Praktisks ceļvedis virtuālo tīklu veidošanā. 2. daļa

Avots: www.habr.com

Darbojas ar ZeroTier. Praktisks ceļvedis virtuālo tīklu veidošanā. 1. daļa