🥇 Напојуван од ZeroTier. Практичен водич за градење виртуелни мрежи. Дел 1

Продолжување на приказната за ZeroTier, од теоријата наведена во статијата “Паметен етернет прекинувач за планетата Земја“, продолжувам на вежбање во која:

Ајде да создадеме и конфигурираме приватен мрежен контролер
Ајде да создадеме виртуелна мрежа
Ајде да конфигурираме и да ги поврземе јазлите со него
Ајде да ја провериме мрежната поврзаност меѓу нив
Ајде да го блокираме пристапот до GUI на мрежниот контролер однадвор

Мрежен контролер

Како што споменавме порано, за создавање виртуелни мрежи, управување со нив, како и поврзување јазли, на корисникот му треба мрежен контролер, графички интерфејс (GUI) за кој постои во две форми:

Опции за GUI на ZeroTier

Еден од развивачот ZeroTier, достапно како решение за јавно облак SaaS со четири претплати за претплата, вклучувајќи бесплатни, но ограничени во бројот на управувани уреди и нивото на поддршка
Вториот е од независен програмер, малку поедноставен во функционалноста, но достапен како приватно решение со отворен код за употреба во просторија или на ресурси на облак.

Во мојата пракса ги користев и двете и како резултат на тоа конечно се решив на второто. Причината за ова беа предупредувањата на инвеститорот.

„Мрежните контролери служат како авторитети за сертификација за виртуелните мрежи ZeroTier. Датотеките што содржат тајни клучеви на контролорот мора внимателно да се чуваат и безбедно да се архивираат. Нивниот компромис им дозволува на неовластените напаѓачи да креираат лажни мрежни конфигурации, а нивната загуба доведува до губење на способноста за контрола и управување со мрежата, што ефективно ја прави неупотреблива“.

→ Линк до документацијата

И, исто така, знаци на сопствена сајбер-безбедност параноја :)

Дури и ако дојде Чебурнет, сепак мора да имам пристап до мојот мрежен контролер;
Само јас треба да го користам мрежниот контролер. Доколку е потребно, обезбедување пристап до вашите овластени претставници;
Треба да биде можно да се ограничи пристапот до мрежниот контролер однадвор.

Во оваа статија, не гледам многу смисла да се осврнам одделно за тоа како да се распореди мрежен контролер и GUI за него на физички или виртуелни ресурси во просторија. И исто така има 3 причини за ова:

ќе има повеќе писма од планираното
за ова веќе изјави на развивачот на GUI GitHab
темата на статијата е за нешто друго

Затоа, избирајќи ја патеката со најмал отпор, во оваа приказна ќе користам мрежен контролер со GUI базиран на VDS, создаден од од шаблонот, љубезно развиена од моите колеги од РуВДС.

Почетно поставување

Откако ќе создаде сервер од наведениот шаблон, корисникот добива пристап до контролерот Web-GUI преку прелистувач со пристап до https:// : 3443

Стандардно, серверот веќе содржи претходно генериран само-потпишан TLS/SSL сертификат. Ова е доволно за мене, бидејќи го блокирам пристапот до него однадвор. За оние кои сакаат да користат други видови сертификати, постои инструкции за инсталација на развивачот на GUI GitHab.

Кога корисникот ќе се најави за прв пат најави се со стандардно најавување и лозинка - admin и лозинка:

Предлага промена на стандардната лозинка на прилагодена

Јас го правам тоа малку поинаку - не ја менувам лозинката на постоечки корисник, туку создавам нова - Креирај корисник.

Го поставив името на новиот корисник - Корисничко име:
Поставив нова лозинка - Внесете нова лозинка:
Ја потврдувам новата лозинка - Внеси ја повторно лозинката:

Ликовите што ги внесувате се осетливи на букви - внимавајте!

Поле за избор за да се потврди промената на лозинката при следното најавување - Променете ја лозинката при следното најавување: Јас не славам.

За да ги потврдите внесените податоци, притиснете Ставете лозинка:

Потоа: повторно се најавувам - Одјава / најави се, веќе под ингеренциите на новиот корисник:

Следно, одам во картичката корисници - Корисници и избришете го корисникот adminсо кликнување на иконата за корпа за отпадоци која се наоѓа лево од неговото име.

Во иднина, можете да ја промените лозинката на корисникот со кликнување или на неговото име или на поставената лозинка.

Создавање виртуелна мрежа

За да креирате виртуелна мрежа, корисникот треба да отиде на јазичето Додадете мрежа. Од точка Корисникот тоа може да се направи преку страницата Почетна — главната страница на Web-GUI, која ја прикажува адресата ZeroTier на овој мрежен контролер и содржи врска до страницата за списокот на мрежи создадени преку него.

На страница Додадете мрежа корисникот доделува име на новосоздадената мрежа.

При примена на влезните податоци − Креирај мрежа корисникот е одведен на страница со листа на мрежи, која содржи:

Име на мрежата — името на мрежата во форма на врска, кога ќе кликнете на неа можете да го промените
ID на мрежата — идентификатор на мрежата
детали — линк до страница со детални мрежни параметри
лесно поставување — линк до страница за лесно поставување
членови — врска до страницата за управување со јазли

За понатамошно поставување следете ја врската лесно поставување. На страницата што се отвора, корисникот одредува опсег на IPv4 адреси за мрежата што се креира. Ова може да се направи автоматски со притискање на копче Генерирајте мрежна адреса или рачно со внесување на маската на мрежата во соодветното поле CIDR.

Кога потврдувате успешно внесување податоци, мора да се вратите на страницата со списокот на мрежи користејќи го копчето Назад. Во овој момент, основното поставување на мрежата може да се смета за завршено.

Поврзување мрежни јазли

Прво, услугата ZeroTier One мора да биде инсталирана на јазолот што корисникот сака да го поврзе на мрежата.
Што е ZeroTier One?Нулта Ниво Еден е услуга која работи на лаптопи, десктоп компјутери, сервери, виртуелни машини и контејнери која обезбедува поврзување со виртуелна мрежа преку виртуелна мрежна порта, слично на клиентот VPN.

Откако ќе се инсталира и стартува услугата, можете да се поврзете на виртуелни мрежи користејќи ги нивните 16-цифрени адреси. Секоја мрежа се појавува како виртуелна мрежна порта на системот, која се однесува исто како обична етернет порта.
Може да се најдат врски до дистрибуции, како и команди за инсталација на страницата на производителот.

Можете да управувате со инсталираната услуга преку терминал за командна линија (CLI) со администраторски/root права. На Windows/MacOS, исто така, користејќи графички интерфејс. Во Android/iOS само користејќи GUI.
Проверка на успешноста на инсталацијата на услугата:
CLI:
```
zerotier-cli status
```
Резултатот е:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Самиот факт дека апликацијата работи и присуството во неа на линија со ID на јазол со адресата на јазолот.
Поврзување јазол на мрежата:
CLI:
```
zerotier-cli join <Network ID>
```
Резултатот е:

200 join OK

GUI:

Прозорци: кликнете со десното копче на иконата Нулта Ниво Еден во системската лента и избирање на ставката - Приклучи се на мрежата.

MacOS: Стартувајте ја апликацијата Нулта Ниво Еден во менито на лентата, ако не е веќе стартувано. Кликнете на иконата ⏁ и изберете Приклучи се на мрежата.

Android/iOS: + (плус слика) во апликацијата

Во полето што се појавува, внесете го мрежниот контролер наведен во GUI ID на мрежатаи притиснете Приклучи/Додај мрежа.
Доделување IP адреса на домаќин
Сега се враќаме на мрежниот контролер и на страницата со список на мрежи следете ја врската членови. Ако видите слика слична на оваа на екранот, тоа значи дека вашиот мрежен контролер добил барање да ја потврди врската со мрежата од поврзаниот јазол.

На оваа страница оставаме сè како што е засега и ја следиме врската Доделување на IP одете на страницата за доделување IP адреса на јазолот:

Откако ќе ја доделите адресата, кликнете на копчето назад вратете се на страницата од списокот на поврзани јазли и поставете го името - Име на член и проверете го полето за избор за да го овластите јазолот на мрежата - Овластени. Патем, ова поле за избор е многу погодна работа за исклучување/поврзување од мрежата на домаќинот во иднина.

Зачувајте ги промените користејќи го копчето освежување.
Проверка на статусот на поврзување на јазолот со мрежата:
За да го проверите статусот на врската на самиот јазол, извршете:
CLI:
```
zerotier-cli listnetworks
```
Резултатот е:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Статусот на мрежата треба да биде во ред

За да ги поврзете преостанатите јазли, повторете ги операциите 1-5 за секој од нив.

Проверка на мрежното поврзување на јазлите

Ова го правам со извршување на командата пинг на уредот поврзан на мрежата што моментално ја управувам.

На сликата од екранот на контролерот Web-GUI можете да видите три јазли поврзани на мрежата:

ZTNCUI - 10.10.10.1 - мојот мрежен контролер со GUI - VDS во еден од RuVDS DC-ите. За нормална работа нема потреба да го додавам во мрежата, но го направив ова затоа што сакам да го блокирам пристапот до веб-интерфејсот однадвор. Повеќе за ова подоцна.
MyComp - 10.10.10.2 - Мојот работен компјутер е физички компјутер
Резервна копија - 10.10.10.3 — VDS во друг DC.

Затоа, од мојот работен компјутер ја проверувам достапноста на други јазли со командите:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Корисникот има право да користи други алатки за проверка на достапноста на јазлите на мрежата, вградени во ОС и како што се NMAP, Напреден IP скенер итн.

Ние го криеме пристапот до GUI на мрежниот контролер однадвор.

Во принцип, можам да ја намалам веројатноста за неовластен пристап до VDS на кој се наоѓа мојот мрежен контролер користејќи заштитен ѕид во мојата лична сметка на RuVDS. Оваа тема е поверојатно за посебна статија. Затоа, овде ќе покажам како да обезбедам пристап до GUI контролерот само од мрежата што ја создадов во оваа статија.

За да го направите ова, треба да се поврзете преку SSH со VDS на кој се наоѓа контролорот и да ја отворите конфигурациската датотека користејќи ја командата:

nano /opt/key-networks/ztncui/.env

Во отворената датотека, по линијата „HTTPS_PORT=3443“ што ја содржи адресата на портата на која се отвора GUI, треба да додадете дополнителна линија со адресата на која ќе се отвори GUI - во мојот случај тоа е HTTPS_HOST=10.10.10.1 .XNUMX.

Следно ќе ја зачувам датотеката

Сtrl+C Y Enter

и извршете ја командата:

systemctl restart ztncui

И тоа е тоа, сега GUI на мојот мрежен контролер е достапен само за мрежните јазли 10.10.10.0.24.

Наместо заклучок

Ова е местото каде што сакам да го завршам првиот дел од практичниот водич за создавање виртуелни мрежи базирани на ZeroTier. Со нетрпение ги очекувам вашите коментари.

Во меѓувреме, за да помине времето до објавувањето на следниот дел, во кој ќе ви кажам како да комбинирате виртуелна мрежа со физичка, како да организирате режим „воин на патот“ и нешто друго, ви предлагам да пробате организирање на сопствена виртуелна мрежа користејќи приватен мрежен контролер со GUI базиран на VDS од пазарот натаму Онлајн RUVDS. Покрај тоа, сите нови клиенти имаат бесплатен пробен период од 3 дена!

PS Да! За малку ќе заборавев! Можете да отстраните јазол од мрежата користејќи команда во CLI на овој јазол.

zerotier-cli leave <Network ID>

200 leave OK

или командата Delete во GUI на клиентот на јазолот.

-> Вовед. Теоретски дел. Паметен етернет прекинувач за планетата Земја
-> Практичен водич за градење виртуелни мрежи. Дел 1
-> Практичен водич за градење виртуелни мрежи. Дел 2

Извор: www.habr.com

Овозможено од ZeroTier. Практичен водич за градење виртуелни мрежи. Дел 1