Meneruskan cerita tentang ZeroTier, dari teori yang digariskan dalam artikel "", saya meneruskan latihan di mana:
- Mari buat dan konfigurasikan pengawal rangkaian peribadi
- Mari buat rangkaian maya
- Mari konfigurasi dan sambungkan nod kepadanya
- Mari kita semak ketersambungan rangkaian antara mereka
- Mari kita sekat akses kepada GUI pengawal rangkaian dari luar
Pengawal Rangkaian
Seperti yang dinyatakan sebelum ini, untuk mencipta rangkaian maya, mengurusnya, serta menyambungkan nod, pengguna memerlukan pengawal rangkaian, antara muka grafik (GUI) yang wujud dalam dua bentuk:
Pilihan GUI ZeroTier
- Satu daripada pembangun ZeroTier, tersedia sebagai penyelesaian SaaS awan awam dengan empat pelan langganan, termasuk percuma, tetapi terhad dalam bilangan peranti terurus dan tahap sokongan
- Yang kedua ialah daripada pembangun bebas, agak dipermudahkan dalam fungsi, tetapi tersedia sebagai penyelesaian sumber terbuka persendirian untuk digunakan di premis atau sumber awan.
Dalam amalan saya, saya menggunakan kedua-duanya dan sebagai hasilnya, saya akhirnya menyelesaikan yang kedua. Sebabnya adalah amaran pemaju.
“Pengawal rangkaian berfungsi sebagai pihak berkuasa pensijilan untuk rangkaian maya ZeroTier. Fail yang mengandungi kunci rahsia pengawal mesti dijaga dengan teliti dan diarkibkan dengan selamat. Kompromi mereka membenarkan penyerang yang tidak dibenarkan untuk mencipta konfigurasi rangkaian yang menipu, dan kehilangan mereka membawa kepada kehilangan keupayaan untuk mengawal dan mengurus rangkaian, menjadikannya tidak boleh digunakan dengan berkesan."
→
Dan juga, tanda-tanda paranoia keselamatan siber anda sendiri :)
- Walaupun Cheburnet datang, saya mesti masih mempunyai akses kepada pengawal rangkaian saya;
- Hanya saya yang harus menggunakan pengawal rangkaian. Jika perlu, berikan akses kepada wakil anda yang diberi kuasa;
- Ia sepatutnya boleh menyekat akses kepada pengawal rangkaian dari luar.
Dalam artikel ini, saya tidak melihat banyak gunanya untuk membincangkan secara berasingan tentang cara menggunakan pengawal rangkaian dan GUI untuknya pada sumber fizikal atau maya di premis. Dan terdapat juga 3 sebab untuk ini:
- akan ada lebih banyak surat daripada yang dirancang
- tentang ini sudah pada pembangun GUI GitHab
- topik artikel adalah mengenai sesuatu yang lain
Oleh itu, memilih jalan yang mempunyai rintangan paling sedikit, saya akan menggunakan dalam cerita ini pengawal rangkaian dengan GUI berdasarkan VDS, dicipta oleh , dibangunkan oleh rakan sekerja saya daripada RuVDS.
Persediaan awal
Selepas mencipta pelayan daripada templat yang ditentukan, pengguna mendapat akses kepada pengawal Web-GUI melalui pelayar dengan mengakses https:// :3443
Secara lalai, pelayan sudah mengandungi sijil TLS/SSL yang ditandatangani sendiri dipra-jana. Ini sudah cukup untuk saya, kerana saya menyekat akses kepadanya dari luar. Bagi mereka yang ingin menggunakan sijil jenis lain, ada pada pembangun GUI GitHab.
Apabila pengguna log masuk buat kali pertama Log Masuk dengan log masuk dan kata laluan lalai - admin и kata laluan:
Ia mencadangkan menukar kata laluan lalai kepada kata laluan tersuai
Saya melakukannya sedikit berbeza - Saya tidak menukar kata laluan pengguna sedia ada, tetapi mencipta kata laluan baharu - Buat Pengguna.
Saya menetapkan nama pengguna baharu - Nama pengguna:
Saya menetapkan kata laluan baharu - Masukkan kata laluan baru:
Saya mengesahkan kata laluan baharu - Masukkan semula kata laluan:
Aksara yang anda masukkan adalah sensitif huruf besar-besaran - berhati-hati!
Kotak semak untuk mengesahkan perubahan kata laluan pada log masuk seterusnya - Tukar kata laluan pada log masuk seterusnya: Saya tidak meraikan.
Untuk mengesahkan data yang dimasukkan, tekan Tetapkan kata laluan:
Kemudian: Saya log masuk semula - Log Keluar / Log Masuk, sudah pun di bawah kelayakan pengguna baharu:
Seterusnya, saya pergi ke tab pengguna - pengguna dan padam pengguna admindengan mengklik pada ikon tong sampah yang terletak di sebelah kiri namanya.
Pada masa hadapan, anda boleh menukar kata laluan pengguna dengan mengklik sama ada pada namanya atau pada kata laluan yang ditetapkan.
Mewujudkan rangkaian maya
Untuk mencipta rangkaian maya, pengguna perlu pergi ke tab Tambah rangkaian. Dari titik pengguna ini boleh dilakukan melalui halaman Laman Utama — halaman utama Web-GUI, yang memaparkan alamat ZeroTier pengawal rangkaian ini dan mengandungi pautan ke halaman untuk senarai rangkaian yang dibuat melaluinya.
Pada halaman Tambah rangkaian pengguna memberikan nama kepada rangkaian yang baru dibuat.
Apabila menggunakan data input − Buat Rangkaian pengguna dibawa ke halaman dengan senarai rangkaian, yang mengandungi:
Nama rangkaian — nama rangkaian dalam bentuk pautan, apabila anda mengklik padanya anda boleh mengubahnya
ID Rangkaian - pengecam rangkaian
terperinci — pautan ke halaman dengan parameter rangkaian terperinci
persediaan yang mudah — pautan ke halaman untuk persediaan mudah
ahli — pautan ke halaman pengurusan nod
Untuk persediaan lanjut ikuti pautan persediaan yang mudah. Pada halaman yang terbuka, pengguna menentukan julat alamat IPv4 untuk rangkaian yang sedang dibuat. Ini boleh dilakukan secara automatik dengan menekan butang Hasilkan alamat rangkaian atau secara manual dengan memasukkan topeng rangkaian rangkaian dalam medan yang sesuai CIDR.
Apabila mengesahkan kemasukan data yang berjaya, anda mesti kembali ke halaman dengan senarai rangkaian menggunakan butang Kembali. Pada ketika ini, persediaan rangkaian asas boleh dianggap lengkap.
Menyambung nod rangkaian
- Pertama, perkhidmatan ZeroTier One mesti dipasang pada nod yang pengguna ingin sambungkan ke rangkaian.
Apakah ZeroTier One?ZeroTier One ialah perkhidmatan yang dijalankan pada komputer riba, desktop, pelayan, mesin maya dan bekas yang menyediakan sambungan ke rangkaian maya melalui port rangkaian maya, serupa dengan klien VPN.
Setelah perkhidmatan dipasang dan dimulakan, anda boleh menyambung ke rangkaian maya menggunakan alamat 16 digit mereka. Setiap rangkaian muncul sebagai port rangkaian maya pada sistem, yang berkelakuan sama seperti port Ethernet biasa.
Pautan kepada pengedaran, serta arahan pemasangan, boleh didapati .Anda boleh menguruskan perkhidmatan yang dipasang melalui terminal baris arahan (CLI) dengan hak admin/root. Pada Windows/MacOS juga menggunakan antara muka grafik. Dalam Android/iOS hanya menggunakan GUI.
- Menyemak kejayaan pemasangan perkhidmatan:
CLI:
zerotier-cli statusKeputusan:
200 info ebf416fac1 1.4.6 ONLINE
GUI:Hakikat bahawa aplikasi sedang berjalan dan kehadiran di dalamnya baris dengan ID Nod dengan alamat nod.
- Menyambungkan nod ke rangkaian:
CLI:
zerotier-cli join <Network ID>Keputusan:
200 join OKGUI:
Windows: klik kanan pada ikon ZeroTier One dalam dulang sistem dan memilih item - Sertai Rangkaian.
MacOS: Lancarkan aplikasi ZeroTier One dalam menu bar, jika belum dilancarkan. Klik pada ikon ⏁ dan pilih Sertai Rangkaian.Android/iOS: + (tambah imej) dalam apl
Dalam medan yang muncul, masukkan pengawal rangkaian yang dinyatakan dalam GUI ID Rangkaian, dan tekan Sertai/Tambah Rangkaian. - Memberikan alamat IP kepada hos
Sekarang kita kembali ke pengawal rangkaian dan pada halaman dengan senarai rangkaian ikut pautan ahli. Jika anda melihat gambar yang serupa dengan ini pada skrin, ini bermakna pengawal rangkaian anda telah menerima permintaan untuk mengesahkan sambungan ke rangkaian daripada nod yang disambungkan.
Di halaman ini kami meninggalkan segala-galanya seperti sekarang dan ikuti pautan Tugasan IP pergi ke halaman untuk memberikan alamat IP kepada nod:
Selepas memberikan alamat, klik butang Belakang kembali ke halaman senarai nod yang disambungkan dan tetapkan nama - Nama ahli dan tandakan kotak semak untuk membenarkan nod pada rangkaian - Yang diberi kuasa. By the way, kotak semak ini adalah perkara yang sangat mudah untuk memutuskan sambungan/sambungan daripada rangkaian hos pada masa hadapan.
Simpan perubahan menggunakan butang Refresh. - Menyemak status sambungan nod ke rangkaian:
Untuk menyemak status sambungan pada nod itu sendiri, jalankan:
CLI:zerotier-cli listnetworksKeputusan:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:Status rangkaian sepatutnya OK
Untuk menyambungkan nod yang tinggal, ulangi operasi 1-5 untuk setiap nod.
Menyemak kesambungan rangkaian nod
Saya melakukan ini dengan menjalankan arahan ping pada peranti yang disambungkan ke rangkaian yang sedang saya uruskan.
Dalam tangkapan skrin pengawal Web-GUI anda boleh melihat tiga nod yang disambungkan ke rangkaian:
- ZTNCUI - 10.10.10.1 - pengawal rangkaian saya dengan GUI - VDS dalam salah satu RuVDS DC. Untuk kerja biasa tidak perlu menambahkannya ke rangkaian, tetapi saya melakukan ini kerana saya mahu menyekat akses kepada antara muka web dari luar. Lebih lanjut mengenai ini kemudian.
- MyComp - 10.10.10.2 - komputer kerja saya ialah PC fizikal
- Sandaran - 10.10.10.3 — VDS di DC lain.
Oleh itu, dari komputer kerja saya, saya menyemak ketersediaan nod lain dengan arahan:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
Pengguna mempunyai hak untuk menggunakan alat lain untuk menyemak ketersediaan nod pada rangkaian, kedua-duanya terbina dalam OS dan seperti NMAP, Pengimbas IP Lanjutan, dsb.
Kami menyembunyikan akses kepada GUI pengawal rangkaian dari luar.
Secara umum, saya boleh mengurangkan kemungkinan akses tanpa kebenaran kepada VDS di mana pengawal rangkaian saya terletak menggunakan tembok api dalam akaun peribadi RuVDS saya. Topik ini lebih berkemungkinan untuk artikel yang berasingan. Oleh itu, di sini saya akan menunjukkan cara untuk menyediakan akses kepada pengawal GUI hanya dari rangkaian yang saya buat dalam artikel ini.
Untuk melakukan ini, anda perlu menyambung melalui SSH ke VDS di mana pengawal terletak dan buka fail konfigurasi menggunakan arahan:
nano /opt/key-networks/ztncui/.envDalam fail yang dibuka, selepas baris "HTTPS_PORT=3443" yang mengandungi alamat port di mana GUI dibuka, anda perlu menambah baris tambahan dengan alamat di mana GUI akan dibuka - dalam kes saya ia adalah HTTPS_HOST=10.10.10.1 .XNUMX.
Seterusnya saya akan menyimpan fail tersebut
Сtrl+C
Y
Enter
dan jalankan arahan:
systemctl restart ztncuiDan itu sahaja, kini GUI pengawal rangkaian saya hanya tersedia untuk nod rangkaian 10.10.10.0.24.
Daripada kesimpulan
Di sinilah saya ingin menyelesaikan bahagian pertama panduan praktikal untuk mencipta rangkaian maya berdasarkan ZeroTier. Saya menantikan komen anda.
Sementara itu, untuk meluangkan masa sehingga penerbitan bahagian seterusnya, di mana saya akan memberitahu anda cara menggabungkan rangkaian maya dengan rangkaian fizikal, cara mengatur mod "pejuang jalanan" dan sesuatu yang lain, saya cadangkan anda mencuba mengatur rangkaian maya anda sendiri menggunakan pengawal rangkaian peribadi dengan GUI berdasarkan VDS dari pasaran pada RUVDS. Selain itu, semua pelanggan baharu mempunyai tempoh percubaan percuma selama 3 hari!
PS Ya! Saya hampir terlupa! Anda boleh mengalih keluar nod daripada rangkaian menggunakan arahan dalam CLI nod ini.
zerotier-cli leave <Network ID>
200 leave OK
atau arahan Padam dalam GUI klien pada nod.
->
->
->
Sumber: www.habr.com