Tkompli l-istorja dwar ZeroTier, mit-teorija deskritta fl-artiklu "", ngħaddi għall-prattika li fiha:
- Ejja noħolqu u kkonfiguraw kontrollur tan-netwerk privat
- Ejja noħolqu netwerk virtwali
- Ejja kkonfiguraw u qabbad in-nodi magħha
- Ejja niċċekkjaw il-konnettività tan-netwerk bejniethom
- Ejja nibblukkaw l-aċċess għall-GUI tal-kontrollur tan-netwerk minn barra
Kontrollur tan-Netwerk
Kif issemma qabel, biex jinħolqu netwerks virtwali, jimmaniġġjawhom, kif ukoll jgħaqqdu nodi, l-utent jeħtieġ kontrollur tan-netwerk, interface grafiku (GUI) li għalih jeżisti f'żewġ forom:
Għażliet GUI ZeroTier
- Wieħed mill-iżviluppatur ZeroTier, disponibbli bħala soluzzjoni SaaS ta' cloud pubbliku b'erba' pjanijiet ta' abbonament, inkluż b'xejn, iżda limitat fin-numru ta' apparati ġestiti u livell ta' appoġġ
- It-tieni huwa minn żviluppatur indipendenti, kemmxejn simplifikat fil-funzjonalità, iżda disponibbli bħala soluzzjoni ta 'sors miftuħ privat għall-użu fuq il-premessa jew fuq riżorsi tal-cloud.
Fil-prattika tiegħi, użajt it-tnejn u bħala riżultat, fl-aħħar issetiljajt fuq it-tieni waħda. Ir-raġuni għal dan kienet it-twissijiet tal-iżviluppatur.
“Il-kontrolluri tan-netwerk iservu bħala awtoritajiet taċ-ċertifikazzjoni għan-netwerks virtwali ZeroTier. Fajls li fihom ċwievet sigrieti tal-kontrollur għandhom ikunu mħarsa bir-reqqa u arkivjati b'mod sigur. Il-kompromess tagħhom jippermetti lil attakkanti mhux awtorizzati joħolqu konfigurazzjonijiet ta' netwerk frawdolenti, u t-telf tagħhom iwassal għat-telf tal-kapaċità li jikkontrollaw u jimmaniġġjaw in-netwerk, u b'mod effettiv jagħmilha inutilizzabbli."
→
U wkoll, sinjali tal-paranojja taċ-ċibersigurtà tiegħek stess :)
- Anke jekk jiġi Cheburnet, xorta jrid ikolli aċċess għall-kontrollur tan-netwerk tiegħi;
- Biss għandi nuża l-kontrollur tan-netwerk. Jekk meħtieġ, tipprovdi aċċess lir-rappreżentanti awtorizzati tiegħek;
- Għandu jkun possibbli li jiġi ristrett l-aċċess għall-kontrollur tan-netwerk minn barra.
F'dan l-artikolu, ma narax ħafna sens li nitkellem separatament dwar kif tuża kontrollur tan-netwerk u l-GUI għalih fuq riżorsi fiżiċi jew virtwali fuq il-post. U hemm ukoll 3 raġunijiet għal dan:
- se jkun hemm aktar ittri milli ppjanat
- dwar dan diġà fuq l-iżviluppatur GUI GitHab
- is-suġġett tal-artiklu huwa dwar xi ħaġa oħra
Għalhekk, billi tagħżel it-triq tal-inqas reżistenza, se nuża f'din l-istorja kontrollur tan-netwerk b'GUI ibbażat fuq VDS, maħluqa minn , ġentilment żviluppat mill-kollegi tiegħi minn RuVDS.
Setup inizjali
Wara li ħoloq server mill-mudell speċifikat, l-utent jikseb aċċess għall-kontrollur Web-GUI permezz ta 'browser billi jaċċessa https://:3443
B'mod awtomatiku, is-server diġà fih ċertifikat TLS/SSL iffirmat minn qabel iġġenerat minn qabel. Dan huwa biżżejjed għalija, peress li nibblokka l-aċċess għaliha minn barra. Għal dawk li jixtiequ jużaw tipi oħra ta 'ċertifikati, hemm fuq l-iżviluppatur GUI GitHab.
Meta l-utent jidħol għall-ewwel darba Idħol b'login u password default - admin и password:
Jissuġġerixxi li tinbidel il-password default għal waħda personalizzata
Nagħmilha ftit differenti - ma nbiddilx il-password ta 'utent eżistenti, iżda noħloq waħda ġdida - Oħloq Utent.
Issettja l-isem tal-utent il-ġdid - Username:
Issettjajt password ġdida - Daħħal password ġdida:
Nikkonferma l-password il-ġdida - Erga 'ikteb il-password:
Il-karattri li ddaħħal huma sensittivi għall-każi - oqgħod attent!
Checkbox biex tikkonferma l-bidla fil-password fil-login li jmiss - Ibdel il-password mal-login li jmiss: Jien ma niċċelebrax.
Biex tikkonferma d-data mdaħħla, agħfas Issettja l-password:
Imbagħad: erġa' nilloggja - Logout / Idħol, diġà taħt il-kredenzjali tal-utent il-ġdid:
Sussegwentement, immur fit-tab tal-utenti - Utenti u ħassar l-utent adminbilli tikklikkja fuq l-ikona taż-żibel li tinsab fuq ix-xellug ta’ ismu.
Fil-futur, tista’ tbiddel il-password tal-utent billi tikklikkja jew fuq ismu jew fuq issettjat il-password.
Ħolqien ta 'netwerk virtwali
Biex toħloq netwerk virtwali, l-utent jeħtieġ li jmur fit-tab Żid netwerk. Mill-punt utent dan jista' jsir permezz tal-paġna home — il-paġna ewlenija tal-Web-GUI, li turi l-indirizz ZeroTier ta’ dan il-kontrollur tan-netwerk u fiha link għall-paġna għal-lista ta’ netwerks maħluqa permezz tagħha.
Fuq il-paġna Żid netwerk l-utent jassenja isem lin-netwerk maħluq ġdid.
Meta tapplika d-dejta tal-input − Oħloq Netwerk l-utent jittieħed f'paġna b'lista ta' netwerks, li fiha:
Isem in-netwerk — l-isem tan-netwerk fil-forma ta’ link, meta tikklikkja fuqu tista’ tbiddel
ID tan-Netwerk — identifikatur tan-netwerk
dettall — link għal paġna b'parametri dettaljati tan-netwerk
setup faċli — link għall-paġna għal setup faċli
membri — link għall-paġna tal-ġestjoni tan-nodi
Għal aktar setup segwi l-link setup faċli. Fil-paġna li tiftaħ, l-utent jispeċifika firxa ta’ indirizzi IPv4 għan-netwerk li qed jinħoloq. Dan jista 'jsir awtomatikament billi tagħfas buttuna Iġġenera indirizz tan-netwerk jew manwalment billi ddaħħal il-maskra tan-netwerk tan-netwerk fil-qasam xieraq CIDR.
Meta tikkonferma d-dħul tad-dejta b'suċċess, trid terġa 'lura għall-paġna bil-lista ta' netwerks billi tuża l-buttuna Lura. F'dan il-punt, is-setup bażiku tan-netwerk jista' jitqies komplut.
Konnessjoni tan-nodi tan-netwerk
- L-ewwel, is-servizz ZeroTier One għandu jiġi installat fuq in-node li l-utent irid jgħaqqad man-netwerk.
X'inhu ZeroTier One?ZeroTier Wieħed huwa servizz li jaħdem fuq laptops, desktops, servers, magni virtwali u kontenituri li jipprovdi konnessjonijiet ma 'netwerk virtwali permezz ta' port ta 'netwerk virtwali, simili għal klijent VPN.
Ladarba s-servizz jiġi installat u beda, tista' tikkonnettja man-netwerks virtwali billi tuża l-indirizzi tagħhom b'16-il ċifra. Kull netwerk jidher bħala port tan-netwerk virtwali fuq is-sistema, li jġib ruħu bħal port Ethernet regolari.
Links għal distribuzzjonijiet, kif ukoll kmandi ta 'installazzjoni, jistgħu jinstabu .Tista 'timmaniġġja s-servizz installat permezz ta' terminal tal-linja tal-kmand (CLI) bi drittijiet ta 'admin/root. Fuq Windows/MacOS tuża wkoll interface grafiku. F'Android/iOS bl-użu biss tal-GUI.
- Iċċekkja s-suċċess tal-installazzjoni tas-servizz:
CLI:
zerotier-cli statusRiżultat:
200 info ebf416fac1 1.4.6 ONLINE
GUI:Il-fatt stess li l-applikazzjoni qed taħdem u l-preżenza fiha ta 'linja b'Node ID bl-indirizz tan-node.
- Konnessjoni ta' nodu man-netwerk:
CLI:
zerotier-cli join <Network ID>Riżultat:
200 join OKGUI:
Windows: ikklikkja l-lemin fuq l-ikona ZeroTier Wieħed fit-trej tas-sistema u tagħżel l-oġġett - Ingħaqad man-Netwerk.
macOS: Tnedija l-applikazzjoni ZeroTier Wieħed fil-menu tal-bar, jekk mhux diġà mnedija. Ikklikkja fuq l-ikona ⏁ u agħżel Ingħaqad man-Netwerk.Android/iOS: + (flimkien ma' l-immaġni) fl-app
Fil-qasam li jidher, daħħal il-kontrollur tan-netwerk speċifikat fil-GUI ID tan-Netwerk, u agħfas Ingħaqad/Żid in-Netwerk. - Assenja ta' indirizz IP lil host
Issa nerġgħu lura għall-kontrollur tan-netwerk u fuq il-paġna b'lista ta 'netwerks segwi l-link membri. Jekk tara stampa simili għal din fuq l-iskrin, dan ifisser li l-kontrollur tan-netwerk tiegħek irċieva talba biex jikkonferma l-konnessjoni man-netwerk min-nodu konness.
Fuq din il-paġna nħallu kollox kif inhu għalissa u segwi l-link Assenjazzjoni tal-IP mur fil-paġna biex tassenja indirizz IP lin-node:
Wara li tassenja l-indirizz, ikklikkja l-buttuna lura lura għall-paġna tal-lista tan-nodi konnessi u ssettja l-isem - Isem il-membru u iċċekkja l-kaxxa biex tawtorizza n-nodu fuq in-netwerk - Awtorizzat. Mill-mod, din il-kaxxa ta 'kontroll hija ħaġa konvenjenti ħafna għall-iskonnettjar/il-konnessjoni min-netwerk ospitanti fil-futur.
Issejvja l-bidliet billi tuża l-buttuna riffriskar. - Iċċekkja l-istatus tal-konnessjoni tan-node man-netwerk:
Biex tiċċekkja l-istatus tal-konnessjoni fuq in-nodu innifsu, mexxi:
CLI:zerotier-cli listnetworksRiżultat:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:L-istatus tan-netwerk għandu jkun OK
Biex tgħaqqad in-nodi li fadal, irrepeti l-operazzjonijiet 1-5 għal kull wieħed minnhom.
Iċċekkjar tal-konnettività tan-netwerk tan-nodi
Nagħmel dan billi nmexxi l-kmand ping fuq l-apparat konness man-netwerk li qed niġġestixxi bħalissa.
Fil-screenshot tal-kontrollur Web-GUI tista 'tara tliet nodi konnessi man-netwerk:
- ZTNCUI - 10.10.10.1 - il-kontrollur tan-netwerk tiegħi b'GUI - VDS f'wieħed mill-RuVDS DCs. Għal xogħol normali m'hemmx għalfejn iżżidha man-netwerk, imma għamilt dan għax irrid nibblokka l-aċċess għall-interface tal-web minn barra. Aktar dwar dan aktar tard.
- MyComp - 10.10.10.2 - il-kompjuter tax-xogħol tiegħi huwa PC fiżiku
- Backup - 10.10.10.3 — VDS f'DC ieħor.
Għalhekk, mill-kompjuter tax-xogħol tiegħi niċċekkja d-disponibbiltà ta 'nodi oħra bil-kmandi:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
L-utent għandu d-dritt li juża għodod oħra biex jiċċekkja d-disponibbiltà tan-nodi fuq in-netwerk, kemm mibnija fis-OS kif ukoll bħal NMAP, Advanced IP Scanner, eċċ.
Aħna naħbu l-aċċess għall-GUI tal-kontrollur tan-netwerk minn barra.
B'mod ġenerali, nista' nnaqqas il-probabbiltà ta' aċċess mhux awtorizzat għall-VDS li fuqu jinsab il-kontrollur tan-netwerk tiegħi billi tuża firewall fil-kont personali RuVDS tiegħi. Dan is-suġġett huwa aktar probabbli għal artiklu separat. Għalhekk, hawnhekk ser nuri kif nipprovdi aċċess għall-kontrollur GUI biss min-netwerk li ħloqt f'dan l-artikolu.
Biex tagħmel dan, għandek bżonn tikkonnettja permezz SSH mal-VDS li fuqu jinsab il-kontrollur u tiftaħ il-fajl tal-konfigurazzjoni billi tuża l-kmand:
nano /opt/key-networks/ztncui/.envFil-fajl miftuħ, wara l-linja "HTTPS_PORT=3443" li fiha l-indirizz tal-port li fih tiftaħ il-GUI, għandek bżonn iżżid linja addizzjonali bl-indirizz li fih se tiftaħ il-GUI - fil-każ tiegħi huwa HTTPS_HOST=10.10.10.1 .XNUMX.
Sussegwentement ser insalva l-fajl
Сtrl+C
Y
Enter
u mexxi l-kmand:
systemctl restart ztncuiU dak hu, issa l-GUI tal-kontrollur tan-netwerk tiegħi hija disponibbli biss għan-nodi tan-netwerk 10.10.10.0.24.
Minflok ma tikkonkludi
Dan huwa fejn irrid nispiċċa l-ewwel parti tal-gwida prattika għall-ħolqien ta 'netwerks virtwali bbażati fuq ZeroTier. Nistenna bil-ħerqa l-kummenti tiegħek.
Sadanittant, biex tgħaddi l-ħin sal-pubblikazzjoni tal-parti li jmiss, li fiha se ngħidlek kif tgħaqqad netwerk virtwali ma 'wieħed fiżiku, kif torganizza mod "gwerriera tat-triq" u xi ħaġa oħra, nissuġġerixxi li tipprova torganizza n-netwerk virtwali tiegħek billi tuża kontrollur tan-netwerk privat b'GUI ibbażat fuq VDS mis-suq fuq RUVDS. Barra minn hekk, il-klijenti l-ġodda kollha għandhom perjodu ta 'prova b'xejn ta' 3 ijiem!
PS Iva! Kważi insejt! Tista 'tneħħi node min-netwerk billi tuża kmand fis-CLI ta' dan in-node.
zerotier-cli leave <Network ID>
200 leave OK
jew il-kmand Ħassar fil-GUI tal-klijent fuq in-node.
->
->
->
Sors: www.habr.com