🥇Aangedreven door ZeroTier. Een praktische gids voor het bouwen van virtuele netwerken. Deel 1

Voortbordurend op het verhaal over ZeroTier, vanuit de theorie uiteengezet in het artikel “Slimme Ethernet-switch voor de planeet Aarde", ga ik verder met oefenen waarin:

Laten we een privénetwerkcontroller maken en configureren
Laten we een virtueel netwerk maken
Laten we er knooppunten mee configureren en ermee verbinden
Laten we de netwerkconnectiviteit tussen hen controleren
Laten we de toegang tot de GUI van de netwerkcontroller van buitenaf blokkeren

етевой онтроллер

Zoals eerder vermeld, heeft de gebruiker, om virtuele netwerken te creëren, te beheren en knooppunten te verbinden, een netwerkcontroller nodig, een grafische interface (GUI) waarvoor twee vormen bestaan:

ZeroTier GUI-opties

Eén van de ontwikkelaar ZeroTier, beschikbaar als een publieke cloud SaaS-oplossing met vier abonnementen, inclusief gratis, maar beperkt in het aantal beheerde apparaten en het ondersteuningsniveau
De tweede is van een onafhankelijke ontwikkelaar, enigszins vereenvoudigd qua functionaliteit, maar beschikbaar als een private open source-oplossing voor gebruik op locatie of in de cloud.

In mijn praktijk heb ik beide gebruikt en als gevolg daarvan heb ik uiteindelijk voor de tweede gekozen. De reden hiervoor waren de waarschuwingen van de ontwikkelaar.

“Netwerkcontrollers dienen als certificeringsinstanties voor virtuele ZeroTier-netwerken. Bestanden die geheime sleutels van de controller bevatten, moeten zorgvuldig worden bewaakt en veilig worden gearchiveerd. Hun compromis stelt ongeautoriseerde aanvallers in staat frauduleuze netwerkconfiguraties te creëren, en hun verlies leidt tot het verlies van de mogelijkheid om het netwerk te controleren en te beheren, waardoor het feitelijk onbruikbaar wordt.”

→ Link naar documentatie

En ook tekenen van uw eigen paranoia op het gebied van cyberbeveiliging :)

Zelfs als Cheburnet komt, moet ik nog steeds toegang hebben tot mijn netwerkcontroller;
Alleen ik zou de netwerkcontroller moeten gebruiken. Indien nodig het verlenen van toegang aan uw gemachtigde vertegenwoordigers;
Het moet mogelijk zijn om de toegang tot de netwerkcontroller van buitenaf te beperken.

In dit artikel zie ik niet veel zin om apart stil te staan bij de vraag hoe je een netwerkcontroller en de GUI ervoor kunt inzetten op fysieke of virtuele bronnen op locatie. En daar zijn ook 3 redenen voor:

Er zullen meer brieven zijn dan gepland
hierover al verteld op GUI-ontwikkelaar GitHab
het onderwerp van het artikel gaat over iets anders

Daarom zal ik, terwijl ik de weg van de minste weerstand kies, in dit verhaal een netwerkcontroller gebruiken met een GUI gebaseerd op VDS, gemaakt door Van sjabloon, vriendelijk ontwikkeld door mijn collega's van RuVDS.

Initiële setup

Nadat een server is aangemaakt op basis van de opgegeven sjabloon, krijgt de gebruiker via een browser toegang tot de Web-GUI-controller door naar https:// te gaan :3443

Standaard bevat de server al een vooraf gegenereerd, zelfondertekend TLS/SSL-certificaat. Dit is genoeg voor mij, omdat ik de toegang daartoe van buitenaf blokkeer. Voor degenen die andere soorten certificaten willen gebruiken, is er Installatie instructies op GUI-ontwikkelaar GitHab.

Wanneer de gebruiker voor de eerste keer inlogt Inloggen met standaard login en wachtwoord - beheerder и wachtwoord:

Er wordt voorgesteld om het standaardwachtwoord te wijzigen in een aangepast wachtwoord

Ik doe het een beetje anders - ik verander het wachtwoord van een bestaande gebruiker niet, maar maak een nieuw wachtwoord aan - Gebruiker aanmaken.

Ik heb de naam van de nieuwe gebruiker ingesteld - Gebruikersnaam:
Ik heb een nieuw wachtwoord ingesteld - Voer nieuw wachtwoord in:
Ik bevestig het nieuwe wachtwoord - Voer paswoord opnieuw in:

De tekens die u invoert zijn hoofdlettergevoelig - wees voorzichtig!

Selectievakje om de wachtwoordwijziging te bevestigen bij de volgende aanmelding - Wachtwoord wijzigen bij volgende login: Ik vier het niet.

Om de ingevoerde gegevens te bevestigen, drukt u op Wachtwoord instellen:

Vervolgens: ik log opnieuw in - Uitloggen / Inloggen, al onder de inloggegevens van de nieuwe gebruiker:

Vervolgens ga ik naar het tabblad Gebruikers - Gebruikers en verwijder de gebruiker beheerderdoor op het prullenbakpictogram links van zijn naam te klikken.

In de toekomst kunt u het wachtwoord van de gebruiker wijzigen door op zijn naam of op wachtwoord instellen te klikken.

Een virtueel netwerk creëren

Om een virtueel netwerk te creëren, moet de gebruiker naar het tabblad gaan Voeg netwerk toe. Vanaf punt Gebruiker dit kan via de pagina Home — de hoofdpagina van de Web-GUI, die het ZeroTier-adres van deze netwerkcontroller weergeeft en een link bevat naar de pagina voor de lijst met netwerken die erdoor zijn gemaakt.

Op de pagina Voeg netwerk toe de gebruiker wijst een naam toe aan het nieuw aangemaakte netwerk.

Bij het toepassen van de invoergegevens − Maak netwerk de gebruiker wordt naar een pagina geleid met een lijst met netwerken, die het volgende bevat:

Netwerknaam — de naam van het netwerk in de vorm van een link; als u erop klikt, kunt u deze wijzigen
Netwerk ID — netwerkidentificatie
detail — link naar een pagina met gedetailleerde netwerkparameters
eenvoudige installatie - link naar pagina voor eenvoudige installatie
leden — link naar de knooppuntbeheerpagina

Volg de link voor verdere instellingen eenvoudige installatie. Op de geopende pagina geeft de gebruiker een reeks IPv4-adressen op voor het netwerk dat wordt gemaakt. Dit kan automatisch gebeuren door op een knop te drukken Netwerkadres genereren of handmatig door het netwerknetwerkmasker in het daarvoor bestemde veld in te voeren CIDR.

Wanneer u de succesvolle gegevensinvoer bevestigt, moet u met de knop Terug terugkeren naar de pagina met de lijst met netwerken. Op dit punt kan de basisnetwerkconfiguratie als voltooid worden beschouwd.

Netwerkknooppunten verbinden

Eerst moet de ZeroTier One-service worden geïnstalleerd op het knooppunt waarmee de gebruiker verbinding wil maken met het netwerk.
Wat is ZeroTier One?ZeroTier Eén is een service die draait op laptops, desktops, servers, virtuele machines en containers en die verbindingen biedt met een virtueel netwerk via een virtuele netwerkpoort, vergelijkbaar met een VPN-client.

Zodra de service is geïnstalleerd en gestart, kunt u verbinding maken met virtuele netwerken met behulp van hun 16-cijferige adressen. Elk netwerk verschijnt als een virtuele netwerkpoort op het systeem, die zich net als een gewone Ethernet-poort gedraagt.
Er zijn links naar distributies en installatieopdrachten te vinden op de pagina van de fabrikant.

U kunt de geïnstalleerde service beheren via een opdrachtregelterminal (CLI) met beheerders-/rootrechten. Op Windows/MacOS ook via een grafische interface. In Android/iOS alleen met GUI.
Het succes van de service-installatie controleren:
KLI:
```
zerotier-cli status
```
Resultaat:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Het feit dat de applicatie actief is en de aanwezigheid daarin van een lijn met Node ID met het knooppuntadres.
Een knooppunt op het netwerk aansluiten:
KLI:
```
zerotier-cli join <Network ID>
```
Resultaat:

200 join OK

GUI:

Windows: klik met de rechtermuisknop op het pictogram ZeroTier Eén in het systeemvak en selecteer het item - Word lid van netwerk.

MacOS: апустить иложение ZeroTier Eén in het balkmenu, als dit nog niet is gestart. Klik op het ⏁ icoon en selecteer Word lid van netwerk.

Android/iOS: + (plus afbeelding) in de app

Voer in het veld dat verschijnt de netwerkcontroller in die is opgegeven in de GUI Netwerk IDen druk op Lid worden/netwerk toevoegen.
Een IP-adres toewijzen aan een host
Nu keren we terug naar de netwerkcontroller en volgen op de pagina met een lijst met netwerken de link leden. Als u een afbeelding zoals deze op het scherm ziet, betekent dit dat uw netwerkcontroller een verzoek heeft ontvangen om de verbinding met het netwerk te bevestigen vanaf het aangesloten knooppunt.

Op deze pagina laten we alles voorlopig zoals het is en volgen de link IP-toewijzing ga naar de pagina voor het toewijzen van een IP-adres aan het knooppunt:

Nadat u het adres heeft toegewezen, klikt u op de knop Terug keer terug naar de pagina met de lijst met verbonden knooppunten en stel de naam in - Naam lid en vink het selectievakje aan om het knooppunt op het netwerk te autoriseren - geautoriseerde. Dit selectievakje is trouwens erg handig om in de toekomst de verbinding met het hostnetwerk te verbreken of er verbinding mee te maken.

Wijzigingen opslaan met de knop verversen.
De verbindingsstatus van het knooppunt met het netwerk controleren:
Voer het volgende uit om de verbindingsstatus op het knooppunt zelf te controleren:
KLI:
```
zerotier-cli listnetworks
```
Resultaat:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

De netwerkstatus zou in orde moeten zijn

Om de resterende knooppunten met elkaar te verbinden, herhaalt u bewerkingen 1-5 voor elk van hen.

Netwerkconnectiviteit van knooppunten controleren

Dit doe ik door het commando uit te voeren ping op het apparaat dat is verbonden met het netwerk dat ik momenteel beheer.

In de schermafbeelding van de Web-GUI-controller ziet u drie knooppunten die op het netwerk zijn aangesloten:

ZTNCUI - 10.10.10.1 - mijn netwerkcontroller met GUI - VDS in een van de RuVDS DC's. Voor normaal werk is het niet nodig om het aan het netwerk toe te voegen, maar ik heb dit gedaan omdat ik de toegang tot de webinterface van buitenaf wil blokkeren. Hierover later meer.
MijnComp - 10.10.10.2 - mijn werkcomputer is een fysieke pc
Back-up - 10.10.10.3 — VDS in een ander DC.

Daarom controleer ik vanaf mijn werkcomputer de beschikbaarheid van andere knooppunten met de opdrachten:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

De gebruiker heeft het recht om andere tools te gebruiken voor het controleren van de beschikbaarheid van knooppunten op het netwerk, beide ingebouwd in het besturingssysteem en zoals NMAP, Advanced IP Scanner, enz.

We verbergen de toegang tot de GUI van de netwerkcontroller van buitenaf.

Over het algemeen kan ik de kans op ongeoorloofde toegang tot de VDS waarop mijn netwerkcontroller zich bevindt verminderen met behulp van een firewall in mijn persoonlijke RuVDS-account. Dit onderwerp is waarschijnlijker voor een apart artikel. Daarom zal ik hier laten zien hoe je alleen toegang tot de GUI-controller kunt bieden vanaf het netwerk dat ik in dit artikel heb gemaakt.

Om dit te doen, moet u via SSH verbinding maken met de VDS waarop de controller zich bevindt en het configuratiebestand openen met de opdracht:

nano /opt/key-networks/ztncui/.env

In het geopende bestand moet u, na de regel "HTTPS_PORT=3443" met het adres van de poort waarop de GUI wordt geopend, een extra regel toevoegen met het adres waarop de GUI wordt geopend - in mijn geval is dit HTTPS_HOST=10.10.10.1 .XNUMX.

Vervolgens sla ik het bestand op

Сtrl+C Y Enter

en voer het commando uit:

systemctl restart ztncui

En dat is alles, nu is de GUI van mijn netwerkcontroller alleen beschikbaar voor netwerkknooppunten 10.10.10.0.24.

In plaats Output

Hier wil ik het eerste deel van de praktische gids voor het creëren van virtuele netwerken op basis van ZeroTier afronden. Ik kijk uit naar je opmerkingen.

Om in de tussentijd de tijd te doden tot de publicatie van het volgende deel, waarin ik je zal vertellen hoe je een virtueel netwerk kunt combineren met een fysiek netwerk, hoe je een 'road warrior'-modus kunt organiseren en nog iets anders, stel ik voor dat je het probeert het organiseren van uw eigen virtuele netwerk met behulp van een particuliere netwerkcontroller met GUI op basis van VDS vanaf de marktplaats Online RUVDS. Bovendien hebben alle nieuwe klanten een gratis proefperiode van 3 dagen!

PS Ja! Ik was bijna vergeten! U kunt een knooppunt uit het netwerk verwijderen met behulp van een commando in de CLI van dit knooppunt.

zerotier-cli leave <Network ID>

200 leave OK

of de opdracht Verwijderen in de client-GUI op het knooppunt.

-> Invoering. Theoretisch gedeelte. Slimme Ethernet-switch voor de planeet Aarde
-> Een praktische gids voor het bouwen van virtuele netwerken. Deel 1
-> Een praktische gids voor het bouwen van virtuele netwerken. Deel 2

Bron: www.habr.com

Mogelijk gemaakt door ZeroTier. Een praktische gids voor het bouwen van virtuele netwerken. Deel 1