🥇Poháňané ZeroTier. Praktický sprievodca budovaním virtuálnych sietí. Časť 1

Pokračovanie príbehu o ZeroTier, z teórie načrtnutej v článku “Smart Ethernet Switch pre planétu Zem“, prejdem k praxi, v ktorej:

Poďme vytvoriť a nakonfigurovať kontrolér súkromnej siete
Poďme vytvoriť virtuálnu sieť
Poďme k nemu nakonfigurovať a pripojiť uzly
Poďme skontrolovať sieťové pripojenie medzi nimi
Zablokujme prístup do GUI sieťového radiča zvonku

Sieťový ovládač

Ako už bolo spomenuté vyššie, na vytváranie virtuálnych sietí, ich správu a pripojenie uzlov potrebuje používateľ sieťový radič, ktorého grafické rozhranie (GUI) existuje v dvoch formách:

Možnosti grafického rozhrania ZeroTier

Jeden od vývojára ZeroTier, dostupný ako verejné cloudové riešenie SaaS so štyrmi plánmi predplatného, vrátane bezplatných, ale obmedzených počtom spravovaných zariadení a úrovňou podpory.
Druhé je od nezávislého vývojára, má trochu zjednodušenú funkčnosť, ale je k dispozícii ako súkromné riešenie s otvoreným zdrojom na použitie na mieste alebo na cloudových zdrojoch.

Vo svojej praxi som používal oboje a nakoniec som sa rozhodol pre to druhé. Dôvodom boli varovania developera.

„Sieťové kontroléry slúžia ako certifikačné autority pre virtuálne siete ZeroTier. Súbory obsahujúce tajné kľúče kontrolóra musia byť starostlivo chránené a bezpečne archivované. Ich kompromitácia umožňuje neautorizovaným útočníkom vytvárať podvodné sieťové konfigurácie a ich strata vedie k strate schopnosti kontrolovať a spravovať sieť, čím sa stáva nepoužiteľná.“

→ Odkaz na dokumentáciu

A tiež známky vašej vlastnej paranoje v oblasti kybernetickej bezpečnosti :)

Aj keď príde Cheburnet, stále musím mať prístup k môjmu sieťovému ovládaču;
Iba ja by som mal používať sieťový ovládač. V prípade potreby poskytnutie prístupu vašim oprávneným zástupcom;
Malo by byť možné obmedziť prístup k sieťovému ovládaču zvonku.

V tomto článku nevidím zmysel v tom, aby som sa osobitne zaoberal tým, ako nasadiť sieťový radič a jeho GUI na lokálne fyzické alebo virtuálne zdroje. A má to aj 3 dôvody:

bude viac listov, ako sa plánovalo
už o tomto povedal na vývojárovi grafického rozhrania GitHab
téma článku je o niečom inom

Preto, keď si vyberiem cestu najmenšieho odporu, použijem v tomto príbehu sieťový radič s GUI založeným na VDS, vytvorený zo šablóny, ktorý láskavo vyvinuli moji kolegovia z RuVDS.

Pôvodné nastavenie

Po vytvorení servera zo zadanej šablóny získa používateľ prístup k ovládaču Web-GUI prostredníctvom prehliadača prístupom na https:// :3443

Server už štandardne obsahuje vopred vygenerovaný certifikát TLS/SSL s vlastným podpisom. Mne to stačí, keďže si k tomu zvonku blokujem prístup. Pre tých, ktorí chcú používať iné typy certifikátov, existuje návod na inštaláciu na vývojárovi grafického rozhrania GitHab.

Keď sa používateľ prvýkrát prihlási Prihlásiť sa s predvoleným prihlasovacím menom a heslom - admin и heslo:

Navrhuje zmeniť predvolené heslo na vlastné

Robím to trochu inak - nezmením heslo existujúceho používateľa, ale vytvorím si nové - Vytvoriť užívateľa.

Nastavil som meno nového používateľa - užívateľské meno:
Nastavil som nové heslo - Zadajte nové heslo:
Potvrdzujem nové heslo - Zadajte znovu heslo:

V zadávaných znakoch sa rozlišujú malé a veľké písmená – buďte opatrní!

Začiarkavacie políčko na potvrdenie zmeny hesla pri ďalšom prihlásení - Zmena hesla pri ďalšom prihlásení: ja neoslavujem.

Pre potvrdenie zadaných údajov stlačte Nastaviť heslo:

Potom: Znovu sa prihlásim - Odhlásiť / Prihlásiť sa , už pod prihlasovacími údajmi nového používateľa:

Ďalej prejdem na kartu Používatelia - užívatelia a odstrániť používateľa adminkliknutím na ikonu smetného koša umiestnenú naľavo od jeho mena.

V budúcnosti môžete zmeniť heslo používateľa kliknutím na jeho meno alebo na nastavené heslo.

Vytvorenie virtuálnej siete

Ak chcete vytvoriť virtuálnu sieť, používateľ musí prejsť na kartu Pridať sieť. Z bodu užívateľ dá sa to urobiť cez stránku Domov — hlavná stránka webového rozhrania, ktorá zobrazuje adresu ZeroTier tohto sieťového kontroléra a obsahuje odkaz na stránku so zoznamom sietí vytvorených prostredníctvom neho.

Na stránke Pridať sieť používateľ priradí názov novovytvorenej sieti.

Pri aplikácii vstupných údajov − Vytvoriť sieť používateľ sa dostane na stránku so zoznamom sietí, ktorá obsahuje:

Názov sieťe — názov siete vo forme odkazu, kliknutím naň ho môžete zmeniť
ID siete — sieťový identifikátor
detail — odkaz na stránku s podrobnými parametrami siete
jednoduché nastavenie — odkaz na stránku pre jednoduché nastavenie
Členovia — odkaz na stránku správy uzla

Pre ďalšie nastavenie kliknite na odkaz jednoduché nastavenie. Na stránke, ktorá sa otvorí, používateľ zadá rozsah adries IPv4 pre vytváranú sieť. Toto je možné vykonať automaticky stlačením tlačidla Vygenerujte sieťovú adresu alebo manuálne zadaním sieťovej masky siete do príslušného poľa CIDR.

Pri potvrdení úspešného zadania údajov sa musíte vrátiť na stránku so zoznamom sietí pomocou tlačidla Späť. V tomto bode možno základné nastavenie siete považovať za dokončené.

Pripojenie uzlov siete

Najprv musí byť služba ZeroTier One nainštalovaná na uzle, ktorý sa chce používateľ pripojiť k sieti.
Čo je ZeroTier One?ZeroTier One je služba spustená na prenosných počítačoch, desktopoch, serveroch, virtuálnych strojoch a kontajneroch, ktorá poskytuje pripojenie k virtuálnej sieti cez virtuálny sieťový port, podobne ako klient VPN.

Po nainštalovaní a spustení služby sa môžete pripojiť k virtuálnym sieťam pomocou ich 16-miestnej adresy. Každá sieť sa v systéme javí ako virtuálny sieťový port, ktorý sa správa rovnako ako bežný ethernetový port.
Nájdete tu odkazy na distribúcie, ako aj inštalačné príkazy na stránke výrobcu.

Nainštalovanú službu môžete spravovať prostredníctvom terminálu príkazového riadka (CLI) s právami správcu/root. V systéme Windows/MacOS aj pomocou grafického rozhrania. V systéme Android/iOS iba pomocou GUI.
Kontrola úspešnosti inštalácie služby:
CLI:
```
zerotier-cli status
```
Výsledok:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Samotná skutočnosť, že aplikácia je spustená, a prítomnosť v nej riadku s ID uzla s adresou uzla.
Pripojenie uzla k sieti:
CLI:
```
zerotier-cli join <Network ID>
```
Výsledok:

200 join OK

GUI:

Windows: kliknite pravým tlačidlom myši na ikonu ZeroTier One na systémovej lište a výberom položky - Pripojte sa k sieti.

MacOS: Spustite aplikáciu ZeroTier One v ponuke lišty, ak ešte nie je spustená. Kliknite na ikonu ⏁ a vyberte Pripojte sa k sieti.

Android/iOS: + (plus obrázok) v aplikácii

Do poľa, ktoré sa zobrazí, zadajte sieťový radič špecifikovaný v GUI ID sietea stlačte Pripojiť sa/Pridať sieť.
Priradenie adresy IP hostiteľovi
Teraz sa vrátime k sieťovému ovládaču a na stránke so zoznamom sietí klikneme na odkaz Členovia. Ak na obrazovke uvidíte obrázok podobný tomuto, znamená to, že váš sieťový ovládač dostal požiadavku na potvrdenie pripojenia k sieti z pripojeného uzla.

Na tejto stránke necháme všetko tak, ako je, a nasledujeme odkaz pridelenie IP adresy prejdite na stránku na pridelenie IP adresy uzlu:

Po priradení adresy kliknite na tlačidlo späť vráťte sa na stránku zoznamu pripojených uzlov a nastavte názov - Meno člena a začiarknutím políčka autorizujte uzol v sieti - oprávnený. Mimochodom, toto zaškrtávacie políčko je veľmi výhodná vec na odpojenie/pripojenie z hostiteľskej siete v budúcnosti.

Uložte zmeny pomocou tlačidla osviežiť.
Kontrola stavu pripojenia uzla k sieti:
Ak chcete skontrolovať stav pripojenia na samotnom uzle, spustite:
CLI:
```
zerotier-cli listnetworks
```
Výsledok:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Stav siete by mal byť v poriadku

Ak chcete pripojiť zostávajúce uzly, zopakujte operácie 1-5 pre každý z nich.

Kontrola sieťovej konektivity uzlov

Urobím to spustením príkazu ping na zariadení pripojenom k sieti, ktorú momentálne spravujem.

Na snímke obrazovky ovládača Web-GUI môžete vidieť tri uzly pripojené k sieti:

ZTNCUI - 10.10.10.1 - môj sieťový ovládač s GUI - VDS v jednom z RuVDS DC. Pre bežnú prácu nie je potrebné ho pridávať do siete, ale urobil som to, pretože chcem zablokovať prístup k webovému rozhraniu zvonku. Viac o tom neskôr.
MyComp - 10.10.10.2 - môj pracovný počítač je fyzický počítač
Záloha - 10.10.10.3 — VDS v inom DC.

Preto z môjho pracovného počítača kontrolujem dostupnosť ďalších uzlov pomocou príkazov:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Používateľ má právo používať ďalšie nástroje na kontrolu dostupnosti uzlov v sieti, a to ako vstavané v OS, tak aj ako NMAP, Advanced IP Scanner atď.

Skryjeme prístup k grafickému používateľskému rozhraniu sieťového ovládača zvonku.

Vo všeobecnosti môžem znížiť pravdepodobnosť neoprávneného prístupu k VDS, na ktorom sa nachádza môj sieťový kontrolér, pomocou brány firewall v osobnom účte RuVDS. Táto téma je pravdepodobnejšie na samostatný článok. Preto tu ukážem, ako poskytnúť prístup k ovládaču GUI iba zo siete, ktorú som vytvoril v tomto článku.

Ak to chcete urobiť, musíte sa pripojiť cez SSH k VDS, na ktorom je umiestnený ovládač, a otvoriť konfiguračný súbor pomocou príkazu:

nano /opt/key-networks/ztncui/.env

V otvorenom súbore za riadok “HTTPS_PORT=3443” obsahujúci adresu portu, na ktorom sa GUI otvára, treba pridať ďalší riadok s adresou, na ktorej sa GUI otvorí - v mojom prípade je to HTTPS_HOST=10.10.10.1 .XNUMX.

Ďalej uložím súbor

Сtrl+C Y Enter

a spustite príkaz:

systemctl restart ztncui

A to je všetko, teraz je GUI môjho sieťového radiča dostupné iba pre sieťové uzly 10.10.10.0.24.

namiesto záveru

Tu chcem dokončiť prvú časť praktického sprievodcu vytváraním virtuálnych sietí založených na ZeroTier. Teším sa na vaše komentáre.

Aby ste medzitým prešli čas do vydania ďalšej časti, v ktorej vám poviem, ako skombinovať virtuálnu sieť s fyzickou, ako zorganizovať režim „cestného bojovníka“ a niečo iné, odporúčam vám vyskúšať organizovanie vlastnej virtuálnej siete pomocou privátneho sieťového kontroléra s GUI založeným na VDS z trhu Online RUVDS. Navyše, všetci noví klienti majú bezplatnú skúšobnú dobu 3 dní!

PS Áno! Takmer som zabudol! Uzol môžete odstrániť zo siete pomocou príkazu v CLI tohto uzla.

zerotier-cli leave <Network ID>

200 leave OK

alebo príkaz Delete v klientskom GUI v uzle.

-> Úvod. Teoretická časť. Smart Ethernet Switch pre planétu Zem
-> Praktický sprievodca budovaním virtuálnych sietí. Časť 1
-> Praktický sprievodca budovaním virtuálnych sietí. Časť 2

Zdroj: hab.com

Beží na ZeroTier. Praktický sprievodca budovaním virtuálnych sietí. Časť 1