🥇Poganja ZeroTier. Praktični vodnik za gradnjo virtualnih omrežij. 1. del

Nadaljevanje zgodbe o ZeroTier, iz teorije, opisane v članku "Pametno ethernet stikalo za planet Zemljo", nadaljujem s prakso, v kateri:

Ustvarimo in konfigurirajmo krmilnik zasebnega omrežja
Ustvarimo virtualno omrežje
Konfigurirajmo in nanj povežimo vozlišča
Preverimo omrežno povezljivost med njimi
Blokirajmo dostop do GUI omrežnega krmilnika od zunaj

Setevoj kontroller

Kot smo že omenili, za ustvarjanje virtualnih omrežij, njihovo upravljanje in povezovanje vozlišč uporabnik potrebuje omrežni krmilnik, grafični vmesnik (GUI), za katerega obstaja v dveh oblikah:

Možnosti GUI ZeroTier

Ena od razvijalca ZeroTier, ki je na voljo kot javna rešitev SaaS v oblaku s štirimi naročniškimi načrti, vključno z brezplačnimi, vendar omejenimi glede števila upravljanih naprav in ravni podpore
Druga je od neodvisnega razvijalca, nekoliko poenostavljena v funkcionalnosti, vendar je na voljo kot zasebna odprtokodna rešitev za uporabo na mestu uporabe ali v virih v oblaku.

V svoji praksi sem uporabljal oba in posledično sem se končno odločil za drugega. Razlog za to so bila opozorila razvijalca.

»Omrežni krmilniki služijo kot certifikacijski organi za virtualna omrežja ZeroTier. Datoteke, ki vsebujejo tajne ključe krmilnika, morajo biti skrbno varovane in varno arhivirane. Njihova ogroženost omogoča nepooblaščenim napadalcem, da ustvarijo lažne omrežne konfiguracije, njihova izguba pa povzroči izgubo zmožnosti nadzora in upravljanja omrežja, zaradi česar je dejansko neuporabno."

→ Povezava do dokumentacije

In tudi znaki vaše paranoje glede kibernetske varnosti :)

Tudi če Cheburnet pride, moram še vedno imeti dostop do svojega omrežnega krmilnika;
Samo jaz bi moral uporabljati omrežni krmilnik. Po potrebi zagotavljanje dostopa vašim pooblaščenim predstavnikom;
Dostop do omrežnega krmilnika bi moralo biti mogoče omejiti od zunaj.

V tem članku ne vidim smisla, da bi ločeno razmišljal o tem, kako namestiti omrežni krmilnik in GUI zanj na fizične ali virtualne vire na mestu uporabe. In za to obstajajo tudi 3 razlogi:

pisem bo več kot je bilo načrtovano
o tem že povedal na razvijalcu GUI GitHab
tema članka je o nečem drugem

Zato bom po poti najmanjšega odpora v tej zgodbi uporabil omrežni krmilnik z GUI, ki temelji na VDS, ki ga je ustvaril iz predloge, ki so ga prijazno razvili moji kolegi iz RuVDS.

Začetna nastavitev

Po izdelavi strežnika iz določene predloge uporabnik pridobi dostop do krmilnika Web-GUI prek brskalnika z dostopom do https:// :3443

Privzeto strežnik že vsebuje vnaprej ustvarjeno samopodpisano potrdilo TLS/SSL. To je zame dovolj, saj blokiram dostop do njega od zunaj. Za tiste, ki želijo uporabljati druge vrste potrdil, obstaja navodila za namestitev na razvijalcu GUI GitHab.

Ko se uporabnik prvič prijavi Prijava s privzeto prijavo in geslom - admin и geslo:

Predlaga spremembo privzetega gesla v prilagojeno

Jaz to naredim malo drugače - ne spremenim gesla obstoječega uporabnika, ampak ustvarim novega - Ustvari uporabnika.

Nastavil sem ime novega uporabnika - Uporabniško ime:
Postavil sem novo geslo - Vnesite novo geslo:
Potrjujem novo geslo - Ponovno vpišite geslo:

Znaki, ki jih vnesete, razlikujejo med velikimi in malimi črkami - bodite previdni!

Potrditveno polje za potrditev spremembe gesla ob naslednji prijavi - Spremenite geslo ob naslednji prijavi: ne praznujem.

Za potrditev vnesenih podatkov pritisnite Nastavi geslo:

Potem: ponovno se prijavim - Odjava / Prijava, že pod poverilnicami novega uporabnika:

Nato grem na zavihek uporabniki - uporabniki in izbrišite uporabnika admins klikom na ikono smetnjaka, ki se nahaja levo od njegovega imena.

V prihodnje lahko spremenite geslo uporabnika s klikom na njegovo ime ali nastavljeno geslo.

Ustvarjanje virtualnega omrežja

Če želite ustvariti navidezno omrežje, mora uporabnik iti na zavihek Dodajte omrežje. Od točke uporabnik to lahko storite prek strani Domov — glavna stran Web-GUI, ki prikazuje naslov ZeroTier tega omrežnega krmilnika in vsebuje povezavo do strani za seznam omrežij, ustvarjenih prek njega.

Na strani Dodajte omrežje uporabnik novoustvarjenemu omrežju dodeli ime.

Pri uporabi vhodnih podatkov − Ustvarite omrežje uporabnik je preusmerjen na stran s seznamom omrežij, ki vsebuje:

Ime omrežja — ime omrežja v obliki povezave, s klikom nanj ga lahko spremenite
ID omrežja — identifikator omrežja
Podatki — povezava do strani s podrobnimi parametri omrežja
enostavna postavitev — povezava do strani za enostavno nastavitev
Člani — povezava do strani za upravljanje vozlišča

Za nadaljnjo nastavitev sledite povezavi enostavna postavitev. Na strani, ki se odpre, uporabnik določi obseg naslovov IPv4 za omrežje, ki ga ustvarja. To lahko storite samodejno s pritiskom na gumb Ustvari omrežni naslov ali ročno z vnosom omrežne omrežne maske v ustrezno polje CIDR.

Ko potrdite uspešen vnos podatkov, se morate s tipko Nazaj vrniti na stran s seznamom omrežij. Na tej točki lahko štejemo, da je osnovna nastavitev omrežja končana.

Povezovanje omrežnih vozlišč

Najprej mora biti storitev ZeroTier One nameščena na vozlišču, ki ga uporabnik želi povezati z omrežjem.
Kaj je ZeroTier One?ZeroTier One je storitev, ki se izvaja na prenosnikih, namiznih računalnikih, strežnikih, virtualnih strojih in vsebnikih, ki zagotavlja povezave z virtualnim omrežjem prek vrat virtualnega omrežja, podobno kot odjemalec VPN.

Ko je storitev nameščena in zagnana, se lahko povežete z virtualnimi omrežji z uporabo njihovih 16-mestnih naslovov. Vsako omrežje je v sistemu prikazano kot navidezna omrežna vrata, ki se obnašajo kot običajna vrata Ethernet.
Najdete lahko povezave do distribucij in namestitvenih ukazov na strani proizvajalca.

Nameščeno storitev lahko upravljate prek terminala ukazne vrstice (CLI) s skrbniškimi/korenskimi pravicami. V sistemu Windows/MacOS tudi z uporabo grafičnega vmesnika. V sistemu Android/iOS samo z uporabo GUI.
Preverjanje uspešnosti namestitve storitve:
CLI:
```
zerotier-cli status
```
Rezultat:

200 info ebf416fac1 1.4.6 ONLINE
GUI:

Samo dejstvo, da se aplikacija izvaja, in prisotnost v njej vrstice z ID-jem vozlišča z naslovom vozlišča.
Povezovanje vozlišča z omrežjem:
CLI:
```
zerotier-cli join <Network ID>
```
Rezultat:

200 join OK

GUI:

Windows: desni klik na ikono ZeroTier One v sistemski vrstici in izberite element - Pridružite se omrežju.

macOS: Zaženite aplikacijo ZeroTier One v vrstičnem meniju, če še ni zagnan. Kliknite ikono ⏁ in izberite Pridružite se omrežju.

Android/iOS: + (plus slika) v aplikaciji

V polje, ki se prikaže, vnesite omrežni krmilnik, naveden v GUI ID omrežjain pritisnite Pridružite se/dodajte omrežje.
Dodeljevanje naslova IP gostitelju
Zdaj se vrnemo k omrežnemu krmilniku in na strani s seznamom omrežij sledimo povezavi Člani. Če na zaslonu vidite podobno sliko, to pomeni, da je vaš omrežni krmilnik prejel zahtevo za potrditev povezave z omrežjem od povezanega vozlišča.

Na tej strani zaenkrat pustimo vse tako kot je in sledimo povezavi dodelitev IP pojdite na stran za dodelitev IP naslova vozlišču:

Po dodelitvi naslova kliknite gumb Nazaj vrnite se na stran seznama povezanih vozlišč in nastavite ime - Ime člana in označite potrditveno polje, da pooblastite vozlišče v omrežju - Dovoljeno. Mimogrede, to potrditveno polje je zelo priročno za prekinitev povezave/povezovanje z gostiteljskim omrežjem v prihodnosti.

Shranite spremembe z gumbom Osveži.
Preverjanje statusa povezave vozlišča z omrežjem:
Če želite preveriti stanje povezave na samem vozlišču, zaženite:
CLI:
```
zerotier-cli listnetworks
```
Rezultat:

200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:

Stanje omrežja mora biti v redu

Če želite povezati preostala vozlišča, ponovite operacije 1-5 za vsako od njih.

Preverjanje omrežne povezljivosti vozlišč

To naredim tako, da zaženem ukaz ping na napravi, povezani z omrežjem, ki ga trenutno upravljam.

Na posnetku zaslona krmilnika Web-GUI lahko vidite tri vozlišča, povezana z omrežjem:

ZTNCUI - 10.10.10.1 - moj omrežni krmilnik z GUI - VDS v enem od DC-jev RuVDS. Za normalno delo ga ni treba dodati v omrežje, vendar sem to naredil, ker želim blokirati dostop do spletnega vmesnika od zunaj. Več o tem pozneje.
MyComp - 10.10.10.2 - moj službeni računalnik je fizični računalnik
Varnostna kopija - 10.10.10.3 — VDS v drugem DC.

Zato na službenem računalniku preverim razpoložljivost drugih vozlišč z ukazi:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data: Reply from 10.10.10.1: bytes=32 time=14ms TTL=64 Reply from 10.10.10.1: bytes=32 time=4ms TTL=64 Reply from 10.10.10.1: bytes=32 time=7ms TTL=64 Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data: Reply from 10.10.10.3: bytes=32 time=15ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64 Reply from 10.10.10.3: bytes=32 time=8ms TTL=64 Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 15ms, Average = 7ms

Uporabnik ima pravico uporabljati druga orodja za preverjanje razpoložljivosti vozlišč v omrežju, tako vgrajena v OS kot NMAP, Advanced IP Scanner itd.

Dostop do GUI omrežnega krmilnika skrijemo od zunaj.

Na splošno lahko z uporabo požarnega zidu v svojem osebnem računu RuVDS zmanjšam verjetnost nepooblaščenega dostopa do VDS, na katerem je moj omrežni krmilnik. Ta tema je bolj verjetno za ločen članek. Zato bom tukaj pokazal, kako omogočiti dostop do krmilnika GUI samo iz omrežja, ki sem ga ustvaril v tem članku.

Če želite to narediti, se morate prek SSH povezati z VDS, na katerem se nahaja krmilnik, in odpreti konfiguracijsko datoteko z ukazom:

nano /opt/key-networks/ztncui/.env

V odprti datoteki morate za vrstico »HTTPS_PORT=3443«, ki vsebuje naslov vrat, na katerih se odpre GUI, dodati dodatno vrstico z naslovom, na katerem se odpre GUI - v mojem primeru je to HTTPS_HOST=10.10.10.1 .XNUMX.

Nato bom shranil datoteko

Сtrl+C Y Enter

in zaženite ukaz:

systemctl restart ztncui

In to je to, zdaj je GUI mojega omrežnega krmilnika na voljo samo za omrežna vozlišča 10.10.10.0.24.

Namesto zaključka

Tukaj želim zaključiti prvi del praktičnega vodnika za ustvarjanje virtualnih omrežij, ki temeljijo na ZeroTier. Veselim se vaših komentarjev.

Medtem, da mine čas do objave naslednjega dela, v katerem vam bom povedal, kako združiti virtualno omrežje s fizičnim, kako organizirati način "cestni bojevnik" in še kaj, predlagam, da poskusite organiziranje lastnega virtualnega omrežja z uporabo krmilnika zasebnega omrežja z GUI, ki temelji na VDS s trga naprej Online RUVDS. Poleg tega imajo vse nove stranke brezplačno preizkusno obdobje 3 dni!

PS ja! Skoraj sem pozabil! Vozlišče lahko odstranite iz omrežja z ukazom v CLI tega vozlišča.

zerotier-cli leave <Network ID>

200 leave OK

ali ukaz Izbriši v GUI odjemalca na vozlišču.

-> Uvod. Teoretični del. Pametno ethernet stikalo za planet Zemljo
-> Praktični vodnik za gradnjo virtualnih omrežij. 1. del
-> Praktični vodnik za gradnjo virtualnih omrežij. 2. del

Vir: www.habr.com

Poganja ZeroTier. Praktični vodnik za gradnjo virtualnih omrežij. 1. del