Vazhdimi i tregimit për ZeroTier, nga teoria e përshkruar në artikull "", unë kaloj në praktikën në të cilën:
- Le të krijojmë dhe konfigurojmë një kontrollues rrjeti privat
- Le të krijojmë një rrjet virtual
- Le të konfigurojmë dhe lidhim nyjet me të
- Le të kontrollojmë lidhjen e rrjetit midis tyre
- Le të bllokojmë hyrjen në GUI të kontrolluesit të rrjetit nga jashtë
Setevoy kontrolller
Siç u përmend më herët, për të krijuar rrjete virtuale, për t'i menaxhuar ato, si dhe për të lidhur nyjet, përdoruesi ka nevojë për një kontrollues rrjeti, një ndërfaqe grafike (GUI) për të cilën ekziston në dy forma:
Opsionet ZeroTier GUI
- Një nga zhvilluesi ZeroTier, i disponueshëm si një zgjidhje publike cloud SaaS me katër plane abonimi, duke përfshirë falas, por të kufizuar në numrin e pajisjeve të menaxhuara dhe nivelin e mbështetjes
- E dyta është nga një zhvillues i pavarur, disi i thjeshtuar në funksionalitet, por i disponueshëm si një zgjidhje private me burim të hapur për përdorim në premisa ose në burimet cloud.
Në praktikën time, i përdora të dyja dhe si rezultat, më në fund u vendosa në të dytin. Arsyeja për këtë ishin paralajmërimet e zhvilluesit.
âKontrolluesit e rrjetit shĂ«rbejnĂ« si autoritete certifikimi pĂ«r rrjetet virtuale ZeroTier. SkedarĂ«t qĂ« pĂ«rmbajnĂ« çelĂ«sa sekret tĂ« kontrolluesit duhet tĂ« ruhen me kujdes dhe tĂ« arkivohen nĂ« mĂ«nyrĂ« tĂ« sigurt. Kompromisi i tyre i lejon sulmuesit e paautorizuar tĂ« krijojnĂ« konfigurime mashtruese tĂ« rrjetit dhe humbja e tyre çon nĂ« humbjen e aftĂ«sisĂ« pĂ«r tĂ« kontrolluar dhe menaxhuar rrjetin, duke e bĂ«rĂ« atĂ« efektivisht tĂ« papĂ«rdorshĂ«m."
â
Dhe gjithashtu, shenja të paranojës suaj të sigurisë kibernetike :)
- Edhe nëse vjen Cheburnet, unë duhet të kem akoma akses në kontrolluesin e rrjetit tim;
- Vetëm unë duhet të përdor kontrolluesin e rrjetit. Nëse është e nevojshme, duke siguruar akses për përfaqësuesit tuaj të autorizuar;
- Duhet të jetë e mundur të kufizohet qasja në kontrolluesin e rrjetit nga jashtë.
Në këtë artikull, nuk shoh shumë kuptim të ndalem veçmas se si të vendoset një kontrollues rrjeti dhe GUI për të në burimet fizike ose virtuale në premisë. Dhe ka gjithashtu 3 arsye për këtë:
- do të ketë më shumë letra se sa ishte planifikuar
- për këtë tashmë në zhvilluesin GUI GitHab
- tema e artikullit ka të bëjë me diçka tjetër
Prandaj, duke zgjedhur rrugën e rezistencës më të vogël, unë do të përdor në këtë histori një kontrollues rrjeti me një GUI të bazuar në VDS, krijuar nga , zhvilluar me dashamirësi nga kolegët e mi nga RuVDS.
Konfigurimi fillestar
Pas krijimit të një serveri nga shablloni i specifikuar, përdoruesi fiton qasje në kontrolluesin Web-GUI përmes një shfletuesi duke hyrë në https:// :3443
Si parazgjedhje, serveri tashmë përmban një certifikatë TLS/SSL të vetë-nënshkruar paraprakisht. Kjo është e mjaftueshme për mua, pasi bllokoj hyrjen në të nga jashtë. Për ata që dëshirojnë të përdorin lloje të tjera certifikatash, ekziston në zhvilluesin GUI GitHab.
Kur përdoruesi regjistrohet për herë të parë Login me hyrjen dhe fjalëkalimin e paracaktuar - admin О Fjalëkalimi:
Ai sugjeron ndryshimin e fjalëkalimit të paracaktuar në një të personalizuar
Unë e bëj atë pak më ndryshe - nuk e ndryshoj fjalëkalimin e një përdoruesi ekzistues, por krijoj një të ri - Krijo përdorues.
Vendosa emrin e përdoruesit të ri - Emri i përdoruesit:
Vendosa një fjalëkalim të ri - Fut fjalëkalimin e ri:
Unë konfirmoj fjalëkalimin e ri - Fut përsëri fjalëkalimin:
Karakteret që futni janë të ndjeshme - kini kujdes!
Kutia e kontrollit për të konfirmuar ndryshimin e fjalëkalimit në hyrjen tjetër - Ndryshoni fjalëkalimin në hyrjen tjetër: Unë nuk festoj.
Për të konfirmuar të dhënat e futura, shtypni Cakto fjalëkalimin:
Pastaj: Unë ri-identifikohem - Shkyç / Login, tashmë nën kredencialet e përdoruesit të ri:
Tjetra, unë shkoj në skedën e përdoruesve - Përdorues dhe fshini përdoruesin adminduke klikuar në ikonën e koshit të mbeturinave që ndodhet në të majtë të emrit të tij.
Në të ardhmen, mund të ndryshoni fjalëkalimin e përdoruesit duke klikuar ose në emrin e tij ose në fjalëkalimin e caktuar.
Krijimi i një rrjeti virtual
PĂ«r tĂ« krijuar njĂ« rrjet virtual, pĂ«rdoruesi duhet tĂ« shkojĂ« te skeda Shto rrjet. Nga pika PĂ«rdorues kjo mund tĂ« bĂ«het pĂ«rmes faqes Kryesore â faqja kryesore e Web-GUI, e cila shfaq adresĂ«n ZeroTier tĂ« kĂ«tij kontrolluesi tĂ« rrjetit dhe pĂ«rmban njĂ« lidhje me faqen pĂ«r listĂ«n e rrjeteve tĂ« krijuara nĂ«pĂ«rmjet tij.
Në faqe Shto rrjet përdoruesi i cakton një emër rrjetit të sapokrijuar.
Kur aplikoni tĂ« dhĂ«nat hyrĂ«se â Krijo rrjet pĂ«rdoruesi çohet nĂ« njĂ« faqe me njĂ« listĂ« rrjetesh, e cila pĂ«rmban:
Emri i rrjetit â emri i rrjetit nĂ« formĂ«n e njĂ« lidhjeje, kur klikoni mbi tĂ« mund ta ndryshoni
ID e rrjetit â identifikuesi i rrjetit
hollĂ«si â lidhje me njĂ« faqe me parametra tĂ« detajuar tĂ« rrjetit
konfigurim i lehtĂ« â lidhje me faqen pĂ«r konfigurim tĂ« lehtĂ«
AnĂ«tarĂ«t â lidhje me faqen e menaxhimit tĂ« nyjeve
Për konfigurim të mëtejshëm ndiqni lidhjen konfigurim i lehtë. Në faqen që hapet, përdoruesi specifikon një sërë adresash IPv4 për rrjetin që po krijohet. Kjo mund të bëhet automatikisht duke shtypur një buton Gjeneroni adresën e rrjetit ose manualisht duke futur maskën e rrjetit në fushën përkatëse CIDR.
Kur konfirmoni futjen e suksesshme të të dhënave, duhet të ktheheni në faqen me listën e rrjeteve duke përdorur butonin Prapa. Në këtë pikë, konfigurimi bazë i rrjetit mund të konsiderohet i përfunduar.
Lidhja e nyjeve të rrjetit
- Së pari, shërbimi ZeroTier One duhet të instalohet në nyjen që përdoruesi dëshiron të lidhet me rrjetin.
ĂfarĂ« Ă«shtĂ« ZeroTier One?ZeroTier NjĂ« Ă«shtĂ« njĂ« shĂ«rbim qĂ« funksionon nĂ« laptopĂ«, desktop, serverĂ«, makina virtuale dhe kontejnerĂ« qĂ« siguron lidhje me njĂ« rrjet virtual pĂ«rmes njĂ« porti rrjeti virtual, i ngjashĂ«m me njĂ« klient VPN.
Pasi shĂ«rbimi tĂ« jetĂ« instaluar dhe nisur, mund tĂ« lidheni me rrjetet virtuale duke pĂ«rdorur adresat e tyre 16-shifrore. Ădo rrjet shfaqet si njĂ« port virtual i rrjetit nĂ« sistem, i cili sillet njĂ«soj si njĂ« port i rregullt Ethernet.
Mund të gjenden lidhje me shpërndarjet, si dhe komandat e instalimit .Ju mund të menaxhoni shërbimin e instaluar përmes një terminali të linjës komanduese (CLI) me të drejta administratori/root. Në Windows/MacOS gjithashtu duke përdorur një ndërfaqe grafike. Në Android/iOS vetëm duke përdorur GUI.
- Kontrollimi i suksesit të instalimit të shërbimit:
CLI:
zerotier-cli statusRezultati:
200 info ebf416fac1 1.4.6 ONLINE
GUI:Vetë fakti që aplikacioni është duke u ekzekutuar dhe prania në të e një linje me Node ID me adresën e nyjes.
- Lidhja e një nyje me rrjetin:
CLI:
zerotier-cli join <Network ID>Rezultati:
200 join OKGUI:
Windows: kliko me të djathtën mbi ikonën ZeroTier Një në tabaka e sistemit dhe zgjedhja e artikullit - Bashkohuni me rrjetin.
macOS: Nisni aplikacionin ZeroTier NjĂ« nĂ« menynĂ« e shiritit, nĂ«se nuk Ă«shtĂ« nisur tashmĂ«. Klikoni nĂ« ikonĂ«n â dhe zgjidhni Bashkohuni me rrjetin.Android/iOS: + (plus imazh) nĂ« aplikacion
Në fushën që shfaqet, futni kontrolluesin e rrjetit të specifikuar në GUI ID e rrjetit, dhe shtypni Bashkohu/Shto rrjet. - Caktimi i një adrese IP për një host
Tani kthehemi te kontrolluesi i rrjetit dhe në faqen me një listë të rrjeteve ndiqni lidhjen Anëtarët. Nëse shihni një fotografi të ngjashme me këtë në ekran, do të thotë që kontrolluesi i rrjetit tuaj ka marrë një kërkesë për të konfirmuar lidhjen me rrjetin nga nyja e lidhur.
Në këtë faqe ne lëmë gjithçka ashtu siç është tani për tani dhe ndjekim lidhjen Caktimi i IP-së shkoni në faqen për caktimin e një adrese IP në nyjë:
Pasi të caktoni adresën, klikoni butonin prapa kthehuni në faqen e listës së nyjeve të lidhura dhe vendosni emrin - Emri i anëtarit dhe kontrolloni kutinë e kontrollit për të autorizuar nyjen në rrjet - i autorizuar. Nga rruga, kjo kuti e kontrollit është një gjë shumë e përshtatshme për shkëputje/lidhje nga rrjeti pritës në të ardhmen.
Ruani ndryshimet duke përdorur butonin freskoj. - Kontrollimi i statusit të lidhjes së nyjës me rrjetin:
Për të kontrolluar statusin e lidhjes në vetë nyjen, ekzekutoni:
CLI:zerotier-cli listnetworksRezultati:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:Statusi i rrjetit duhet të jetë në rregull
Për të lidhur nyjet e mbetura, përsëritni operacionet 1-5 për secilën prej tyre.
Kontrollimi i lidhjes së rrjetit të nyjeve
Unë e bëj këtë duke ekzekutuar komandën ping në pajisjen e lidhur me rrjetin që po menaxhoj aktualisht.
Në pamjen e ekranit të kontrolluesit Web-GUI mund të shihni tre nyje të lidhura me rrjetin:
- ZTNCUI - 10.10.10.1 - kontrolluesi i rrjetit tim me GUI - VDS në një nga DC-të RuVDS. Për punë normale nuk ka nevojë ta shtoj atë në rrjet, por e bëra këtë sepse dua të bllokoj hyrjen në ndërfaqen e internetit nga jashtë. Më shumë për këtë më vonë.
- MyComp - 10.10.10.2 - Kompjuteri im i punës është një PC fizik
- Rezervimi - 10.10.10.3 - VDS në një DC tjetër.
Prandaj, nga kompjuteri im i punës kontrolloj disponueshmërinë e nyjeve të tjera me komandat:
ping 10.10.10.1 Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Statistikat e ping për 10.10.10.1:
Paketat: Dërguar = 4, Marrë = 4, Humbur = 0 (0% humbje),
Kohët e përafërta të udhëtimit vajtje-ardhje në mili-sekonda:
Minimumi = 2 ms, Maksimumi = 14 ms, Mesatarja = 6 ms
ping 10.10.10.3 Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Statistikat e ping për 10.10.10.3:
Paketat: Dërguar = 4, Marrë = 4, Humbur = 0 (0% humbje),
Kohët e përafërta të udhëtimit vajtje-ardhje në mili-sekonda:
Minimumi = 4 ms, Maksimumi = 15 ms, Mesatarja = 7 ms
Përdoruesi ka të drejtë të përdorë mjete të tjera për të kontrolluar disponueshmërinë e nyjeve në rrjet, si të integruara në OS ashtu edhe si NMAP, Skaneri i avancuar IP, etj.
Ne e fshehim hyrjen në GUI të kontrolluesit të rrjetit nga jashtë.
Në përgjithësi, unë mund të zvogëloj mundësinë e hyrjes së paautorizuar në VDS në të cilën ndodhet kontrolluesi i rrjetit tim duke përdorur një mur zjarri në llogarinë time personale RuVDS. Kjo temë ka më shumë gjasa për një artikull të veçantë. Prandaj, këtu do të tregoj se si të siguroj qasje në kontrolluesin GUI vetëm nga rrjeti që kam krijuar në këtë artikull.
Për ta bërë këtë, duhet të lidheni nëpërmjet SSH me VDS në të cilën ndodhet kontrolluesi dhe të hapni skedarin e konfigurimit duke përdorur komandën:
nano /opt/key-networks/ztncui/.envNë skedarin e hapur, pas rreshtit "HTTPS_PORT=3443" që përmban adresën e portit në të cilin hapet GUI, duhet të shtoni një rresht shtesë me adresën në të cilën do të hapet GUI - në rastin tim është HTTPS_HOST=10.10.10.1 .XNUMX.
MĂ« pas do ta ruaj skedarin
ĐĄtrl+C
Y
Enter
dhe ekzekutoni komandën:
systemctl restart ztncuiDhe kjo është ajo, tani GUI-ja e kontrolluesit të rrjetit tim është e disponueshme vetëm për nyjet e rrjetit 10.10.10.0.24.
Në vend të një përfundimi
Këtu dua të përfundoj pjesën e parë të udhëzuesit praktik për krijimin e rrjeteve virtuale bazuar në ZeroTier. Pres me padurim komentet tuaja.
Ndërkohë, për të kaluar kohën deri në publikimin e pjesës tjetër, në të cilën do t'ju tregoj se si të kombinoni një rrjet virtual me atë fizik, si të organizoni një modalitet "luftëtar në rrugë" dhe diçka tjetër, ju sugjeroj të provoni. organizimi i rrjetit tuaj virtual duke përdorur një kontrollues rrjeti privat me GUI të bazuar në VDS nga tregu në vazhdim RUVDS. Për më tepër, të gjithë klientët e rinj kanë një periudhë prove falas prej 3 ditësh!
PS Po! Unë pothuajse harrova! Ju mund të hiqni një nyje nga rrjeti duke përdorur një komandë në CLI të kësaj nyje.
zerotier-cli leave <Network ID> 200 leave OK
ose komanda Delete në GUI të klientit në nyje.
->
->
->
Burimi: www.habr.com
