Vazhdimi i tregimit për ZeroTier, nga teoria e përshkruar në artikull "", unë kaloj në praktikën në të cilën:
- Le të krijojmë dhe konfigurojmë një kontrollues rrjeti privat
- Le të krijojmë një rrjet virtual
- Le të konfigurojmë dhe lidhim nyjet me të
- Le të kontrollojmë lidhjen e rrjetit midis tyre
- Le të bllokojmë hyrjen në GUI të kontrolluesit të rrjetit nga jashtë
Setevoy kontrolller
Siç u përmend më herët, për të krijuar rrjete virtuale, për t'i menaxhuar ato, si dhe për të lidhur nyjet, përdoruesi ka nevojë për një kontrollues rrjeti, një ndërfaqe grafike (GUI) për të cilën ekziston në dy forma:
Opsionet ZeroTier GUI
- Një nga zhvilluesi ZeroTier, i disponueshëm si një zgjidhje publike cloud SaaS me katër plane abonimi, duke përfshirë falas, por të kufizuar në numrin e pajisjeve të menaxhuara dhe nivelin e mbështetjes
- E dyta është nga një zhvillues i pavarur, disi i thjeshtuar në funksionalitet, por i disponueshëm si një zgjidhje private me burim të hapur për përdorim në premisa ose në burimet cloud.
Në praktikën time, i përdora të dyja dhe si rezultat, më në fund u vendosa në të dytin. Arsyeja për këtë ishin paralajmërimet e zhvilluesit.
“Kontrolluesit e rrjetit shërbejnë si autoritete certifikimi për rrjetet virtuale ZeroTier. Skedarët që përmbajnë çelësa sekret të kontrolluesit duhet të ruhen me kujdes dhe të arkivohen në mënyrë të sigurt. Kompromisi i tyre i lejon sulmuesit e paautorizuar të krijojnë konfigurime mashtruese të rrjetit dhe humbja e tyre çon në humbjen e aftësisë për të kontrolluar dhe menaxhuar rrjetin, duke e bërë atë efektivisht të papërdorshëm."
→
Dhe gjithashtu, shenja të paranojës suaj të sigurisë kibernetike :)
- Edhe nëse vjen Cheburnet, unë duhet të kem akoma akses në kontrolluesin e rrjetit tim;
- Vetëm unë duhet të përdor kontrolluesin e rrjetit. Nëse është e nevojshme, duke siguruar akses për përfaqësuesit tuaj të autorizuar;
- Duhet të jetë e mundur të kufizohet qasja në kontrolluesin e rrjetit nga jashtë.
Në këtë artikull, nuk shoh shumë kuptim të ndalem veçmas se si të vendoset një kontrollues rrjeti dhe GUI për të në burimet fizike ose virtuale në premisë. Dhe ka gjithashtu 3 arsye për këtë:
- do të ketë më shumë letra se sa ishte planifikuar
- për këtë tashmë në zhvilluesin GUI GitHab
- tema e artikullit ka të bëjë me diçka tjetër
Prandaj, duke zgjedhur rrugën e rezistencës më të vogël, unë do të përdor në këtë histori një kontrollues rrjeti me një GUI të bazuar në VDS, krijuar nga , zhvilluar me dashamirësi nga kolegët e mi nga RuVDS.
Konfigurimi fillestar
Pas krijimit të një serveri nga shablloni i specifikuar, përdoruesi fiton qasje në kontrolluesin Web-GUI përmes një shfletuesi duke hyrë në https:// :3443
Si parazgjedhje, serveri tashmë përmban një certifikatë TLS/SSL të vetë-nënshkruar paraprakisht. Kjo është e mjaftueshme për mua, pasi bllokoj hyrjen në të nga jashtë. Për ata që dëshirojnë të përdorin lloje të tjera certifikatash, ekziston në zhvilluesin GUI GitHab.
Kur përdoruesi regjistrohet për herë të parë Hyrja me hyrjen dhe fjalëkalimin e paracaktuar - admin и Fjalëkalimi:
Ai sugjeron ndryshimin e fjalëkalimit të paracaktuar në një të personalizuar
Unë e bëj atë pak më ndryshe - nuk e ndryshoj fjalëkalimin e një përdoruesi ekzistues, por krijoj një të ri - Krijo përdorues.
Vendosa emrin e përdoruesit të ri - Emri i përdoruesit:
Vendosa një fjalëkalim të ri - Fut fjalëkalimin e ri:
Unë konfirmoj fjalëkalimin e ri - Fut përsëri fjalëkalimin:
Karakteret që futni janë të ndjeshme - kini kujdes!
Kutia e kontrollit për të konfirmuar ndryshimin e fjalëkalimit në hyrjen tjetër - Ndryshoni fjalëkalimin në hyrjen tjetër: Unë nuk festoj.
Për të konfirmuar të dhënat e futura, shtypni Cakto fjalëkalimin:
Pastaj: Unë ri-identifikohem - Shkyç / Hyrja, tashmë nën kredencialet e përdoruesit të ri:
Tjetra, unë shkoj në skedën e përdoruesve - Përdorues dhe fshini përdoruesin adminduke klikuar në ikonën e koshit të mbeturinave që ndodhet në të majtë të emrit të tij.
Në të ardhmen, mund të ndryshoni fjalëkalimin e përdoruesit duke klikuar ose në emrin e tij ose në fjalëkalimin e caktuar.
Krijimi i një rrjeti virtual
Për të krijuar një rrjet virtual, përdoruesi duhet të shkojë te skeda Shto rrjet. Nga pika Përdorues kjo mund të bëhet përmes faqes Fillimi — faqja kryesore e Web-GUI, e cila shfaq adresën ZeroTier të këtij kontrolluesi të rrjetit dhe përmban një lidhje me faqen për listën e rrjeteve të krijuara nëpërmjet tij.
Në faqe Shto rrjet përdoruesi i cakton një emër rrjetit të sapokrijuar.
Kur aplikoni të dhënat hyrëse − Krijo rrjet përdoruesi çohet në një faqe me një listë rrjetesh, e cila përmban:
Emri i rrjetit — emri i rrjetit në formën e një lidhjeje, kur klikoni mbi të mund ta ndryshoni
ID e rrjetit — identifikuesi i rrjetit
hollësi — lidhje me një faqe me parametra të detajuar të rrjetit
konfigurim i lehtë — lidhje me faqen për konfigurim të lehtë
Anëtarët — lidhje me faqen e menaxhimit të nyjeve
Për konfigurim të mëtejshëm ndiqni lidhjen konfigurim i lehtë. Në faqen që hapet, përdoruesi specifikon një sërë adresash IPv4 për rrjetin që po krijohet. Kjo mund të bëhet automatikisht duke shtypur një buton Gjeneroni adresën e rrjetit ose manualisht duke futur maskën e rrjetit në fushën përkatëse CIDR.
Kur konfirmoni futjen e suksesshme të të dhënave, duhet të ktheheni në faqen me listën e rrjeteve duke përdorur butonin Prapa. Në këtë pikë, konfigurimi bazë i rrjetit mund të konsiderohet i përfunduar.
Lidhja e nyjeve të rrjetit
- Së pari, shërbimi ZeroTier One duhet të instalohet në nyjen që përdoruesi dëshiron të lidhet me rrjetin.
Çfarë është ZeroTier One?ZeroTier Një është një shërbim që funksionon në laptopë, desktop, serverë, makina virtuale dhe kontejnerë që siguron lidhje me një rrjet virtual përmes një porti rrjeti virtual, i ngjashëm me një klient VPN.
Pasi shërbimi të jetë instaluar dhe nisur, mund të lidheni me rrjetet virtuale duke përdorur adresat e tyre 16-shifrore. Çdo rrjet shfaqet si një port virtual i rrjetit në sistem, i cili sillet njësoj si një port i rregullt Ethernet.
Mund të gjenden lidhje me shpërndarjet, si dhe komandat e instalimit .Ju mund të menaxhoni shërbimin e instaluar përmes një terminali të linjës komanduese (CLI) me të drejta administratori/root. Në Windows/MacOS gjithashtu duke përdorur një ndërfaqe grafike. Në Android/iOS vetëm duke përdorur GUI.
- Kontrollimi i suksesit të instalimit të shërbimit:
CLI:
zerotier-cli statusRezultati:
200 info ebf416fac1 1.4.6 ONLINE
GUI:Vetë fakti që aplikacioni është duke u ekzekutuar dhe prania në të e një linje me Node ID me adresën e nyjes.
- Lidhja e një nyje me rrjetin:
CLI:
zerotier-cli join <Network ID>Rezultati:
200 join OKGUI:
Windows: kliko me të djathtën mbi ikonën ZeroTier Një në tabaka e sistemit dhe zgjedhja e artikullit - Bashkohuni me rrjetin.
macOS: Nisni aplikacionin ZeroTier Një në menynë e shiritit, nëse nuk është nisur tashmë. Klikoni në ikonën ⏁ dhe zgjidhni Bashkohuni me rrjetin.Android/iOS: + (plus imazh) në aplikacion
Në fushën që shfaqet, futni kontrolluesin e rrjetit të specifikuar në GUI ID e rrjetit, dhe shtypni Bashkohu/Shto rrjet. - Caktimi i një adrese IP për një host
Tani kthehemi te kontrolluesi i rrjetit dhe në faqen me një listë të rrjeteve ndiqni lidhjen Anëtarët. Nëse shihni një fotografi të ngjashme me këtë në ekran, do të thotë që kontrolluesi i rrjetit tuaj ka marrë një kërkesë për të konfirmuar lidhjen me rrjetin nga nyja e lidhur.
Në këtë faqe ne lëmë gjithçka ashtu siç është tani për tani dhe ndjekim lidhjen Caktimi i IP-së shkoni në faqen për caktimin e një adrese IP në nyjë:
Pasi të caktoni adresën, klikoni butonin prapa kthehuni në faqen e listës së nyjeve të lidhura dhe vendosni emrin - Emri i anëtarit dhe kontrolloni kutinë e kontrollit për të autorizuar nyjen në rrjet - i autorizuar. Nga rruga, kjo kuti e kontrollit është një gjë shumë e përshtatshme për shkëputje/lidhje nga rrjeti pritës në të ardhmen.
Ruani ndryshimet duke përdorur butonin freskoj. - Kontrollimi i statusit të lidhjes së nyjës me rrjetin:
Për të kontrolluar statusin e lidhjes në vetë nyjen, ekzekutoni:
CLI:zerotier-cli listnetworksRezultati:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:Statusi i rrjetit duhet të jetë në rregull
Për të lidhur nyjet e mbetura, përsëritni operacionet 1-5 për secilën prej tyre.
Kontrollimi i lidhjes së rrjetit të nyjeve
Unë e bëj këtë duke ekzekutuar komandën ping në pajisjen e lidhur me rrjetin që po menaxhoj aktualisht.
Në pamjen e ekranit të kontrolluesit Web-GUI mund të shihni tre nyje të lidhura me rrjetin:
- ZTNCUI - 10.10.10.1 - kontrolluesi i rrjetit tim me GUI - VDS në një nga DC-të RuVDS. Për punë normale nuk ka nevojë ta shtoj atë në rrjet, por e bëra këtë sepse dua të bllokoj hyrjen në ndërfaqen e internetit nga jashtë. Më shumë për këtë më vonë.
- MyComp - 10.10.10.2 - Kompjuteri im i punës është një PC fizik
- Rezervimi - 10.10.10.3 - VDS në një DC tjetër.
Prandaj, nga kompjuteri im i punës kontrolloj disponueshmërinë e nyjeve të tjera me komandat:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
Përdoruesi ka të drejtë të përdorë mjete të tjera për të kontrolluar disponueshmërinë e nyjeve në rrjet, si të integruara në OS ashtu edhe si NMAP, Skaneri i avancuar IP, etj.
Ne e fshehim hyrjen në GUI të kontrolluesit të rrjetit nga jashtë.
Në përgjithësi, unë mund të zvogëloj mundësinë e hyrjes së paautorizuar në VDS në të cilën ndodhet kontrolluesi i rrjetit tim duke përdorur një mur zjarri në llogarinë time personale RuVDS. Kjo temë ka më shumë gjasa për një artikull të veçantë. Prandaj, këtu do të tregoj se si të siguroj qasje në kontrolluesin GUI vetëm nga rrjeti që kam krijuar në këtë artikull.
Për ta bërë këtë, duhet të lidheni nëpërmjet SSH me VDS në të cilën ndodhet kontrolluesi dhe të hapni skedarin e konfigurimit duke përdorur komandën:
nano /opt/key-networks/ztncui/.envNë skedarin e hapur, pas rreshtit "HTTPS_PORT=3443" që përmban adresën e portit në të cilin hapet GUI, duhet të shtoni një rresht shtesë me adresën në të cilën do të hapet GUI - në rastin tim është HTTPS_HOST=10.10.10.1 .XNUMX.
Më pas do ta ruaj skedarin
Сtrl+C
Y
Enter
dhe ekzekutoni komandën:
systemctl restart ztncuiDhe kjo është ajo, tani GUI-ja e kontrolluesit të rrjetit tim është e disponueshme vetëm për nyjet e rrjetit 10.10.10.0.24.
Në vend të një përfundimi
Këtu dua të përfundoj pjesën e parë të udhëzuesit praktik për krijimin e rrjeteve virtuale bazuar në ZeroTier. Pres me padurim komentet tuaja.
Ndërkohë, për të kaluar kohën deri në publikimin e pjesës tjetër, në të cilën do t'ju tregoj se si të kombinoni një rrjet virtual me atë fizik, si të organizoni një modalitet "luftëtar në rrugë" dhe diçka tjetër, ju sugjeroj të provoni. organizimi i rrjetit tuaj virtual duke përdorur një kontrollues rrjeti privat me GUI të bazuar në VDS nga tregu në vazhdim RUVDS. Për më tepër, të gjithë klientët e rinj kanë një periudhë prove falas prej 3 ditësh!
PS Po! Unë pothuajse harrova! Ju mund të hiqni një nyje nga rrjeti duke përdorur një komandë në CLI të kësaj nyje.
zerotier-cli leave <Network ID>
200 leave OK
ose komanda Delete në GUI të klientit në nyje.
->
->
->
Burimi: www.habr.com