Drivs av ZeroTier. En praktisk guide för att bygga virtuella nätverk. Del 1

Fortsätter berättelsen om ZeroTier, från teorin som beskrivs i artikeln "Smart Ethernet-switch för Planet Earth", jag går vidare till praktiken där:

• Låt oss skapa och konfigurera en privat nätverkskontroller
• Låt oss skapa ett virtuellt nätverk
• Låt oss konfigurera och ansluta noder till den
• Låt oss kontrollera nätverksanslutningen mellan dem
• Låt oss blockera åtkomst till nätverksstyrenhetens GUI från utsidan

Nätverkskontrollant

Som nämnts tidigare, för att skapa virtuella nätverk, hantera dem, samt ansluta noder, behöver användaren en nätverkskontroller, ett grafiskt gränssnitt (GUI) för vilket finns i två former:

ZeroTier GUI-alternativ

• En från utvecklaren ZeroTier, tillgänglig som en offentlig moln SaaS-lösning med fyra abonnemangsplaner, inklusive gratis, men begränsat i antal hanterade enheter och nivå av support
• Den andra är från en oberoende utvecklare, något förenklad i funktionalitet, men tillgänglig som en privat öppen källkodslösning för användning på plats eller på molnresurser.

I min praktik använde jag båda och som ett resultat avgjorde jag till slut med den andra. Anledningen till detta var utvecklarens varningar.

"Nätverkskontrollanter fungerar som certifieringsmyndigheter för virtuella ZeroTier-nätverk. Filer som innehåller kontrollantens hemliga nycklar måste skyddas noggrant och säkert arkiveras. Deras kompromiss tillåter obehöriga angripare att skapa bedrägliga nätverkskonfigurationer, och deras förlust leder till förlust av förmågan att kontrollera och hantera nätverket, vilket i praktiken gör det oanvändbart."

→ Länk till dokumentation

Och även tecken på din egen cybersäkerhetsparanoia :) 

• Även om Cheburnet kommer måste jag fortfarande ha tillgång till min nätverkskontroller;
• Det är bara jag som ska använda nätverkskontrollern. Om det behövs, ge åtkomst till dina auktoriserade representanter;
• Det ska vara möjligt att begränsa åtkomsten till nätverksstyrenheten utifrån.

I den här artikeln ser jag inte mycket mening med att uppehålla mig separat om hur man distribuerar en nätverkskontroller och GUI för den på lokala fysiska eller virtuella resurser. Och det finns också 3 anledningar till detta: 

• det kommer fler brev än planerat
• om detta redan berättade på GUI-utvecklaren GitHab
• ämnet för artikeln handlar om något annat

Därför, när jag väljer vägen för minsta motstånd, kommer jag i denna berättelse att använda en nätverkskontroller med ett GUI baserat på VDS, skapad av från mall, vänligt utvecklad av mina kollegor från RuVDS.

Första installationen

Efter att ha skapat en server från den angivna mallen får användaren tillgång till Web-GUI-styrenheten via en webbläsare genom att gå till https:// :3443

Som standard innehåller servern redan ett förgenererat självsignerat TLS/SSL-certifikat. Detta räcker för mig, eftersom jag blockerar åtkomsten till den från utsidan. För den som vill använda andra typer av certifikat finns installations instruktioner på GUI-utvecklaren GitHab.

När användaren loggar in för första gången Logga in med standardinloggning och lösenord - administration и Lösenord:

Det föreslår att du ändrar standardlösenordet till ett anpassat

Jag gör det lite annorlunda - jag ändrar inte lösenordet för en befintlig användare, utan skapar ett nytt - skapa User.

Jag anger namnet på den nya användaren - Användarnamn:
Jag ställer in ett nytt lösenord - Ange nytt lösenord: 
Jag bekräftar det nya lösenordet - Skriv lösenordet igen:

Tecknen du anger är skiftlägeskänsliga - var försiktig!

Kryssrutan för att bekräfta lösenordsändringen vid nästa inloggning - Ändra lösenord vid nästa inloggning: Jag firar inte. 

För att bekräfta inmatade data, tryck Välj lösenord:

Sedan: Jag loggar in igen - Logga ut / Logga in, redan under den nya användarens autentiseringsuppgifter:

Därefter går jag till användarfliken - användare och ta bort användaren administrationgenom att klicka på papperskorgen till vänster om hans namn.

I framtiden kan du ändra användarens lösenord genom att klicka antingen på hans namn eller på inställt lösenord.

Skapa ett virtuellt nätverk

För att skapa ett virtuellt nätverk måste användaren gå till fliken Lägg till nätverk. Från punkt Användare detta kan göras via sidan Hem — huvudsidan för webb-GUI, som visar ZeroTier-adressen för denna nätverkskontroller och innehåller en länk till sidan för listan över nätverk som skapats genom den.

På sidan Lägg till nätverk användaren tilldelar ett namn till det nyskapade nätverket.

Vid tillämpning av indata − Skapa nätverk användaren tas till en sida med en lista över nätverk, som innehåller: 

Nätverksnamn — namnet på nätverket i form av en länk, när du klickar på det kan du ändra det 
Nätverks-ID — nätverksidentifierare
detalj — länk till en sida med detaljerade nätverksparametrar
enkel installation — länk till sida för enkel installation
medlemmar — länk till nodhanteringssidan

För ytterligare inställningar följ länken enkel installation. På sidan som öppnas anger användaren ett intervall av IPv4-adresser för nätverket som skapas. Detta kan göras automatiskt genom att trycka på en knapp Skapa nätverksadress eller manuellt genom att ange nätverkets nätverksmask i lämpligt fält CIDR.

När du bekräftar lyckad datainmatning måste du gå tillbaka till sidan med listan över nätverk med hjälp av knappen Tillbaka. Vid denna tidpunkt kan den grundläggande nätverksinstallationen anses vara komplett.

Ansluta nätverksnoder

1. Först måste tjänsten ZeroTier One installeras på den nod som användaren vill ansluta till nätverket.

   Vad är ZeroTier One?ZeroTier One är en tjänst som körs på bärbara datorer, stationära datorer, servrar, virtuella maskiner och behållare som tillhandahåller anslutningar till ett virtuellt nätverk via en virtuell nätverksport, liknande en VPN-klient. 

   När tjänsten är installerad och startad kan du ansluta till virtuella nätverk med deras 16-siffriga adresser. Varje nätverk visas som en virtuell nätverksport på systemet, som fungerar precis som en vanlig Ethernet-port.
   Länkar till distributioner, såväl som installationskommandon, kan hittas på tillverkarens sida.

   Du kan hantera den installerade tjänsten via en kommandoradsterminal (CLI) med admin-/rooträttigheter. På Windows/MacOS även med ett grafiskt gränssnitt. I Android/iOS endast med GUI.

2. Kontrollera framgången för tjänstinstallationen:

   CLI:

   zerotier-cli status

   Resultat: 

   200 info ebf416fac1 1.4.6 ONLINE
   GUI:

   Just det faktum att applikationen körs och närvaron i den av en linje med nod-ID med nodadressen.

3. Ansluta en nod till nätverket:

   CLI:

   zerotier-cli join <Network ID>

   Resultat: 

   200 join OK

   GUI:

   Windows: högerklicka på ikonen ZeroTier One i systemfältet och välj objektet - Gå med i nätverket.

   
   MacOS: Starta programmet ZeroTier One i fältmenyn, om den inte redan har startats. Klicka på ikonen ⏁ och välj Gå med i nätverket.

   Android/iOS: + (plusbild) i appen

   
   I fältet som visas anger du nätverkskontrollern som anges i GUI Nätverks-IDoch tryck på Gå med/lägg till nätverk.

4. Tilldela en IP-adress till en värd
   Nu återgår vi till nätverkskontrollern och på sidan med en lista över nätverk följ länken medlemmar. Om du ser en bild som liknar denna på skärmen betyder det att din nätverkskontroller har fått en begäran om att bekräfta anslutningen till nätverket från den anslutna noden.

   
   På denna sida lämnar vi allt som det är för nu och följer länken IP-tilldelning gå till sidan för att tilldela en IP-adress till noden:

   
   När du har tilldelat adressen klickar du på knappen Tillbaka gå tillbaka till sidan med listan över anslutna noder och ställ in namnet - Medlemsnamn och markera kryssrutan för att auktorisera noden på nätverket - auktoriserad. Den här kryssrutan är förresten en mycket bekväm sak för att koppla från/ansluta från värdnätverket i framtiden.

   
   Spara ändringar med knappen refresh.

5. Kontrollera nodens anslutningsstatus till nätverket:
   För att kontrollera anslutningsstatusen på själva noden, kör:
   CLI:

   zerotier-cli listnetworks

   Resultat:

   200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
   GUI:

   Nätverksstatus bör vara OK

   För att ansluta de återstående noderna, upprepa operationerna 1-5 för var och en av dem.

Kontrollera nätverksanslutning av noder

Jag gör detta genom att köra kommandot ping på enheten som är ansluten till nätverket som jag för närvarande hanterar.

I skärmdumpen av Web-GUI-kontrollern kan du se tre noder anslutna till nätverket:

1. ZTNCUI - 10.10.10.1 - min nätverkskontroller med GUI - VDS i en av RuVDS DCs. För normalt arbete finns det inget behov av att lägga till det i nätverket, men jag gjorde detta för att jag vill blockera åtkomst till webbgränssnittet från utsidan. Mer om detta senare. 
2. MyComp - 10.10.10.2 – min arbetsdator är en fysisk PC
3. Säkerhetskopiering - 10.10.10.3 — VDS i en annan DC.

Därför kontrollerar jag tillgängligheten för andra noder från min arbetsdator med kommandona:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 4ms, Maximum = 15ms, Average = 7ms

Användaren har rätt att använda andra verktyg för att kontrollera tillgängligheten av noder i nätverket, både inbyggda i operativsystemet och såsom NMAP, Advanced IP Scanner, etc.

Vi döljer åtkomst till nätverksstyrenhetens GUI från utsidan.

I allmänhet kan jag minska sannolikheten för obehörig åtkomst till den VDS som min nätverkskontroller är placerad på med hjälp av en brandvägg i mitt RuVDS personliga konto. Det här ämnet är mer troligt för en separat artikel. Därför kommer jag här att visa hur man ger åtkomst till GUI-kontrollern endast från nätverket som jag skapade i den här artikeln.

För att göra detta måste du ansluta via SSH till VDS där styrenheten är placerad och öppna konfigurationsfilen med kommandot:

nano /opt/key-networks/ztncui/.env

I den öppnade filen, efter raden "HTTPS_PORT=3443" som innehåller adressen till porten där GUI öppnas, måste du lägga till en extra rad med adressen där GUI öppnas - i mitt fall är det HTTPS_HOST=10.10.10.1 .XNUMX. 

Nästa kommer jag att spara filen

Сtrl+C
Y
Enter 

och kör kommandot:

systemctl restart ztncui

Och det är det, nu är det grafiska gränssnittet för min nätverkskontroller endast tillgängligt för nätverksnoder 10.10.10.0.24.

I stället för en slutsats 

Det är här jag vill avsluta den första delen av den praktiska guiden för att skapa virtuella nätverk baserade på ZeroTier. Jag ser fram emot dina kommentarer. 

Under tiden, för att fördriva tiden till publiceringen av nästa del, där jag kommer att berätta hur man kombinerar ett virtuellt nätverk med ett fysiskt, hur man organiserar ett "road warrior"-läge och något annat, föreslår jag att du försöker organisera ditt eget virtuella nätverk med hjälp av en privat nätverkskontroller med GUI baserad på VDS från marknaden och framåt Online RUVDS. Dessutom har alla nya kunder en gratis provperiod på 3 dagar!

PS Ja! Jag glömde nästan! Du kan ta bort en nod från nätverket med ett kommando i den här nodens CLI.

zerotier-cli leave <Network ID>

200 leave OK

eller kommandot Delete i klientens GUI på noden.

-> Introduktion. Teoretisk del. Smart Ethernet-switch för Planet Earth
-> En praktisk guide för att bygga virtuella nätverk. Del 1
-> En praktisk guide för att bygga virtuella nätverk. Del 2

Källa: will.com