ต่อเรื่องราวเกี่ยวกับ ZeroTier จากทฤษฎีที่สรุปไว้ในบทความ “"ข้าพเจ้าได้ปฏิบัติต่อไปโดยที่:
- มาสร้างและกำหนดค่าตัวควบคุมเครือข่ายส่วนตัวกันดีกว่า
- มาสร้างเครือข่ายเสมือนกันเถอะ
- มากำหนดค่าและเชื่อมต่อโหนดกัน
- มาตรวจสอบการเชื่อมต่อเครือข่ายระหว่างกัน
- มาบล็อกการเข้าถึง GUI ของตัวควบคุมเครือข่ายจากภายนอก
ตัวควบคุมเครือข่าย
ดังที่ได้กล่าวไว้ก่อนหน้านี้ ในการสร้างเครือข่ายเสมือน จัดการเครือข่ายเหล่านั้น รวมถึงการเชื่อมต่อโหนด ผู้ใช้จำเป็นต้องมีตัวควบคุมเครือข่าย ซึ่งเป็นอินเทอร์เฟซแบบกราฟิก (GUI) ซึ่งมีอยู่ในสองรูปแบบ:
ตัวเลือก ZeroTier GUI
- หนึ่งรายการจากผู้พัฒนา ZeroTier ซึ่งพร้อมใช้งานในรูปแบบโซลูชัน SaaS บนคลาวด์สาธารณะพร้อมแผนการสมัครสมาชิกสี่แบบ รวมถึงฟรี แต่จำกัดจำนวนอุปกรณ์ที่ได้รับการจัดการและระดับการสนับสนุน
- ประการที่สองมาจากนักพัฒนาอิสระ ซึ่งมีฟังก์ชันการทำงานที่ค่อนข้างเรียบง่าย แต่มีให้ใช้งานในรูปแบบโซลูชันโอเพ่นซอร์สส่วนตัวสำหรับการใช้งานในองค์กรหรือบนทรัพยากรระบบคลาวด์
ในทางปฏิบัติของฉัน ฉันใช้ทั้งสองอย่าง และในที่สุดฉันก็ตัดสินใจเลือกอันที่สอง เหตุผลนี้คือคำเตือนของผู้พัฒนา
“ตัวควบคุมเครือข่ายทำหน้าที่เป็นผู้ออกใบรับรองสำหรับเครือข่ายเสมือน ZeroTier ไฟล์ที่มีคีย์ลับของตัวควบคุมจะต้องได้รับการปกป้องอย่างระมัดระวังและเก็บถาวรอย่างปลอดภัย การประนีประนอมทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถสร้างการกำหนดค่าเครือข่ายที่ฉ้อโกงได้ และการสูญเสียของพวกเขานำไปสู่การสูญเสียความสามารถในการควบคุมและจัดการเครือข่าย ทำให้ไม่สามารถใช้งานได้อย่างมีประสิทธิภาพ"
→
และสัญญาณของความหวาดระแวงด้านความปลอดภัยทางไซเบอร์ของคุณเองด้วย :)
- แม้ว่า Cheburnet จะมา ฉันก็ยังต้องสามารถเข้าถึงตัวควบคุมเครือข่ายของฉันได้
- ฉันเท่านั้นที่ควรใช้ตัวควบคุมเครือข่าย หากจำเป็น ให้สิทธิ์ในการเข้าถึงตัวแทนที่ได้รับอนุญาตของคุณ
- ควรจำกัดการเข้าถึงตัวควบคุมเครือข่ายจากภายนอกได้
ในบทความนี้ ฉันไม่เห็นประเด็นมากนักในการแยกส่วนเกี่ยวกับวิธีการปรับใช้ตัวควบคุมเครือข่ายและ GUI สำหรับตัวควบคุมเครือข่ายบนทรัพยากรทางกายภาพหรือเสมือนในองค์กร และยังมี 3 เหตุผลสำหรับสิ่งนี้:
- จะมีจดหมายมากกว่าที่วางแผนไว้
- เกี่ยวกับเรื่องนี้แล้ว บนนักพัฒนา GUI GitHab
- หัวข้อของบทความเกี่ยวกับสิ่งอื่น
ดังนั้น เมื่อเลือกเส้นทางที่มีความต้านทานน้อยที่สุด ฉันจะใช้ตัวควบคุมเครือข่ายที่มี GUI ที่ใช้ VDS สร้างขึ้นในเรื่องนี้ กรุณาพัฒนาโดยเพื่อนร่วมงานของฉันจาก RuVDS
ตั้งค่าเริ่มต้น
หลังจากสร้างเซิร์ฟเวอร์จากเทมเพลตที่ระบุ ผู้ใช้จะสามารถเข้าถึงตัวควบคุม Web-GUI ผ่านเบราว์เซอร์โดยเข้าถึง https:// :3443
ตามค่าเริ่มต้น เซิร์ฟเวอร์จะมีใบรับรอง TLS/SSL ที่ลงนามด้วยตนเองซึ่งสร้างไว้ล่วงหน้าอยู่แล้ว นี่ก็เพียงพอแล้วสำหรับฉันเนื่องจากฉันบล็อกการเข้าถึงจากภายนอก สำหรับผู้ที่ต้องการใช้ใบรับรองประเภทอื่นก็มี บนนักพัฒนา GUI GitHab
เมื่อผู้ใช้เข้าสู่ระบบเป็นครั้งแรก เข้าสู่ระบบ ด้วยการเข้าสู่ระบบและรหัสผ่านเริ่มต้น - ผู้ดูแลระบบ и รหัสผ่าน:
แนะนำให้เปลี่ยนรหัสผ่านเริ่มต้นเป็นรหัสผ่านที่กำหนดเอง
ฉันทำแตกต่างออกไปเล็กน้อย - ฉันไม่เปลี่ยนรหัสผ่านของผู้ใช้ที่มีอยู่ แต่สร้างรหัสผ่านใหม่ - สร้างผู้ใช้.
ฉันตั้งชื่อของผู้ใช้ใหม่ - ชื่อผู้ใช้:
ฉันตั้งรหัสผ่านใหม่ - ใส่รหัสผ่านใหม่:
ฉันยืนยันรหัสผ่านใหม่ - ป้อนรหัสผ่านอีกครั้ง:
อักขระที่คุณป้อนคำนึงถึงขนาดตัวพิมพ์ - ระวัง!
ช่องทำเครื่องหมายเพื่อยืนยันการเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป - เปลี่ยนรหัสผ่านในการเข้าสู่ระบบครั้งถัดไป: ฉันไม่เฉลิมฉลอง
เพื่อยืนยันข้อมูลที่ป้อน ให้กด ตั้งรหัสผ่าน:
จากนั้น: ฉันเข้าสู่ระบบอีกครั้ง - Logout / เข้าสู่ระบบภายใต้ข้อมูลรับรองของผู้ใช้ใหม่แล้ว:
ต่อไป ฉันจะไปที่แท็บผู้ใช้ - ผู้ใช้ และลบผู้ใช้ ผู้ดูแลระบบโดยคลิกที่ไอคอนถังขยะซึ่งอยู่ทางด้านซ้ายของชื่อของเขา
ในอนาคตคุณสามารถเปลี่ยนรหัสผ่านของผู้ใช้ได้โดยคลิกที่ชื่อหรือรหัสผ่านที่ตั้งไว้
การสร้างเครือข่ายเสมือน
ในการสร้างเครือข่ายเสมือน ผู้ใช้จะต้องไปที่แท็บ เพิ่มเครือข่าย. จากจุด ผู้ใช้งาน ซึ่งสามารถทำได้ผ่านทางหน้า หน้าแรก — หน้าหลักของ Web-GUI ซึ่งแสดงที่อยู่ ZeroTier ของตัวควบคุมเครือข่ายนี้และมีลิงก์ไปยังหน้าสำหรับรายการเครือข่ายที่สร้างขึ้นผ่าน
บนหน้า เพิ่มเครือข่าย ผู้ใช้กำหนดชื่อให้กับเครือข่ายที่สร้างขึ้นใหม่
เมื่อใช้ข้อมูลอินพุต - สร้างเครือข่าย ผู้ใช้จะถูกพาไปยังเพจที่มีรายการเครือข่ายซึ่งประกอบด้วย:
ชื่อเครือข่าย — ชื่อเครือข่ายในรูปแบบลิงค์ เมื่อคุณคลิกคุณสามารถเปลี่ยนแปลงได้
รหัสเครือข่าย — ตัวระบุเครือข่าย
รายละเอียด — ลิงก์ไปยังหน้าพร้อมพารามิเตอร์เครือข่ายโดยละเอียด
ติดตั้งง่าย — ลิงก์ไปยังหน้าเพื่อการตั้งค่าที่ง่ายดาย
สมาชิก — ลิงค์ไปยังหน้าการจัดการโหนด
สำหรับการตั้งค่าเพิ่มเติมตามลิงค์ ติดตั้งง่าย. ในหน้าที่เปิดขึ้นมา ผู้ใช้จะระบุช่วงของที่อยู่ IPv4 สำหรับเครือข่ายที่กำลังสร้าง ซึ่งสามารถทำได้โดยอัตโนมัติโดยการกดปุ่ม สร้างที่อยู่เครือข่าย หรือด้วยตนเองโดยป้อนเน็ตเวิร์กมาสก์ในช่องที่เหมาะสม ซีไอดีอาร์.
เมื่อยืนยันการป้อนข้อมูลสำเร็จ คุณต้องกลับสู่หน้ารายการเครือข่ายโดยใช้ปุ่มย้อนกลับ ณ จุดนี้ การตั้งค่าเครือข่ายพื้นฐานถือว่าเสร็จสมบูรณ์แล้ว
การเชื่อมต่อโหนดเครือข่าย
- ขั้นแรก จะต้องติดตั้งบริการ ZeroTier One บนโหนดที่ผู้ใช้ต้องการเชื่อมต่อเข้ากับเครือข่าย
ZeroTier One คืออะไร?ซีโร่เทียร์หนึ่ง เป็นบริการที่ทำงานบนแล็ปท็อป เดสก์ท็อป เซิร์ฟเวอร์ เครื่องเสมือน และคอนเทนเนอร์ที่ให้การเชื่อมต่อกับเครือข่ายเสมือนผ่านพอร์ตเครือข่ายเสมือน คล้ายกับไคลเอนต์ VPN
เมื่อติดตั้งและเริ่มบริการแล้ว คุณสามารถเชื่อมต่อกับเครือข่ายเสมือนโดยใช้ที่อยู่ 16 หลักได้ แต่ละเครือข่ายจะปรากฏเป็นพอร์ตเครือข่ายเสมือนบนระบบ ซึ่งทำงานเหมือนกับพอร์ตอีเทอร์เน็ตทั่วไป
สามารถดูลิงก์ไปยังการแจกแจงรวมถึงคำสั่งการติดตั้งได้ .คุณสามารถจัดการบริการที่ติดตั้งผ่านเทอร์มินัลบรรทัดคำสั่ง (CLI) ด้วยสิทธิ์ผู้ดูแลระบบ/รูท บน Windows/MacOS ก็ใช้อินเทอร์เฟซแบบกราฟิกเช่นกัน ใน Android/iOS โดยใช้ GUI เท่านั้น
- การตรวจสอบความสำเร็จของการติดตั้งบริการ:
คลีนิก:
zerotier-cli statusผล:
200 info ebf416fac1 1.4.6 ONLINE
GUI:ความจริงที่ว่าแอปพลิเคชันกำลังทำงานอยู่และการมีอยู่ของบรรทัดที่มี Node ID พร้อมที่อยู่ของโหนด
- การเชื่อมต่อโหนดกับเครือข่าย:
คลีนิก:
zerotier-cli join <Network ID>ผล:
200 join OKGUI:
Windows: คลิกขวาที่ไอคอน ซีโร่เทียร์หนึ่ง ในซิสเต็มเทรย์และเลือกรายการ - เข้าร่วมเครือข่าย.
MacOS: เปิดแอปพลิเคชั่น ซีโร่เทียร์หนึ่ง ในเมนูแถบ หากยังไม่ได้เปิดใช้งาน คลิกที่ไอคอน ⏁ และเลือก เข้าร่วมเครือข่าย.Android/iOS: + (บวกรูปภาพ) ในแอป
ในช่องที่ปรากฏขึ้น ให้ป้อนตัวควบคุมเครือข่ายที่ระบุใน GUI รหัสเครือข่ายและกด เข้าร่วม/เพิ่มเครือข่าย. - การกำหนดที่อยู่ IP ให้กับโฮสต์
ตอนนี้เรากลับไปที่ตัวควบคุมเครือข่ายและในหน้าที่มีรายการเครือข่ายตามลิงค์ สมาชิก. หากคุณเห็นภาพที่คล้ายกับภาพนี้บนหน้าจอ แสดงว่าตัวควบคุมเครือข่ายของคุณได้รับคำขอให้ยืนยันการเชื่อมต่อกับเครือข่ายจากโหนดที่เชื่อมต่อ
ในหน้านี้เราจะทิ้งทุกอย่างไว้เหมือนเดิมแล้วไปตามลิงค์ การกำหนด IP ไปที่หน้าเพื่อกำหนดที่อยู่ IP ให้กับโหนด:
หลังจากกำหนดที่อยู่แล้วให้คลิกปุ่ม หลัง กลับไปที่หน้ารายการโหนดที่เชื่อมต่อแล้วตั้งชื่อ - ชื่อสมาชิก และทำเครื่องหมายในช่องเพื่ออนุญาตโหนดบนเครือข่าย - มีอำนาจ. อย่างไรก็ตาม ช่องทำเครื่องหมายนี้เป็นสิ่งที่สะดวกมากสำหรับการตัดการเชื่อมต่อ/เชื่อมต่อจากเครือข่ายโฮสต์ในอนาคต
บันทึกการเปลี่ยนแปลงโดยใช้ปุ่ม รีเฟรช. - การตรวจสอบสถานะการเชื่อมต่อของโหนดกับเครือข่าย:
หากต้องการตรวจสอบสถานะการเชื่อมต่อบนโหนดเอง ให้รัน:
คลีนิก:zerotier-cli listnetworksผล:
200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:สถานะเครือข่ายควรจะเป็นปกติ
หากต้องการเชื่อมต่อโหนดที่เหลือ ให้ทำซ้ำขั้นตอนที่ 1-5 สำหรับแต่ละโหนด
ตรวจสอบการเชื่อมต่อเครือข่ายของโหนด
ฉันทำสิ่งนี้โดยการรันคำสั่ง ปิง บนอุปกรณ์ที่เชื่อมต่อกับเครือข่ายที่ฉันกำลังจัดการอยู่
ในภาพหน้าจอของตัวควบคุม Web-GUI คุณจะเห็นโหนดสามรายการที่เชื่อมต่อกับเครือข่าย:
- ZTNCUI - 10.10.10.1 - ตัวควบคุมเครือข่ายของฉันพร้อม GUI - VDS ใน RuVDS DC ตัวใดตัวหนึ่ง สำหรับงานปกติไม่จำเป็นต้องเพิ่มลงในเครือข่าย แต่ฉันทำเช่นนี้เพราะต้องการบล็อกการเข้าถึงเว็บอินเตอร์เฟสจากภายนอก เพิ่มเติมเกี่ยวกับเรื่องนี้ในภายหลัง
- มายคอม - 10.10.10.2 - คอมพิวเตอร์ที่ทำงานของฉันเป็นพีซีจริง
- สำรองข้อมูล - 10.10.10.3 — VDS ใน DC อื่น
ดังนั้นจากคอมพิวเตอร์ที่ทำงานของฉัน ฉันตรวจสอบความพร้อมใช้งานของโหนดอื่นด้วยคำสั่ง:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
ผู้ใช้มีสิทธิ์ใช้เครื่องมืออื่น ๆ เพื่อตรวจสอบความพร้อมใช้งานของโหนดบนเครือข่าย ทั้งที่มีอยู่ในระบบปฏิบัติการและเช่น NMAP, Advanced IP Scanner เป็นต้น
เราซ่อนการเข้าถึง GUI ตัวควบคุมเครือข่ายจากภายนอก
โดยทั่วไป ฉันสามารถลดโอกาสที่จะเข้าถึง VDS โดยไม่ได้รับอนุญาตซึ่งตัวควบคุมเครือข่ายของฉันตั้งอยู่โดยใช้ไฟร์วอลล์ในบัญชีส่วนตัว RuVDS ของฉัน หัวข้อนี้มีแนวโน้มที่จะเป็นบทความแยกต่างหาก ดังนั้นที่นี่ฉันจะแสดงวิธีให้การเข้าถึงคอนโทรลเลอร์ GUI จากเครือข่ายที่ฉันสร้างในบทความนี้เท่านั้น
ในการดำเนินการนี้ คุณต้องเชื่อมต่อผ่าน SSH กับ VDS ที่มีคอนโทรลเลอร์อยู่และเปิดไฟล์การกำหนดค่าโดยใช้คำสั่ง:
nano /opt/key-networks/ztncui/.envในไฟล์ที่เปิดอยู่ หลังจากบรรทัด “HTTPS_PORT=3443” ที่มีที่อยู่ของพอร์ตที่ GUI เปิดขึ้น คุณต้องเพิ่มบรรทัดเพิ่มเติมพร้อมที่อยู่ที่ GUI จะเปิด - ในกรณีของฉันคือ HTTPS_HOST=10.10.10.1 .XNUMX.
ต่อไปฉันจะบันทึกไฟล์
Сtrl+C
Y
Enter
และรันคำสั่ง:
systemctl restart ztncuiเพียงเท่านี้ ตอนนี้ GUI ของตัวควบคุมเครือข่ายของฉันพร้อมใช้งานสำหรับโหนดเครือข่าย 10.10.10.0.24 เท่านั้น
แทนการสรุป
นี่คือส่วนที่ฉันต้องการจะจบส่วนแรกของคู่มือเชิงปฏิบัติในการสร้างเครือข่ายเสมือนโดยใช้ ZeroTier ฉันหวังว่าจะแสดงความคิดเห็นของคุณ
ในระหว่างนี้เพื่อให้เวลาผ่านไปจนกว่าจะมีการเผยแพร่ส่วนถัดไปซึ่งฉันจะบอกคุณถึงวิธีรวมเครือข่ายเสมือนเข้ากับเครือข่ายจริงวิธีจัดระเบียบโหมด "นักรบบนท้องถนน" และอย่างอื่นฉันขอแนะนำให้คุณลอง การจัดระเบียบเครือข่ายเสมือนของคุณเองโดยใช้ตัวควบคุมเครือข่ายส่วนตัวพร้อม GUI ที่ใช้ VDS จากตลาดบน รูฟดีเอส. นอกจากนี้ ลูกค้าใหม่ทุกคนยังมีช่วงทดลองใช้งานฟรี 3 วัน!
PS ใช่! ฉันเกือบลืม! คุณสามารถลบโหนดออกจากเครือข่ายได้โดยใช้คำสั่งใน CLI ของโหนดนี้
zerotier-cli leave <Network ID>
200 leave OK
หรือคำสั่ง Delete ใน GUI ไคลเอ็นต์บนโหนด
->
->
->
ที่มา: will.com