ZeroTier tarafından desteklenmektedir. Sanal ağlar oluşturmaya yönelik pratik bir kılavuz. Bölüm 1

ZeroTier hakkındaki hikayeye makalede özetlenen teoriden devam ediliyor:Planet Earth için Akıllı Ethernet Anahtarı", uygulamaya devam ediyorum:

• Özel bir ağ denetleyicisi oluşturup yapılandıralım
• Bir sanal ağ oluşturalım
• Düğümleri yapılandırıp ona bağlayalım
• Aralarındaki ağ bağlantısını kontrol edelim
• Ağ denetleyicisinin GUI'sine dışarıdan erişimi engelleyelim

Ağ denetleyicisi

Daha önce de belirtildiği gibi, sanal ağlar oluşturmak, bunları yönetmek ve düğümleri bağlamak için kullanıcının iki biçimde bulunan bir grafik arayüzü (GUI) olan bir ağ denetleyicisine ihtiyacı vardır:

ZeroTier GUI Seçenekleri

• Geliştirici ZeroTier'dan bir tanesi, ücretsiz dahil olmak üzere dört abonelik planıyla genel bulut SaaS çözümü olarak sunuluyor, ancak yönetilen cihaz sayısı ve destek düzeyi sınırlı
• İkincisi, bağımsız bir geliştiriciden geliyor; işlevsellik açısından biraz basitleştirilmiş ancak şirket içi veya bulut kaynaklarında kullanım için özel bir açık kaynak çözümü olarak mevcut.

Uygulamamda her ikisini de kullandım ve sonuç olarak ikincisinde karar kıldım. Bunun nedeni ise geliştiricinin uyarılarıydı.

“Ağ denetleyicileri, ZeroTier sanal ağları için sertifika yetkilileri olarak görev yapıyor. Denetleyicinin gizli anahtarlarını içeren dosyalar dikkatle korunmalı ve güvenli bir şekilde arşivlenmelidir. Bunların ele geçirilmesi, yetkisiz saldırganların hileli ağ yapılandırmaları oluşturmasına olanak tanır ve bunların kaybı, ağı kontrol etme ve yönetme yeteneğinin kaybına yol açarak onu etkili bir şekilde kullanılamaz hale getirir."

→ Dokümantasyona bağlantı

Ve ayrıca kendi siber güvenlik paranoyanızın işaretleri :) 

• Cheburnet gelse bile ağ denetleyicime hâlâ erişebilmem gerekiyor;
• Ağ denetleyicisini yalnızca ben kullanmalıyım. Gerektiğinde yetkili temsilcilerinize erişim sağlanması;
• Ağ denetleyicisine dışarıdan erişimi kısıtlamak mümkün olmalıdır.

Bu makalede, bir ağ denetleyicisinin ve bunun için şirket içi fiziksel veya sanal kaynaklarda GUI'nin nasıl dağıtılacağı üzerinde ayrı ayrı durmanın pek bir anlamı görmüyorum. Üstelik bunun 3 nedeni var: 

• planlanandan daha fazla mektup olacak
• bu konuda zaten söyledi GUI geliştiricisi GitHab'da
• makalenin konusu başka bir şeyle ilgili

Bu nedenle, en az dirençli yolu seçerek, bu hikayede VDS tabanlı GUI'ye sahip bir ağ denetleyicisi kullanacağım. şablondan, lütfen RuVDS'deki meslektaşlarım tarafından geliştirildi.

İlk kurulum

Belirtilen şablondan bir sunucu oluşturduktan sonra kullanıcı, https:// adresine erişerek bir tarayıcı aracılığıyla Web-GUI denetleyicisine erişim sağlar. :3443

Varsayılan olarak sunucu önceden oluşturulmuş, kendinden imzalı bir TLS/SSL sertifikası içerir. Dışarıdan erişimi engellediğim için bu benim için yeterli. Diğer sertifika türlerini kullanmak isteyenler için kurulum talimatları GUI geliştiricisi GitHab'da.

Kullanıcı ilk kez oturum açtığında Giriş Yap varsayılan kullanıcı adı ve şifreyle - Gizem и şifre:

Varsayılan şifreyi özel bir şifreyle değiştirmenizi önerir

Ben bunu biraz farklı yapıyorum - Mevcut bir kullanıcının şifresini değiştirmiyorum, yeni bir şifre oluşturuyorum - Kullanıcı Oluştur.

Yeni kullanıcının adını belirledim - Kullanıcı Adı:
Yeni bir şifre belirledim - Yeni şifre girin: 
Yeni şifreyi onaylıyorum - Şifreyi yeniden gir:

Girdiğiniz karakterler büyük/küçük harfe duyarlıdır; dikkatli olun!

Bir sonraki oturum açma işleminde şifre değişikliğini onaylamak için onay kutusu - Bir sonraki girişte şifreyi değiştirin: Ben kutlamam. 

Girilen verileri onaylamak için tuşuna basın. Şifre belirle:

Sonra: Yeniden giriş yapıyorum - Çıkış Yap / Giriş Yap, zaten yeni kullanıcının kimlik bilgileri altında:

Daha sonra kullanıcılar sekmesine gidiyorum - Kullanıcılar ve kullanıcıyı sil Gizemadının solunda bulunan çöp kutusu simgesine tıklayarak.

Gelecekte, kullanıcının şifresini, ismine veya belirlenen şifreye tıklayarak değiştirebilirsiniz.

Sanal ağ oluşturma

Sanal ağ oluşturmak için kullanıcının sekmeye gitmesi gerekir Ağ ekle. noktadan kullanıcı bu sayfa aracılığıyla yapılabilir Ana Sayfa — bu ağ denetleyicisinin ZeroTier adresini görüntüleyen ve onun aracılığıyla oluşturulan ağların listesi için sayfaya bir bağlantı içeren Web-GUI'nin ana sayfası.

Sayfasında Ağ ekle kullanıcı yeni oluşturulan ağa bir ad atar.

Giriş verilerini uygularken – Ağ Oluştur kullanıcı, aşağıdakileri içeren ağ listesinin bulunduğu bir sayfaya yönlendirilir: 

Ağ adı — bağlantı biçimindeki ağın adı, üzerine tıkladığınızda değiştirebilirsiniz 
Ağ kimliği — ağ tanımlayıcı
ayrıntı — ayrıntılı ağ parametrelerini içeren bir sayfaya bağlantı
kolay kurulum — kolay kurulum için sayfaya bağlantı
üyeler — düğüm yönetimi sayfasına bağlantı

Daha fazla kurulum için bağlantıyı takip edin kolay kurulum. Açılan sayfada kullanıcı, oluşturulan ağ için bir IPv4 adresi aralığı belirtir. Bu, bir düğmeye basılarak otomatik olarak yapılabilir Ağ adresi oluştur veya uygun alana ağ ağ maskesini girerek manuel olarak CIDR.

Başarılı veri girişini onaylarken Geri düğmesini kullanarak ağ listesinin bulunduğu sayfaya dönmelisiniz. Bu noktada temel ağ kurulumu tamamlanmış sayılabilir.

Ağ düğümlerini bağlama

1. Öncelikle kullanıcının ağa bağlanmak istediği node’a ZeroTier One hizmetinin kurulması gerekiyor.

   ZeroTier One nedir?ZeroTier Bir VPN istemcisine benzer şekilde, sanal ağ bağlantı noktası üzerinden sanal ağa bağlantı sağlayan, dizüstü bilgisayarlar, masaüstü bilgisayarlar, sunucular, sanal makineler ve konteynerler üzerinde çalışan bir hizmettir. 

   Hizmet yüklenip başlatıldıktan sonra sanal ağlara 16 haneli adreslerini kullanarak bağlanabilirsiniz. Her ağ, sistemde normal bir Ethernet bağlantı noktası gibi davranan bir sanal ağ bağlantı noktası olarak görünür.
   Dağıtımlara ve kurulum komutlarına bağlantılar bulunabilir üreticinin sayfasında.

   Kurulu hizmeti, yönetici/kök haklarına sahip bir komut satırı terminali (CLI) aracılığıyla yönetebilirsiniz. Windows/MacOS'ta ayrıca grafiksel bir arayüz kullanılıyor. Android/iOS'ta yalnızca GUI kullanılarak.

2. Servis kurulumunun başarısının kontrol edilmesi:

   CLI:

   zerotier-cli status

   Sonuç: 

   200 info ebf416fac1 1.4.6 ONLINE
   GUI:

   Uygulamanın çalışıyor olması ve içinde düğüm adresiyle birlikte Düğüm Kimliği bulunan bir satırın varlığı.

3. Bir düğümü ağa bağlama:

   CLI:

   zerotier-cli join <Network ID>

   Sonuç: 

   200 join OK

   GUI:

   Windows: simgeye sağ tıklayın ZeroTier Bir sistem tepsisinde ve öğeyi seçerek - Ağa Katıl.

   
   MacOS: Uygulamayı başlat ZeroTier Bir Henüz başlatılmamışsa, çubuk menüsünde. ⏁ simgesine tıklayın ve seçin Ağa Katıl.

   Android/iOS: + (artı resim) uygulamada

   
   Görünen alana GUI'de belirtilen ağ denetleyicisini girin Ağ kimliği, ve bas Ağa Katıl/Ekle.

4. Bir ana bilgisayara IP adresi atama
   Şimdi ağ denetleyicisine dönüyoruz ve ağların listesinin bulunduğu sayfada bağlantıyı takip ediyoruz üyeler. Ekranda buna benzer bir resim görürseniz, ağ denetleyiciniz, bağlı düğümden ağ bağlantısını onaylamak için bir istek almış demektir.

   
   Bu sayfada şimdilik her şeyi olduğu gibi bırakıp bağlantıyı takip ediyoruz IP ataması düğüme bir IP adresi atamak için sayfaya gidin:

   
   Adresi atadıktan sonra butona tıklayın Geri bağlı düğümler listesinin sayfasına dönün ve adı ayarlayın - Üye adı ve ağdaki düğümü yetkilendirmek için onay kutusunu işaretleyin - Yetkili. Bu arada, bu onay kutusu gelecekte ana bilgisayar ağıyla bağlantıyı kesmek/bağlanmak için çok kullanışlı bir şeydir.

   
   Düğmeyi kullanarak değişiklikleri kaydedin Yenile.

5. Düğümün ağa bağlantı durumunu kontrol etme:
   Düğümün kendisindeki bağlantı durumunu kontrol etmek için şunu çalıştırın:
   CLI:

   zerotier-cli listnetworks

   Sonuç:

   200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips>
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
   GUI:

   Ağ durumu iyi olmalı

   Kalan düğümleri bağlamak için her biri için 1-5 arasındaki işlemleri tekrarlayın.

Düğümlerin ağ bağlantısını kontrol etme

Bunu komutu çalıştırarak yapıyorum ping şu anda yönettiğim ağa bağlı cihazda.

Web-GUI denetleyicisinin ekran görüntüsünde ağa bağlı üç düğümü görebilirsiniz:

1. ZTNCUI-10.10.10.1 - GUI'li ağ denetleyicim - RuVDS DC'lerden birinde VDS. Normal çalışma için ağa eklemeye gerek yok ama bunu yaptım çünkü web arayüzüne dışarıdan erişimi engellemek istiyorum. Bu konuda daha sonra daha fazla bilgi vereceğiz. 
2. MyComp - 10.10.10.2 - iş bilgisayarım fiziksel bir bilgisayardır
3. Yedekleme - 10.10.10.3 — Başka bir DC'deki VDS.

Bu nedenle, iş bilgisayarımdan diğer düğümlerin kullanılabilirliğini şu komutlarla kontrol ediyorum:

ping 10.10.10.1

Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64

Ping statistics for 10.10.10.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 2ms, Maximum = 14ms, Average = 6ms

ping 10.10.10.3

Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64

Ping statistics for 10.10.10.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 4ms, Maximum = 15ms, Average = 7ms

Kullanıcı, ağdaki düğümlerin kullanılabilirliğini kontrol etmek için hem işletim sisteminde yerleşik olan hem de NMAP, Gelişmiş IP Tarayıcı vb. gibi diğer araçları kullanma hakkına sahiptir.

Ağ denetleyicisi GUI'sine dışarıdan erişimi gizleriz.

Genel olarak, RuVDS kişisel hesabımdaki bir güvenlik duvarını kullanarak ağ denetleyicimin bulunduğu VDS'ye yetkisiz erişim olasılığını azaltabilirim. Bu konu daha çok ayrı bir yazı konusu. Bu nedenle burada bu yazıda GUI denetleyicisine yalnızca oluşturduğum ağdan erişimin nasıl sağlanacağını göstereceğim.

Bunu yapmak için denetleyicinin bulunduğu VDS'ye SSH aracılığıyla bağlanmanız ve aşağıdaki komutu kullanarak yapılandırma dosyasını açmanız gerekir:

nano /opt/key-networks/ztncui/.env

Açılan dosyada, GUI'nin açılacağı portun adresini içeren “HTTPS_PORT=3443” satırından sonra, GUI'nin açılacağı adresin bulunduğu ek bir satır eklemeniz gerekir - benim durumumda HTTPS_HOST=10.10.10.1 .XNUMX. 

Sonra dosyayı kaydedeceğim

Сtrl+C
Y
Enter 

ve şu komutu çalıştırın:

systemctl restart ztncui

İşte bu kadar, artık ağ denetleyicimin GUI'si yalnızca 10.10.10.0.24 ağ düğümleri için kullanılabilir.

Bunun yerine bir sonuca 

ZeroTier tabanlı sanal ağlar oluşturmaya yönelik pratik kılavuzun ilk bölümünü burada bitirmek istiyorum. Yorumlarınızı sabırsızlıkla bekliyorum. 

Bu arada, sanal bir ağı fiziksel bir ağ ile nasıl birleştireceğinizi, bir "yol savaşçısı" modunu nasıl organize edeceğinizi ve başka bir şeyi anlatacağım bir sonraki bölümün yayınlanmasına kadar zaman geçirmek için denemenizi öneririm piyasadan VDS'ye dayalı GUI'ye sahip özel bir ağ denetleyicisi kullanarak kendi sanal ağınızı organize etme web sitesi RUVDS. Üstelik tüm yeni müşterilerin 3 günlük ücretsiz deneme süresi var!

PS Evet! Neredeyse unutuyordum! Bu düğümün CLI'sindeki bir komutu kullanarak bir düğümü ağdan kaldırabilirsiniz.

zerotier-cli leave <Network ID>

200 leave OK

veya düğümdeki istemci GUI'sindeki Sil komutunu kullanın.

-> Giriiş. Teorik kısım. Planet Earth için Akıllı Ethernet Anahtarı
-> Sanal ağlar oluşturmaya yönelik pratik bir kılavuz. Bölüm 1
-> Sanal ağlar oluşturmaya yönelik pratik bir kılavuz. Bölüm 2

Kaynak: habr.com