Yazılım Tanımlı Ağ ile Başlarken ve ZeroTier One ile bir VPN Oluşturma

Giriş

Bu günlerde, daha fazla yazılım projesi, üyeleri ayrı coğrafi konumlardan birlikte çalışan ekipler tarafından oluşturulmaktadır. Bu iş akışının birçok belirgin avantajı olsa da, bu tür ekiplerin bilgisayarlarını internet üzerinden birbirine bağlamak ve aynı odada oldukları gibi davranmak isteyebilecekleri durumlar vardır. Örneğin, Kubernetes gibi dağıtılmış sistemleri test ediyor olabilirsiniz ya da karmaşık bir çok-hizmet uygulaması inşa ediyor olabilirsiniz. Bazen, bitmiş servislerinizi internete ifşa etme riskiyle karşı karşıya kalmayacağınız için, makinelerinizi yan yana oldukları gibi işleyebiliyorsanız, yalnızca üretkenlikle yardımcı olur. Bu paradigma, varlığını tamamen yazılımdan oluşan dinamik bir ağ kumaşı sağlayan nispeten yeni bir teknoloji olan Yazılım Tanımlı Ağ (SDN) ile sağlanabilir.

ZeroTier One, kullanıcıların güvenli, yönetilebilir ağlar oluşturmasına ve bağlı cihazları aynı fiziksel konumda oldukları gibi ele almasına olanak tanımak için SDN'deki en son gelişmeleri kullanan açık kaynaklı bir uygulamadır. ZeroTier, müşteriler için ağ yönetimi ve uç nokta yazılımı için bir web konsolu sağlar. Şifrelenmiş bir Peer-to-Peer teknolojisidir, yani geleneksel VPN çözümlerinden farklı olarak, iletişim merkezi bir sunucu veya yönlendiriciden geçmeye gerek duymaz – mesajlar doğrudan ana bilgisayardan ana bilgisayara gönderilir. Sonuç olarak çok verimli ve minimum gecikme sağlar. Diğer avantajlar arasında ZeroTier'in basit kurulum ve yapılandırma süreci, kolay bakım ve Web Konsolundan yetkili düğümlerin merkezi olarak kaydedilmesine ve yönetilmesine olanak sağlaması sayılabilir.

Bu eğiticiyi takip ederek, bir istemci ve sunucuyu basit bir noktadan noktaya ağa bağlayacaksınız. Yazılım Tanımlı Ağ, geleneksel istemci / sunucu tasarımını kullanmadığından, kurulum ve yapılandırma için merkezi bir VPN sunucusu yoktur; Bu, aletin dağıtımını ve herhangi bir ek düğümün eklenmesini kolaylaştırır. Bağlantı kurulduktan sonra, ZeroTier'in VPN yeteneğini, trafiğin ZeroTier ağınızı sunucunuzdan terk etmesine ve bir müşterinin trafiğini bu yönde göndermesine izin vermek için bazı akıllı Linux işlevlerini kullanarak kullanma fırsatına sahip olacaksınız.

Ön şartlar

Bu eğitici ile çalışmadan önce aşağıdaki kaynaklara ihtiyacınız olacak:

  • Ubuntu 16.04 çalışan bir sunucu. Bu sunucuda, Ubuntu için 16.04 'den önce sunucu kurulum kılavuzumuzu ayrı bir şifreye sahiptir.

  • ZeroTier One ile bir hesabımı, My ZeroTier'e yükseltme kurabilirsiniz. Bu eğitimin amacı için, herhangi bir masraf veya ücretsiz hizmetinizdedir.

  • Bir Müşteriden SDN'nıza dağıtmak için bir bilgisayar. Bu dersin tüm örneklerinde, hem sunucu hem de bilgisayar ortamında çalıştırılması gereken bir programdır.

Bu önkoşullar yerine, sunucunuz ve yerel makineniz için yazılım tanımlı ağ kurmaya hazırsınız.

1. Adım – ZeroTier One'ı Kullanarak Yazılım Tanımlı Bir Ağ Oluşturma

ZeroTier platformu, yazılım tanımlı ağınız için merkezi kontrol noktasını sağlar. Burada, istemcileri yetkilendirebilir ve yetkilendirebilir, bir adresleme şeması seçebilir ve müşterilerinizi ayarlarken yönlendirebileceğiniz bir Ağ Kimliği oluşturabilirsiniz.

Senin ZeroTier hesabınıza giriş yapın, ekranın üst kısmındaki Ağları tıklatın ve sonra Oluştur'u tıklatın. Otomatik olarak oluşturulmuş bir ağ adı görünecektir. Ağınızın yapılandırma ekranını görmek için tıklayın. Bunu daha sonra başvurmanız gerekeceği için sarı olarak gösterilen Ağ Kimliği'ni not edin.

Ağ adını daha açıklayıcı bir şekilde değiştirmeyi tercih ederseniz, ekranın sol tarafındaki adı düzenleyin; İsterseniz bir açıklama da ekleyebilirsiniz. Yaptığınız tüm değişiklikler otomatik olarak kaydedilir ve uygulanır.

Ardından, SDN'nın çalışacağı IPv4 adres aralığını seçin. Ekranın sağ tarafında IPv4 Auto-Assign başlıklı alanda, düğümlerinizin altına gireceği bir adres aralığı seçin. Bu öğreticinin amaçları için herhangi bir aralık kullanılabilir, ancak Otomatik Atamayı Aralık kutusundan işaretli bırakmak önemlidir.

Soldaki Erişim Kontrolünün Sertifika (Private Network) olarak ayarlandığından emin olun. Bu, yalnızca onaylanmış makinelerin ağınıza bağlanabilmesini ve sadece Network ID'nizi tanıyan birisinin olmamasını sağlar!

Tamamlandığında, ayarlarınız bunlara benzer görünmelidir:

Bu noktada, bir ZeroTier Yazılım Tanımlı Ağın temelini başarıyla oluşturdunuz. Daha sonra, ZeroTier yazılımını, sunucunuza ve istemci makinelerinize SDN'nıza bağlanmasına izin verecek şekilde kuracaksınız.

Adım 2 – Sunucunuza ve Yerel Bilgisayarınıza ZeroTier Bir İstemcisini Yükleme

ZeroTier One nispeten yeni bir yazılım parçası olduğu için, henüz Ubuntu yazılım depolarına dahil edilmemiştir. Bu nedenle, ZeroTier yazılımı yüklemek için kullanacağımız bir kurulum komut dosyası sağlar. Bu komut GPG imzalı bir komut dosyasıdır. Bu, indirdiğiniz kodun ZeroTier tarafından yayınlandığı gibi doğrulanacağı anlamına gelir. Bu betiğin dört ana bölümü vardır ve işte bunların her biri için parça parça bir açıklama:

  • curl -s 'https://pgp.mit.edu/pks/lookup?op=get&search=0x1657198823E52A61' – Bu, MIT'den ZeroTier ortak anahtarını içe aktarır.
  • gpg --import – Komutun bu bölümü, yüklemeye çalıştığınız paketlere güvenmek için ZeroTier ortak anahtarını yerel anahtarlık yetkililerine ekler. Komutun bir sonraki kısmı yalnızca GPG içe aktarımı başarıyla tamamlanırsa yürütülür
  • if z=$(curl -s 'https://install.zerotier.com/' | gpg); then echo "$z" – Bu bölümde gerçekleşen birkaç şey var, ama temelde şu anlama gelir: "ZeroTier.com'dan indirilen kriptografik olarak imzalı yükleme komut dosyası GPG'den geçiyor ve ZeroTier tarafından imzasız olarak reddedilmezse Ekrana bilgi. "
  • sudo bash; fi – Bu bölüm yeni doğrulanmış yükleyici komut dosyasını alır ve rutini sonlandırmadan önce yürütür.

Uyarı: Güvenilir bir kaynaktan gelmediğinden emin olmadan, asla bir şey internetten indirmemeli ve başka bir programa aktarmamalısınız. İsterseniz, projenin resmi GitHub sayfasındaki kaynak kodunu inceleyerek ZeroTier yazılımını inceleyebilirsiniz.

Yeni oluşturduğunuz sunucuya bağlanmak için bir SSH Konsolu kullanın ve normal kullanıcınız olarak aşağıdaki komutu çalıştırın (komutun bir açıklaması aşağıda verilmiştir). Eğer komut otomatik olarak ayrıcalık düzeyini yükseltmek için şifrenizi talep beri, root olarak çalıştırın ve gerektiğinde bunu etkileşim kurabilmek için tarayıcınızda açık ZeroTier konsolu tutmak hatırlamıyorum emin olun.

  • curl -s 'https://pgp.mit.edu/pks/lookup?op=get&search=0x1657198823E52A61' | gpg --import ve& z = $ ise (curl -s 'https://install.zerotier.com/' | gpg); sonra echo "$ z" | sudo bash; fi

Komut tamamlandığında, aşağıda gösterilenlere benzer iki çıkış satırı görürsünüz. ZeroTier adresinizi (köşeli parantez olmadan) ve bu adresi oluşturan sistemin adını not edin;

Output*** Waiting for identity generation...

*** Success! You are ZeroTier address [ 916af8664d ].

Ubuntu kullanıyorsanız, yerel bilgisayarınıza bu adımı tekrarlayın veya ZeroTier web sitesinin İndirme sayfasındaki işletim sisteminiz için ilgili adımları izleyin. Yine, ZeroTier adresini ve bu adresi oluşturan makineyi not ettiğinizden emin olun. Sunucunuzu ve istemcinizi ağa gerçekten bağladığınızda, bu eğiticinin bir sonraki adımında bu bilgilere ihtiyacınız olacaktır.

3. Adım – ZeroTier Ağınıza Katılma

Artık hem sunucu hem de istemci, üzerinde çalışan ZeroTier yazılımına sahip olduklarından, bunları ZeroTier web konsolunda oluşturduğunuz ağa bağlamaya hazırsınız.

İstemcinizi, platformları aracılığıyla ZeroTier ağına erişim isteğinde bulunmasını istemek için aşağıdaki komutu kullanın. Müşterinin ilk isteği reddedilecek ve askıya alınacak, ancak bunu bir an içinde düzeltiriz. Ağ kimliğini, Ağınızın yapılandırma penceresinden daha önce not ettiğiniz Ağ Kimliği ile değiştirdiğinizden emin olun.

  • sudo zerotier-cli birleştirme NetworkID

Output200 join OK

Sunucunuzdaki ZeroTier servisinin komutu anladığını doğrulayan 200 join OK tamamlama 200 join OK mesajı alacaksınız. Yapmazsanız, girdiğiniz ZeroTier Network ID'sini tekrar kontrol edin.

Dünyanın herhangi bir yerindeki herkesin katılabileceği bir genel ağ oluşturmadığınızdan, artık müşterilerinizi yetkilendirmeniz gerekiyor. ZeroTier Web Konsoluna gidin ve Üyeler bölümünün bulunduğu yere kadar aşağı doğru ilerleyin. Çevrimiçi olarak işaretlenmiş iki girişi daha önce not ettiğiniz aynı adreslerle işaretlemelisiniz.

İlk sütunda Auth olarak işaretlendi mi? Ağa katılmaları için yetkilendirmek üzere kutuları işaretleyin. Zerotier Denetleyici, sunucuya ve istemciye, bir dahaki sefere SDN adını verdiğinde seçmiş olduğunuz aralıktan bir IP adresi tahsis edecektir.

IP adreslerinin ayrılması biraz zaman alabilir. Beklerken, Üyeler bölümündeki düğümleriniz için Kısa Bir Ad ve Açıklama sağlayabilirsiniz.

Bununla, yazılım tanımlı ağınıza iki sistem bağlamış olacaksınız.

Şimdiye kadar, ZeroTier kontrol paneli ile temel bir alışkanlık kazandınız, ZeroTier'i indirmek ve kurmak için komut satırı arayüzünü kullandınız ve daha sonra hem sunucuyu hem de istemciyi bu ağa eklediniz. Ardından, bir bağlantı testi gerçekleştirerek her şeyin doğru şekilde uygulandığını kontrol edeceksiniz.

Adım 4 – Bağlantıyı Doğrulama

Bu aşamada, iki ev sahibinin aslında birbirleriyle konuşabileceğini doğrulamak önemlidir. Ana bilgisayarların ağa katıldığını iddia etmelerine rağmen iletişim kuramadıkları bir şans var. Bağlantıyı şimdi doğrulayarak, daha sonra sorunlara neden olabilecek temel bağlantı sorunları hakkında endişelenmeniz gerekmeyecek.

Her ana bilgisayarın ZeroTier IP adresini bulmanın kolay bir yolu, ZeroTier Web Konsolunun Üyeler bölümüne bakmaktır. IP adresleri görünmeden önce sunucuyu ve istemciyi yetkilendirdikten sonra yenilemeniz gerekebilir. Alternatif olarak, bu adresleri bulmak için Linux komut satırını kullanabilirsiniz. Her iki makinede aşağıdaki komutu kullanın – listede gösterilen ilk IP adresi kullanılır. Aşağıda gösterilen örnekte, bu adres 203.0.113.0 .

  • ip addr sh zt0 | grep 'inet'

Outputinet 203.0.113.0/24 brd 203.0.255.255 scope global zt0
inet6 fc63:b4a9:3507:6649:9d52::1/40 scope global
inet6 fe80::28e4:7eff:fe38:8318/64 scope link

Ana bilgisayarlar arasındaki bağlantıyı test etmek için, bir ana bilgisayardan ping komutunu ve ardından diğer IP adresini çalıştırın. Örneğin, müşteride:

  • your_server_ip

Ve sunucuda:

  • ping Instagram Hesabındaki Resim ve Videoları your_client_ip

Yanıtlar karşıdaki ana bilgisayardan (aşağıda gösterilen çıktıda gösterildiği gibi) döndürülürse, iki düğüm, SDN üzerinden başarılı bir şekilde iletişim kurar.

OutputPING 203.0.113.0 (203.0.113.0) 56(84) bytes of data.
64 bytes from 203.0.113.0: icmp_seq=1 ttl=64 time=0.054 ms
64 bytes from 203.0.113.0: icmp_seq=2 ttl=64 time=0.046 ms
64 bytes from 203.0.113.0: icmp_seq=3 ttl=64 time=0.043 ms

ZeroTier kurulumunu tekrar ederek ve yukarıda ana hatları verilen süreçlere katılarak, bu yapılandırmaya istediğiniz kadar makine ekleyebilirsiniz. Unutmayın, bu makinelerin herhangi bir şekilde birbirine yakın olması gerekmez.

Artık sunucunuzun ve istemcinizin birbiriyle iletişim kurabildiğini doğruladığınızdan, bir çıkış ağ geçidi sağlamak ve kendi VPN'inizi oluşturmak için ağı nasıl ayarlayacağınızı öğrenmek için okumaya devam edin.

Adım 5 – ZeroTier'in VPN Yeteneğini Etkinleştirme

Girişte belirtildiği gibi ZeroTier'i bir VPN aracı olarak kullanmak mümkündür. ZeroTier'i bir VPN çözümü olarak kullanmayı düşünmüyorsanız, bu adımı izlemeniz gerekmez ve Adım 6'ya atlayabilirsiniz.

VPN kullanmak, iletişiminizin kaynağını internet üzerinden web siteleriyle gizler. Kullandığınız ağda bulunabilecek filtreleri ve kısıtlamaları atlamanızı sağlar. Daha geniş bir internete, sunucunuzun genel IP adresinden göz atıyormuş gibi görünüyorsunuz. ZeroTier'i bir VPN aracı olarak kullanmak için, sunucunuzda ve istemcinizin yapılandırmalarında birkaç değişiklik yapmanız gerekecektir.

Ağ Adresi Çevirisi ve IP Yönlendirmeyi Etkinleştirme

Ağ Adresi Çevirisi , daha yaygın olarak "NAT" olarak anılır, bir yönlendiricinin, göndericinin IP adresiyle etiketlenmiş bir arabirimde paketleri kabul ettiği ve daha sonra yönlendiricinin adresi için bu adresi dağıttığı bir yöntemdir. Bu takasın bir kaydı yönlendiricinin hafızasında tutulur, böylece geri dönüş trafiği ters yönde geri döndüğünde, yönlendirici IP'yi orijinal adresine geri çevirebilir. NAT genellikle birden çok bilgisayarın bir VPN hizmeti için kullanışlı olan, herkese açık olarak görünen bir IP adresinin arkasında çalışmasına izin vermek için kullanılır. NAT'ın bir örneği, İnternet Servis Sağlayıcınızın evinizdeki tüm cihazları internete bağlamanızı sağlayan iç yönlendiricidir. Yönlendiriciniz NAT gerçekleştirdiği için dizüstü bilgisayarınız, telefonunuz, tabletleriniz ve diğer İnternet özellikli cihazlarınız aynı genel IP adresini internette paylaşıyor gibi görünür.

NAT genellikle bir yönlendirici tarafından yürütülmesine rağmen, bir sunucu da bunu gerçekleştirebilir. Bu adımda, VPN yeteneklerini etkinleştirmek için ZeroTier sunucunuzda bu işlevi kullanacaksınız.

IP iletme , bir IP adresi farklı bölgelerdeyse, bir arabirimden diğerine trafiği yönlendiren bir yönlendirici veya sunucu tarafından gerçekleştirilen bir işlevdir. Bir yönlendirici iki ağa bağlıysa, IP iletimi, aralarındaki trafiği iletmesini sağlar. Bu basit görünebilir, ancak başarılı bir şekilde uygulanması şaşırtıcı bir şekilde karmaşık olabilir. Bu öğretici durumunda, ancak, birkaç yapılandırma dosyası düzenleme meselesi.

IP yönlendirmeyi etkinleştirerek, istemcinizdeki ZeroTier ağındaki VPN trafiği, sunucunun ZeroTier arabirimine ulaşacaktır. Bu yapılandırma değişiklikleri olmadan, Linux çekirdeği (varsayılan olarak), geldikleri arabirim için uygun olmayan tüm paketleri atarlar. Bu, Linux çekirdeği için normal davranıştır, çünkü tipik olarak, başka bir ağ için bir hedef adrese sahip olan bir ara yüze gelen herhangi bir paket, ağın başka bir yerinde bir yönlendirme yanlış yapılandırmasına neden olabilir.

Linux çekirdeğini, ara yüzler arasındaki paketleri iletmenin kabul edilebilir olduğunu bildiren IP yönlendirmeyi düşünmek yararlı olacaktır. Varsayılan ayar 0 – "Kapalı" ya eşdeğerdir. 1 eşdeğerdir – "Açık" olarak eşdeğerdir.

Geçerli yapılandırmayı görmek için aşağıdaki komutu çalıştırın:

  • sudo sysctl Instagram Hesabındaki Resim ve Videoları net.ipv4.ip_forward

Outputnet.ipv4.ip_forward = 0

IP iletmeyi etkinleştirmek için sunucunuzdaki /etc/sysctl.conf dosyasını değiştirin ve gerekli satırı ekleyin. Bu yapılandırma dosyası, yöneticinin varsayılan çekirdek ayarlarını geçersiz kılmasına izin verir ve yeniden başlatmalardan sonra her zaman uygulanır, böylece yeniden ayarlama konusunda endişelenmenize gerek yoktur. Aşağıdaki satırı dosyanın altına eklemek için nano veya favori metin düzenleyicisini kullanın.

  • sudo nano /etc/sysctl.conf

/etc/sysctl.conf. . .
net.ipv4.ip_forward = 1

Dosyayı kaydedin ve kapatın, sonra kernel'in yeni yapılandırmanın benimsenmesini tetiklemek için bir sonraki komutu çalıştırın.

  • sudo sysctl -p

Sunucu, dosya içindeki tüm yeni yapılandırma yönergelerini benimseyecek ve yeniden başlatma gerektirmeden bunları hemen uygulayacaktır. Daha önce yaptığınız gibi aynı komutu çalıştırın ve bu IP iletiminin etkin olduğunu göreceksiniz.

  • sudo sysctl Instagram Hesabındaki Resim ve Videoları net.ipv4.ip_forward

Outputnet.ipv4.ip_forward = 1

Artık bu IP iletme özelliği etkinleştirildikten sonra, sunucuyu bazı temel yönlendirme kurallarına göre sağlayarak iyi bir şekilde kullanacaksınız. Linux çekirdeği zaten içinde bir ağ yönlendirme yeteneğine sahip olduğundan, tek yapmanız gereken yerleşik güvenlik duvarı ve yönlendiriciye söyleyeceği yeni trafiğin kabul edilebilir olduğunu ve nereye gönderileceğini söylemek için bazı kurallar eklemektir. .

Bu kuralları komut satırından eklemek için, önce Ubuntu'nun hem Zerotier arayüzünüze hem de internete bakan ethernet arayüzünüze atadığı isimleri bilmeniz gerekir. Bunlar tipik olan zt0 ve eth0 bu her zaman böyle olmasa da, sırasıyla.

Bu arayüzlerin isimlerini bulmak için, ip link show komutunu ip link show . Bu komut satırı yardımcı programı, varsayılan olarak Ubuntu'da yüklü olarak gelen kullanıcı alanı yardımcı programlarının bir parçası olan iproute2 bir parçasıdır:

  • ip bağlantı gösterisi

Bu komutun çıktısında, arayüzlerin adları doğrudan listede benzersiz bir arayüzü tanımlayan numaraların yanındadır. Bu arayüz adları, aşağıdaki örnek çıktıda vurgulanır. Sizinki örnekte gösterilen isimlerden farklıysa, bu kılavuzda arayüz adınızı uygun şekilde değiştirin.

Output1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
link/ether 72:2d:7e:6f:5e:08 brd ff:ff:ff:ff:ff:ff
3: zt0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 2800 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether be:82:8f:f3:b4:cd brd ff:ff:ff:ff:ff:ff

Elinizdeki bilgilerle Ağ-Adresi-Çeviri ve IP maskelemeyi etkinleştirmek için iptables kullanın:

  • sudo iptables -t nat-Bir POSTROUTING -o eth0 -j MASQUERADE

Trafik iletilmesine izin verin ve aktif bağlantıları izleyin:

  • sudo iptables -A FORWARD -m conntrack --ctstate İLGİLİ, KURULDU -j KABUL

Daha sonra, trafik yönlendirme izin zt0 için eth0 . Bu öğreticide, istemcinin her zaman sunucu üzerinden çağrı yaptığı varsayıldığından, tersine bir kural gerekmez:

  • sudo iptables -İ FORWARD -i zt0 -o eth0 -j KABUL

Sunucu için belirlediğiniz iptables kurallarının, yeniden başlatmalar arasında otomatik olarak devam etmediğini hatırlamak önemlidir. Sunucunun yeniden başlatılması durumunda geri getirildiklerinden emin olmak için bu kuralları kaydetmeniz gerekir. Sunucunuzda, aşağıdaki IPv4 kurallarını kaydetmek için ekrandaki kısa talimatları izleyerek aşağıdaki komutları çalıştırın, IPv6 gerekli değildir.

  • sudo apt-get install iptables-persistent

  • sudo netfilter-kalıcı kaydet

sudo netfilter-persistent save çalıştırdıktan sonra, iptables kurallarının doğru şekilde kaydedildiğini doğrulamak için sunucunuzu yeniden başlatmanız yararlı olabilir. Kontrol etmenin kolay bir yolu, hafızada yüklü olan mevcut konfigürasyonu terminalinize aktaran sudo iptables-save çalıştırmaktır. zt0 , forwarding ve zt0 arayüzü ile ilgili olanlara benzer kurallar görürseniz, doğru bir şekilde kaydedilmişlerdir.

  • sudo iptables-save

Output# Generated by iptables-save v1.6.0 on Tue Apr 17 21:43:08 2018
. . .
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
. . .
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i zt0 -o eth0 -j ACCEPT
COMMIT
. . .

Artık bu kurallar sunucunuza uygulandığından, ZeroTier ağı ve genel internet arasındaki trafiği birleştirmeye hazırdır. Ancak, ZeroTier Network'ün sunucunun bir ağ geçidi olarak kullanılmaya hazır olduğu bildirilirse, VPN çalışmayacaktır.

Sunucunuzu Genel Rotayı Yönetecek Şekilde Etkinleştirme

Sunucunuzun herhangi bir istemciden gelen trafiği işlemesi için, ZeroTier ağındaki diğer istemcilerin trafiğini göndereceğini bilmeniz gerekir. Bunu, ZeroTier Konsolunda genel bir rota belirleyerek yapabilirsiniz. Bilgisayar ağlarına aşina olan kişiler bunu bir Varsayılan Yol olarak da tanımlayabilirler. Herhangi bir müşterinin varsayılan trafiğini, yani başka herhangi bir yere gitmemesi gereken herhangi bir trafiği gönderdiği yer.

ZeroTier Networks sayfanızın sağ üst kısmına gidin ve aşağıdaki parametrelerle yeni bir rota ekleyin. ZeroTier IP'nizi ZeroTier Network yapılandırma sayfanızın Üyeler bölümünde bulabilirsiniz. Ağ / bit alanına girmek 0.0.0.0/0 (LAN) alanında, sizin ZeroTier sunucusunun IP adresini girin.

Ayrıntılar yerinde olduğunda, " + " simgesini tıklayın ve mevcut olanın altında yeni bir kural göreceksiniz. İçinde gerçekten küresel bir yol olduğunu göstermek için bir turuncu küre olacak:

ZeroTier ağınızın gitmeye hazır olmasıyla, VPN'nin çalışması için yapılması gereken tek bir yapılandırma var: istemcilerinki.

Linux İstemcilerini Yapılandırma

Not: Bu bölümdeki komutlar sadece Linux istemciler için geçerlidir. Windows veya macOS istemcilerini yapılandırma yönergeleri bir sonraki bölümde verilmektedir.

Eğer müşteriniz Linux kullanıyorsa, /etc/sysctl.conf dosyasına manuel bir değişiklik yapmanız gerekecektir. Bu konfigürasyon değişikliği, müşteri trafiğiniz için kabul edilebilir bir dönüş yolunun ne olduğuna ilişkin çekirdeği değiştirmek için gereklidir. ZeroTier VPN'in yapılandırılma biçimi nedeniyle, sunucunuzdan istemciye gelen trafik bazen gönderildiklerinden farklı bir ağ adresinden gelebilir. Varsayılan olarak, Linux çekirdeği bunları geçersiz olarak görür ve bu davranışı geçersiz kılmayı gerekli kılar.

İstemcinizdeki makinede /etc/sysctl.conf açın:

  • sudo nano /etc/sysctl.conf

Sonra aşağıdaki satırı ekleyin:

Output. . .

net.ipv4.conf.all.rp_filter=2

Dosyayı kaydedin ve kapatın, ardından değişiklikleri uygulamak için sudo sysctl -p komutunu çalıştırın.

  • sudo sysctl -p

Ardından, ZeroTier Client yazılımına ağınızın varsayılan rota trafiğini taşımalarına izin verildiğini söyleyin. Bu, istemcinin yönlendirmesini değiştirir ve bu nedenle ayrıcalıklı bir işlev olarak kabul edilir, bu nedenle el ile etkinleştirilmesi gerekir. Komut, çıkışa bir yapılandırma yapısı basacaktır. Üstte allowDefault=1 değerini gösterdiğini onaylamak için bunu kontrol edin:

  • sudo zerotier-cli set NetworkID allowDefault = 1

Herhangi bir noktada tüm trafik ayarlamak, içinden yönlendirme ile bir VPN olarak ZeroTier kullanarak durdurmak isterseniz allowDefault geri 0 :

  • sudo zerotier-cli set NetworkID allowDefault = 0

İstemcide ZeroTier hizmeti her yeniden başlatıldığında, allowDefault allowDefault=1 değeri 0'a sıfırlanır, dolayısıyla VPN işlevselliğini etkinleştirmek için yeniden çalıştırmayı unutmayın.

Varsayılan olarak, ZeroTier hizmeti hem Linux istemcisi hem de sunucu için otomatik olarak önyükleme yapmaya ayarlanmıştır. Durumun böyle olmasını istemiyorsanız, başlangıç ​​komutunu aşağıdaki komutla devre dışı bırakabilirsiniz.

  • sudo systemctl sıfırlayıcı-bir devre dışı bırakmak

ZeroTier ağınızda diğer İşletim Sistemlerini kullanmak isterseniz, bir sonraki bölüme geçin. Aksi halde, Akışları Yönetme bölümüne geçin.

Linux Olmayan İstemcileri Yapılandırma

ZeroTier istemci yazılımı, sadece Linux işletim sistemi için değil, birçok sistem için kullanılabilir – hatta akıllı telefonlar da desteklenir. Müşteriler Windows, macOS, Android, iOS ve hatta QNAP, Synology ve WesternDigital NAS sistemleri gibi özel işletim sistemleri için var.

Ağa macOS- ve Windows tabanlı istemciler katılmak için, (1. Adımda yüklü) ZeroTier aracını başlatmak ve Üyelik tıklamadan önce verilen alana NETWORKID girin. Yeni bir ana bilgisayarı ağınıza yetkilendirmek için İzin Ver düğmesini işaretlemek üzere ZeroTier konsolunda tekrar kontrol etmeyi unutmayın.

ZeroTier üzerinden tüm trafiği işaretli kutucuğu işaretlemeyi unutmayın . Bunu yapmazsanız, müşteriniz ZeroTier ağınıza eklenir, ancak internet trafiğini göndermeye çalışmaktan rahatsız olmaz.

Trafiğinizin sunucunuzun IP'sinden internete doğru geldiğini doğrulamak için ICanHazIP gibi bir IP kontrol aracı kullanın. Bunu kontrol etmek için, aşağıdaki URL’yi tarayıcınızın adres çubuğuna yapıştırın. Bu web sitesi, sunucusunun (ve internetin geri kalanının) siteye erişmek için kullandığı IP adresini gösterecektir:

http://icanhazip.com

Bu adımlar tamamlandığında, VPN'inizi kullanmaya başlayabilirsiniz, ancak lütfen. Bir sonraki isteğe bağlı bölüm, "akış kuralları" olarak bilinen ZeroTier SDN içine yerleştirilmiş bir teknolojiyi kapsar, ancak VPN işlevselliğinin çalışması için herhangi bir şekilde gerekli değildir.

6. Adım – Akışları Yönetme (İsteğe Bağlı)

Yazılım Tanımlı Bir Ağın avantajlarından biri, merkezi denetleyicidir. ZeroTier ile ilgili olarak, merkezi kontrolör, genel ZeroTier SDN servisinin üzerinde yer alan Web Kullanıcı Arayüzüdür. Bu arabirimden, bir ağdaki hangi trafiğin yapılabileceğini veya yapamayacağını belirleyen akış kuralları olarak bilinen kuralları yazmak mümkündür. Örneğin, ağ üzerinden trafik taşıyan belirli ağ bağlantı noktalarında bir battaniye yasağı belirtebilir, hangi ana bilgisayarların birbiriyle konuşabileceğini ve hatta trafiği yönlendirebileceğini sınırlayabilirsiniz.

Bu, akış tablosunda yapılan herhangi bir değişiklik ağ üyelerine itildiğinden ve sadece birkaç dakika sonra etkili olacağından, neredeyse anında etkili olan son derece güçlü bir özelliktir. Akış kurallarını düzenlemek için, ZeroTier Web Kullanıcı Arayüzüne geri dönün, Networking sekmesine tıklayın ve Akış Kuralları adlı bir kutu görene kadar aşağıya doğru kaydırın (daraltılabilir ve genişletilebilir). Bu, istediğiniz kuralları girebileceğiniz bir metin alanı açar. Tam Kılavuz, ZeroTier konsolunda, Akış Kuralları giriş kutusunun hemen altındaki bir kutuda, Kurallar Motoru Yardımı'nda bulunur .

Bu işlevselliği keşfetmenize yardımcı olacak bazı örnek kurallar.

Google'ın 8.8.8.8 DNS sunucusuna bağlı trafiği engellemek için şu kuralı ekleyin:

drop
ipdest 8.8.8.8/32
;

Google’ın herkese açık DNS sunucusuna bağlı tüm trafiği ZeroTier düğümlerinizden birine yönlendirmek için aşağıdaki kuralı ekleyin. Bu, DNS aramalarını geçersiz kılmak için mükemmel bir yakalama olabilir:

redirect NetworkID
ipdest 8.8.8.8/32
;

Ağınızın özel güvenlik gereksinimleri varsa, bu kuralı ekleyerek FTP bağlantı noktalarına, Telnet'e ve şifrelenmemiş HTTP'ye herhangi bir etkinliği bırakabilirsiniz:

drop
dport 80,23,21,20
;

Akış kuralları eklemeyi tamamladığınızda Değişiklikleri Kaydet düğmesine tıklayın ve ZeroTier değişikliklerinizi kaydeder.

Sonuç

Bu derste, Yazılım Tanımlı Ağ dünyasına ilk adımınızı attınız ve ZeroTier ile çalışmak, bu teknolojinin faydaları hakkında biraz bilgi veriyor. VPN örneğini takip ettiyseniz, ilk kurulum geçmişte kullanmış olabileceğiniz diğer araçlarla karşıt olsa da, ek istemcilerin eklenmesi, teknolojiyi başka yerlerde kullanmak için zorlayıcı bir neden olabilir.

Özetlemek gerekirse, ZeroTier'in bir SDN sağlayıcı olarak nasıl kullanılacağını ve bu ağa düğümler yapılandırıp ekleyeceğinizi öğrendiniz. VPN öğesi, bu tür bir ağda yönlendirmenin nasıl işlediğine dair daha derin bir anlayış vermiş olacak ve bu eğitimdeki yol, güçlü akış kuralları teknolojisini kullanmanıza izin verecektir.

Şimdi noktadan noktaya bir ağ var, bunu Dosya Paylaşımı gibi başka bir işlevsellikle birleştirebilirsiniz. Evde bir NAS veya dosya sunucunuz varsa, bunu ZeroTier'e bağlayabilir ve hareket halindeyken ona erişebilirsiniz. Bunu arkadaşlarınızla paylaşmak isterseniz, onlara ZeroTier ağınıza nasıl katılacağınızı gösterebilirsiniz. Geniş bir alana dağılmış olan çalışanlar, aynı merkezi depolama alanına geri dönebilirler. Bu örneklerin herhangi birinin dosya paylaşımını oluşturmaya başlamak için, Ubuntu'da Küçük Bir Organizasyon İçin Samba Paylaşımı Nasıl Yapılır 16.04.

Bir önceki yazımız olan Laravel Projelerinize Kullanıcı E-posta Doğrulaması Ekleme başlıklı makalemizi de okumanızı öneririz.

About This Author

Comments are closed

%d blogcu bunu beğendi: