Il punto di partenza consiste appunto nel creare la rete virtuale che consentir\u00e0 ai nostri dispositivi di connettersi tra loro come se fossero connessi alla stessa rete locale (LAN). Per fare questo \u00e8 possibile utilizzare il controller Central ospitato da ZeroTier sul sito my.zerotier.com<\/a>, un portale UI basato sul web per la gestione delle reti virtuali. Per registrarsi sar\u00e0 sufficiente fornire la propria mail e una password e, una volta loggati sar\u00e0 possibile creare la propria rete virtuale, identificata da un ID univoco a 16 cifre. <\/p>\n\n\n\n L’ultimo passo consiste nell’installare il client di ZeroTier<\/a> su ogni dispositivo che si desidera collegare alla rete, con l’iscrizione gratuita per utilizzo non commerciale, si possono collegare fino a 100 dispositivi al controller di rete ZeroTier Central. Sono supportati praticamente tutti i sistemi pi\u00f9 diffusi, inclusi dispositivi mobili Android e iOs e i firmware di vari NAS come Sinology. Installata l’applicazione, ogni dispositivo sar\u00e0 a sua volta identificato da un ID di 10 cifre: baster\u00e0 semplicemente indicare le 16 cifre identificative della propria rete per avviare la configurazione automatica.<\/p>\n\n\n\n Noi l’abbiamo provato e abbiamo voluto spingerci oltre cercando di compiere un primo passo verso una soluzione self-hosted, configurando un nostro controller non esposto pubblicamente. In questo articolo vedremo infatti come configurare il proprio controller di rete autonomo<\/strong> senza dover necessariamente passare dalla registrazione a my.zerotier.com. <\/p>\n\n\n\n Configurare un controller autonomo \u00e8 abbastanza semplice: basta installare il software ZeroTier One<\/strong> e seguire le istruzioni di installazione seguenti per installare ztncui<\/strong> su una macchina Linux.<\/p>\n\n\n\n Colleghiamoci alla nostra macchina Linux ed iniziamo l’installazione del client. Le distribuzioni basate su Debian e RPM incluse Debian, Ubuntu, CentOS, RHEL, Fedora e altre sono supportate tramite uno script che aggiunge il repository giusto e installa il pacchetto. Il seguente comando \u00e8 mostrato anche nella pagina di download di ZeroTier zerotier.com\/download.shtml<\/a>.<\/p>\n\n\n\n A questo punto il client di Zerotier risulter\u00e0 installato nella nostra macchina, ora aggiungiamo il repository per scaricare Ztncui, ossia quello che sar\u00e0 il nostro controller.<\/p>\n\n\n\n Installiamolo con il seguente comando:<\/p>\n\n\n\n Opzionale: una volta installato ztncui possiamo installare i certificati SSL, di default verranno utilizzati dei certificati self-signed generati automaticamente, ma puoi generare i tuoi compilandoli con le tue informazioni personali utilizzando i seguenti comandi:<\/p>\n\n\n\n Limitiamo l’accesso alla porta 3443 sull’interfaccia di rete pubblica al nostro indirizzo IP (almeno fino a quando non viene impostata la password dell’amministratore).<\/p>\n\n\n\n Avendo gi\u00e0 un certificato e una chiave privata, dovresti essere in grado di accedere a ztncui su HTTPS sulla porta specificata da HTTPS_PORT.<\/p>\n\n\n\n A questo punto possiamo utilizzare il nostro controller, connettiamoci tramite HTTPS sulla porta 3443 tramite web browser, https: \/\/<indirizzoIPmacchina>: 3443<\/strong><\/p>\n\n\n\n Accedi come utente admin<\/strong> con password password<\/strong> .<\/p>\n\n\n\n Successivamente \u00e8 possibile creare ulteriori utenti tramite il menu User>Create User<\/strong> inserendo username, password e specificando se la password sar\u00e0 da modificare al primo login. <\/p>\n\n\n\n Una volta fatto ci\u00f2, i nuovi utenti appariranno nell’elenco (\u00e8 consigliato eliminare l’account admin creato di default tramite l’apposita icona).<\/p>\n\n\n\n Dal menu Network <\/strong>\u00e8 possibile creare la rete che ci permetter\u00e0 di collegare tutti i device remoti. Clicchiamo su Add Network<\/strong> e scegliamo un nome per la nostra rete.<\/p>\n\n\n\n Torniamo nella Home dove \u00e8 possibile individuare l’ID a 16 cifre della rete virtuale appena creata. Cliccando su List all networks on this controller<\/strong> sar\u00e0 possibile configurare la nostra rete.<\/p>\n\n\n\n Clicchiamo su easy setup<\/strong>.<\/p>\n\n\n\n Abbiamo la possibilit\u00e0 di assegnare o generare automaticamente una classe di IP per la rete virtuale e impostare l’intervallo degli indirizzi che verranno usati dai dispositivi che aggiungeremo.<\/p>\n\n\n\n Una volta confermato torniamo alla pagina precedente; cliccando su details <\/strong>potremo avere maggiori informazioni sulla rete appena creata.<\/p>\n\n\n\n Cliccando invece su members <\/strong>potremo consultare la lista dei dispositivi aggiunti. Ovviamente la lista risulter\u00e0 vuota. <\/p>\n\n\n\n Possiamo per\u00f2 aggiungere il nostro stesso controller digitando sul nostro terminale il comando:<\/p>\n\n\n\n Dove [networkID] \u00e8 il codice da 16 cifre che identifica la nostra rete. Potrai verificare lo stato della connessione con il comando:<\/p>\n\n\n\n In questa fase un errore tipo \u201cACCESS_DENIED\u201d \u00e8 normale, poich\u00e9 il client<\/em> deve essere abilitato. Rechiamoci dunque nella sezione Network>Members<\/strong> del nostro controller, verr\u00e0 mostrato l’ID del dispositivo appena aggiunto al quale possiamo assegnare un nome in modo da riconoscerlo pi\u00f9 facilmente. Abilitando il flag autorizzeremo il dispositivo ad entrare a far parte della nostra rete, possiamo infatti notare che gli \u00e8 stato assegnato automaticamente un IP appartenente al pool impostato in precedenza (volendo \u00e8 possibile modificarlo).<\/p>\n\n\n\n Per aggiungere invece gli altri dispositivi possiamo scaricare il client sempre dalla pagina di Download<\/a> di ZeroTier. Sar\u00e0 possibile selezionare l’icona corrispondente al sistema operativo del dispositivo che desideriamo aggiungere alla rete.<\/p>\n\n\n\n Se ad esempio selezioniamo Windows scaricheremo il pacchetto .msi da installare direttamente sulla macchina. Possiamo collegare anche dispositivi mobili attraverso l’app Zerotier One disponibile sia sul Play Store che sull’Apple Store. Il procedimento sar\u00e0 analogo a quello spiegato in precedenza: installare il client, fare il join alla rete identificata dalle 16 cifre e abilitare dalla dashboard del nostro controller i dispositivi aggiunti. Nell’immagine successiva verranno mostrati i diversi client che noi abbiamo aggiunto durante la nostra prova.<\/p>\n\n\n\n Da questo momento in poi i nostri dispositivi saranno raggiungibili anche a distanza, da qualsiasi destinazione utilizzando gli IP assegnati.<\/p>\n\n\n\n Il fatto di dover utilizzare degli indirizzi ip diversi da quelli della LAN dell’uffico per identificare i nostri dispositivi aziendali non ci entusiasmava, sarebbe stato pi\u00f9 comodo collegarsi alle macchine senza dover ricordare tutti gli ip virtuali assegnati dalla rete ZeroTier. Cos\u00ec, guardando tra la documentazione abbiamo trovato un modo per farlo.<\/p>\n\n\n\n I passaggi da eseguire sono i seguenti:<\/p>\n\n\n\n Questa \u00e8 una tabella riassuntiva contenente i parametri di esempio che ci serviranno per la configurazione, da sostituire con la vostra configurazione.<\/p>\n\n\n\n All’interno della rete LAN sar\u00e0 necessario configurare un macchina Ubuntu, installare il client di ZeroTier e aggiungere la macchina alla rete virtuale abilitandola in modo che ottenga un IP, come mostrato in precedenza. In questo passaggio aggiungeremo un’altra route per qualsiasi device connesso all rete di ZeroTier. Rechiamoci in Network>details<\/strong> come mostrato in precedenza e in seguito clicchiamo su routes<\/strong>.<\/p>\n\n\n\n Nella pagina verr\u00e0 mostrato l’attuale route esistente, creato di default in fase di creazione rete virtuale. Ne aggiungeremo uno nuovo impostando come target <\/strong>la classe di IP che identifica la nostra rete fisica aziendale e come gateway <\/strong>l’indirizzo IP virtuale della macchina linux. E’ consigliato configurare la classe del target con una subnet leggermente pi\u00f9 grande della subnet fisica effettiva, in modo che i dispositivi che si trovano sia sulla rete fisica che su quella virtuale di ZeroTier preferiscano comunque la connessione fisica. Nel nostro esempio la nostra lan interna \u00e8 192.168.1.0\/24 quindi imposteremo 192.168.1.0\/23 invece di \/24 (un numero pi\u00f9 piccolo \u00e8 una sottorete pi\u00f9 grande in questa notazione) mentre l’IP virtuale del gateway, nonch\u00e9 del nostro controller, \u00e8 84.100.10.100. <\/p>\n\n\n\n Clicchiamo su submit <\/strong>e la nuova route verr\u00e0 aggiunta all’elenco.<\/p>\n\n\n\n A questo punto colleghiamoci al terminale Linux e modifichiamo il file \/etc\/sysctl.conf<\/strong> utilizzando il comando<\/p>\n\n\n\n e scommentiamo la riga relativa a net.ipv4.ip_forward<\/strong> cancellando #<\/strong>. Salviamo e chiudiamo il file premendo Esc <\/strong>e digitando :wq!<\/strong> seguiti dal tasto invio di conferma.<\/p>\n\n\n\n Il forwarding verr\u00e0 abilitato al successivo riavvio della macchina, per abilitarlo subito digitare il comando:<\/p>\n\n\n\n Sempre dalla shell di Ubuntu assegnamo due variabili che ci renderanno pi\u00f9 facili i successivi comandi. I valori assegnati corrispondono alle 2 interfacce di rete della macchina, per visualizzarle digitare ifconfig <\/strong>tramite shell; otterrete qualcosa di simile a eth0 e ztnnig26. Impostiamo le variabili con il seguente comando:<\/p>\n\n\n\n Aggiungiamo le regole a ip tables:<\/p>\n\n\n\n Salviamo le regole anche per il prossimo avvio<\/p>\n\n\n\n Ora non resta che testare la configurazione;<\/p>\n\n\n\n Ovviamente ZeroTier<\/em> offre molto di pi\u00f9 di quanto descritto in questo articolo, basta consultare il manuale per rendersi conto delle sue potenzialit\u00e0. Diciamo che, dopo aver letto il manuale, abbiamo deciso di provare a ottenere una soluzione self-hosted decidendo di presentare questo interessante prodotto attraverso una veloce guida. Abbiamo avuto ottime impressioni anche relative alla velocit\u00e0 di connessione, paragonabile a quella della nostra VPN point to site che utilizziamo abitualmente. N.B. Per situazioni pi\u00f9 critical<\/em>, dove ad esempio sono in gioco dati riservati o apparecchiature particolari conviene puntare su soluzioni VPN gestite interamente in-house<\/em> piuttosto che software di terze parti, se hai bisogno di conoscere la soluzione migliore per te contattaci pure!<\/p>\n\n\n\n <\/p>\n\n\n\n https:\/\/www.zerotier.com\/manual\/<\/a><\/p>\n\n\n\n https:\/\/zerotier.atlassian.net\/wiki\/spaces\/SD\/overview<\/a><\/p>\n\n\n\n https:\/\/www.zerotier.com\/2019\/09\/24\/zerotier-2-0-status\/<\/a><\/p>\n\n\n\nConfigurare un controller di rete autonomo<\/strong><\/h3>\n\n\n\n
Prerequisiti<\/h4>\n\n\n\n
Installazione<\/h4>\n\n\n\n
curl -s https:\/\/install.zerotier.com | sudo bash<\/code><\/pre>\n\n\n\ncurl -O https:\/\/s3-us-west-1.amazonaws.com\/key-networks\/deb\/ztncui\/1\/x86_64\/ztncui_0.5.8_amd64.deb<\/code><\/pre>\n\n\n\nsudo apt-get install .\/ztncui_0.5.8_amd64.deb<\/code><\/pre>\n\n\n\nsudo -i<\/code><\/pre>\n\n\n\ncd \/opt\/key-networks\/ztncui\/etc\/tls<\/code><\/pre>\n\n\n\nrm -f privkey.pem fullchain.pem<\/code><\/pre>\n\n\n\nopenssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privkey.pem -out fullchain.pem<\/code><\/pre>\n\n\n\nchown ztncui.ztncui *.pem<\/code><\/pre>\n\n\n\nchmod 600 privkey.pem<\/code><\/pre>\n\n\n\nsudo sh -c \"echo 'HTTPS_PORT = 3443'> \/opt\/key-networks\/ztncui\/.env\"<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-21-1-1024x299.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-22-1-1024x265.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-24-1-1024x272.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-25-1-1024x262.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-26-1-1024x263.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-23a-1-1024x261.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-27-2-1024x259.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-28-2-1024x385.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-31-2-1024x301.png\")
<\/figure>\n\n\n\nsudo zerotier-cli join [networkID]<\/code><\/pre>\n\n\n\nsudo zerotier-cli status<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-34-2-1024x298.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-33-1024x293.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-36-3-1024x463.png\")
<\/figure>\n\n\n\nInstradamento tra ZeroTier e reti fisiche<\/h4>\n\n\n\n
Info<\/th> ESEMPIO<\/th> Variabile<\/th><\/tr> Network ID ZeroTier<\/td> 865e7201263ef8e07<\/td> $NETWORK_ID<\/td><\/tr> Nome interfaccia ZeroTier<\/td> zt7nnig26<\/td> $ZT_IFACE<\/td><\/tr> Physical Interface Name<\/td> eth0<\/td> $PHY_IFACE<\/td><\/tr> Subnet di ZeroTier<\/td> 10.100.10.0\/24<\/td> <\/td><\/tr> Subnet Fisica Ufficio (Target)<\/td> 192.168.1.0\/24<\/td> $PHY_SUB<\/td><\/tr> ZeroTier Indirizzo IP del Gateway<\/td> 84.100.10.100<\/td> $ZT_ADDR<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 1.Installare ZeroTier su una macchina Linux<\/strong> che funger\u00e0 da gateway<\/strong><\/h6>\n\n\n\n
Nel nostro caso il controller stesso \u00e8 parte della rete fisica quindi utilizzeremo quella stessa macchina come “router”.<\/p>\n\n\n\n2.Aggiungere un percorso gestito alla rete ZeroTier sul nostro controller<\/h6>\n\n\n\n
![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-42-1-1024x476.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/cloudsurfers.it\/wp-content\/uploads\/2020\/11\/Screenshot-43-1-1024x406.png\")
<\/figure>\n\n\n\n3.Abilitare IP forwarding<\/strong><\/h6>\n\n\n\n
sudo vi \/etc\/sysctl.conf<\/code><\/pre>\n\n\n\nsudo sysctl -w net.ipv4.ip_forward=1<\/code><\/pre>\n\n\n\n4.Configurare iptables<\/h6>\n\n\n\n
PHY_IFACE=eth0; ZT_IFACE=zt7nnig26<\/code><\/pre>\n\n\n\nsudo iptables -t nat -A POSTROUTING -o $PHY_IFACE -j MASQUERADE<\/code><\/pre>\n\n\n\nsudo iptables -A FORWARD -i $PHY_IFACE -o $ZT_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT<\/code><\/pre>\n\n\n\nsudo iptables -A FORWARD -i $ZT_IFACE -o $PHY_IFACE -j ACCEPT<\/code><\/pre>\n\n\n\nsudo apt install iptables-persistent\nsudo bash -c iptables-save > \/etc\/iptables\/rules.v4<\/code><\/pre>\n\n\n\nTest!<\/h3>\n\n\n\n
Conclusioni<\/h3>\n\n\n\n
Ovviamente quanto mostrato in questo articolo \u00e8 solo un primo passo per avere un’infrastruttura del tutto indipendente. Al momento per stabilire le connessioni tra i diversi peer vengono comunque utilizzati i 4 root server di zerotier dislocati in diverse aree geografiche. La versione attuale di zerotier permetterebbe la creazione dei propri root server ma questa funzionalit\u00e0 \u00e8 ancora considerata in qualche modo sperimentale, quindi abbiamo deciso di fermarci qui per il momento visto l’imminente arrivo della versione 2.0. Dunque non ci resta che attendere l’arrivo della nuova versione per scoprire se ci saranno interessanti novit\u00e0.
<\/p>\n\n\n\nLink utili<\/h6>\n\n\n\n