Свързване на множество Vultr зони с N2N

N2N е приложение с отворен код слой 2/3 VPN. За разлика от много други VPN програми, N2N може да свързва компютри, които се намират зад NAT рутер. Това предлага огромно предимство за свързване към облачна среда, без да се налага да разчитате на специални протоколи като ESP протокола (използван от ipsec). За да постигне тази връзка, N2N използва супервъзел, който може да маршрутизира информацията между NAT възли. Тази VPN връзка може да се използва за свързване на множество Vultr екземпляри в региони заедно.

Предпоставки

• Три сървърни екземпляра на Ubuntu 16.04 LTS x64. (Всеки размер ще работи)
• А Sudo (или корен сметка) на потребителя .

В този пример ще използваме три възела в множество зони:

• Париж
• Маями
• Сидни

Инсталиране на софтуера

Следните команди ще бъдат изпълнени на всеки екземпляр.

Започнете с инсталиране build-essentialот репо, а също и libssl-dev, тъй като ще изграждаме от най-новия изходен код.

apt-get install -y build-essential libssl-dev

След това изтеглете изходния код от github.

cd /tmp
git clone https://github.com/ntop/n2n.git

Компилирайте всички двоични файлове.

cd n2n 
make
make install

В make installкоманда ще са създали supernodeи edgeбинарни файлове в /usr/sbinдиректорията. Завършете с почистване на файловете.

rm -rf /tmp/n2n

Инсталация - Node Paris

Първият възел ще бъде нашият така наречен супервъзел. Този супервъзел ще стартира услугата на супервъзела, която ще слуша на UDP порт 1200. По подразбиране приложението N2N не създава служебен файл. Така че ще трябва да осигурим собствени.

Създайте служебния файл 'n2n_supernode':

nano /etc/systemd/system/n2n_supernode.service

Добавете следното съдържание:

[Unit]
Description=n2n supernode
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/supernode -l 1200

[Install]
WantedBy=multi-user.target

Директивата '-l' дефинира UDP порта 1200. Това е портът, на който супервъзела ще слуша. За да сте сигурни, че всичко работи, стартирайте услугата supernode:

systemctl start n2n_supernode

Проверете състоянието на супервъзела.

systemctl status n2n_supernode

Това ще покаже състояние, подобно на следното.

● n2n_supernode.service - n2n supernode
   Loaded: loaded (/etc/systemd/system/n2n_supernode.service; disabled; vendor prese
   Active: active (running) since Wed 2018-08-15 17:07:46 UTC; 5s ago
 Main PID: 4711 (supernode)
    Tasks: 1
   Memory: 80.0K
      CPU: 1ms
   CGroup: /system.slice/n2n_supernode.service
           └─4711 /usr/sbin/supernode -l 1200

След това ще създадем услугата edge. Тази гранична услуга ще изисква частен IP за комуникация между другите ръбове в други зони на Vultr.

Както при услугата supernode, това също ще се нуждае от собствен служебен файл.

nano /etc/systemd/system/n2n_edge.service

Добавете следното съдържание:

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target n2n_supernode.service

[Service]
ExecStart=/usr/sbin/edge -l localhost:1200 -c Vultr -a 192.168.1.1 -k mypassword -f

[Install]
WantedBy=multi-user.target

В този сервизен файл дефинирахме следните опции на командния ред:

• -l localhost:1200: Това ще се свърже с localhost на UDP порт 1200.
• -c Vultr: Това е общността, към която ръбът ще се присъедини. Всички ръбове в рамките на една и съща общност се появяват в една и съща LAN (мрежов сегмент от слой 2). Края, които не са в една и съща общност, няма да комуникират помежду си.
• -a 192.168.1.1: IP адресът, присвоен на този интерфейс. Това е заявеният виртуален LAN IP адрес на N2N.
• -k mypassword: Паролата, използвана за всеки ръб. Всички комуникиращи ръбове трябва да използват един и същ ключ и име на общността.
• -f: Деактивира режима на демон и кара edge да работи на преден план. Това е необходимо за сервизния файл, в противен случай systemctlняма да стартира услугата.

За да сте сигурни, че всичко работи, стартирайте услугата.

systemctl start n2n_edge

След това потърсете състоянието на услугата.

systemctl status n2n_edge   

Резултатът ще бъде подобен на следния.

● n2n_edge.service - n2n edge
   Loaded: loaded (/etc/systemd/system/n2n_edge.service; disabled; vendor preset: en
   Active: active (running) since Wed 2018-08-15 17:10:46 UTC; 3s ago
 Main PID: 4776 (edge)
    Tasks: 1
   Memory: 396.0K
      CPU: 8ms
   CGroup: /system.slice/n2n_edge.service
           └─4776 /usr/sbin/edge -l localhost:1200 -c Vultr -a 192.168.1.1 -k mypass

Ако проверим 'ifconfig', ще видите, че виртуалният IP адрес на N2N е заявен от edge0интерфейса.

ifconfig

Резултатът ще бъде подобен на следния.

edge0     Link encap:Ethernet  HWaddr 42:14:55:64:7d:21
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4014:55ff:fe64:7d21/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

След като това стане, активирайте и създайте правилата на защитната стена. Не забравяйте да замените node_miami_ipи node_sydney_ipтекста с публичния IP на екземпляра в Сидни и Маями. (Ще ги използваме по-късно).

ufw allow 22/tcp
ufw allow from node_miami_ip to any port 1200
ufw allow from node_sydney_ip to any port 1200
ufw enable

Последното нещо, което трябва да направите с този възел, е да активирате и двете услуги при стартиране.

systemctl enable n2n_supernode.service
systemctl enable n2n_edge.service

Инсталация - Node Miami

Възелът в Маями ще се свърже със супер възела, който в момента работи в зоната на Париж. За да постигнем това, трябва само да създадем служебен файл за edgeприложението.

Започнете със създаване на файл за услуга на край.

nano /etc/systemd/system/n2n_edge.service

Добавете следното съдържание.

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/edge -l node_paris_ip:1200 -c Vultr -a 192.168.1.2 -k mypassword -f

[Install]
WantedBy=multi-user.target

Забележка : Заменете node_paris_ipс публичния IP на екземпляра, работещ в Париж

Това ще се свърже с възела в Париж на UDP порт 1200, ще се присъедини към общността „ Vultr“, ще поиска IP 192.168.1.2и ще се удостовери с „ mypassword“.

След това стартирайте услугата.

systemctl start n2n_edge

Проверете състоянието за индикация, че услугата е стартирана правилно и работи.

systemctl status n2n_edge   

След това се уверете, че edge0IP адресът е заявен.

ifconfig

Ще покаже 192.168.1.2IP адреса.

edge0     Link encap:Ethernet  HWaddr 42:14:55:64:7d:21
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4014:55ff:fe64:7d21/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

Следващото нещо, което трябва да направите, е да активирате услугата при стартиране.

systemctl enable n2n_edge.service

По желание активирайте защитната стена и добавете SSH правилата.

ufw allow 22/tcp
ufw enable

Вече ще можем да пингуваме и двата ръба, работещи в нашите екземпляри.

В Париж пингувайте екземпляра Vultr в Маями

ping 192.168.1.2

В Маями, пинг на ръба в Париж

ping 192.168.1.1

Инсталация - Node Sydney

Накрая ще добавим нашия последен континент към микса: Австралия. Започнете отначало, като създадете гранична услуга, тази крайна услуга също ще се свърже с предишния конфигуриран супервъзел в Париж.

nano /etc/systemd/system/n2n_edge.service

Добавете следното съдържание.

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/edge -l node_paris_ip:1200 -c Vultr -a 192.168.1.3 -k mypassword -f

[Install]
WantedBy=multi-user.target

Забележка : Заменете node_paris_ipс публичния IP на екземпляра, работещ в Париж.

Това ще се свърже с възела в Париж на UDP порт 1200, ще се присъедини към общността „ Vultr“, ще поиска IP 192.168.1.3и ще се удостовери с „ mypassword“.

systemctl start n2n_edge

Проверете състоянието, за да се уверите, че услугата е стартирана.

systemctl status n2n_edge   

Уверете се, че edge0IP е заявен.

edge0     Link encap:Ethernet  HWaddr 46:56:b0:e9:8f:8a
          inet addr:192.168.1.3  Bcast:192.168.1.255  Mask:255.255.255.0
        inet6 addr: fe80::4456:b0ff:fee9:8f8a/64 Scope:Link
        UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
        RX packets:0 errors:0 dropped:0 overruns:0 frame:0
        TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:1000
        RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

Отново активирайте тази услуга при стартиране.

systemctl enable n2n_edge.service

По желание активирайте защитната стена и добавете SSH правилата.

ufw allow 22/tcp
ufw enable

Вече ще можем да пингуваме всеки екземпляр на Vultr от всеки възел.

ping 192.168.1.1
ping 192.168.1.2
ping 192.168.1.3

Ако искате да тествате връзката между всеки ръб на възел, активирайте правилата на защитната стена в случаите на Маями и Париж. Това ще позволи комуникация между ръбовете.

В Маями добавете следните правила. (Уверете се, че сте заменили node_paris_ipи node_sydney_ipтекста с публичните IP адреси на екземплярите в Сидни и Париж.)

ufw allow from node_paris_ip to any port 1200
ufw allow from node_sydney_ip to any port 1200

В Сидни добавете следните правила.

ufw allow from node_paris_ip to any port 1200
ufw allow from node_miami_ip to any port 1200

Сега можете да изключите или рестартирате супервъзела. Мрежовите връзки ще продължат да съществуват. Само новите ръбове ще страдат от проблеми със свързаността, докато услугата на супервъзела не работи.

Заключение

Успешно конфигурирахме VPN връзка между множество зони. Това би трябвало да предложи доста нови възможности за сценарии с висока наличност към нашата новоконфигурирана среда.