Підключення кількох зон Vultr за допомогою N2N

N2N — це програма VPN рівня 2/3 з відкритим вихідним кодом. На відміну від багатьох інших програм VPN, N2N може підключати комп'ютери, розташовані за маршрутизатором NAT. Це дає величезну перевагу для підключення до хмарного середовища без необхідності покладатися на спеціальні протоколи, такі як протокол ESP (використовується ipsec). Для досягнення цього з’єднання N2N використовує супервузол, який може маршрутизувати інформацію між вузлами з NAT. Це VPN-з’єднання можна використовувати для підключення кількох екземплярів Vultr у різних регіонах разом.

Передумови

• Три екземпляри сервера Ubuntu 16.04 LTS x64. (Будь-який розмір підійде)
• Користувач sudo (або обліковий запис root) .

У цьому прикладі ми будемо використовувати три вузли в кількох зонах:

• Париж
• Майамі
• Сідней

Установка програмного забезпечення

Наведені нижче команди будуть виконуватися для кожного екземпляра.

Почніть з встановлення build-essentialз репозиторії, а також libssl-dev, оскільки ми будемо будувати з останнього вихідного коду.

apt-get install -y build-essential libssl-dev

Далі завантажте вихідний код з github.

cd /tmp
git clone https://github.com/ntop/n2n.git

Скомпілювати всі двійкові файли.

cd n2n 
make
make install

make installКоманда буде створена supernodeі edgeвиконавчі файли в /usr/sbinкаталозі. Завершіть очищення файлів.

rm -rf /tmp/n2n

Установка - Node Paris

Перший вузол буде нашим так званим супервузлом. Цей супервузол запустить службу супервузла, яка прослуховуватиме порт UDP 1200. За замовчуванням програма N2N не створює службовий файл. Тому нам потрібно буде надати свої власні.

Створіть службовий файл 'n2n_supernode':

nano /etc/systemd/system/n2n_supernode.service

Додайте такий вміст:

[Unit]
Description=n2n supernode
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/supernode -l 1200

[Install]
WantedBy=multi-user.target

Директива '-l' визначає порт UDP 1200. Це порт, на якому буде слухати супервузол. Щоб переконатися, що все працює, запустіть службу supernode:

systemctl start n2n_supernode

Перевірте стан супервузла.

systemctl status n2n_supernode

Це покаже статус, подібний до наведеного нижче.

● n2n_supernode.service - n2n supernode
   Loaded: loaded (/etc/systemd/system/n2n_supernode.service; disabled; vendor prese
   Active: active (running) since Wed 2018-08-15 17:07:46 UTC; 5s ago
 Main PID: 4711 (supernode)
    Tasks: 1
   Memory: 80.0K
      CPU: 1ms
   CGroup: /system.slice/n2n_supernode.service
           └─4711 /usr/sbin/supernode -l 1200

Далі ми створимо граничний сервіс. Ця гранична служба вимагатиме приватного IP-адресу для зв’язку між іншими периферією в інших зонах Vultr.

Як і для служби супервузлів, для цього також знадобиться власний сервісний файл.

nano /etc/systemd/system/n2n_edge.service

Додайте такий вміст:

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target n2n_supernode.service

[Service]
ExecStart=/usr/sbin/edge -l localhost:1200 -c Vultr -a 192.168.1.1 -k mypassword -f

[Install]
WantedBy=multi-user.target

У цьому службовому файлі ми визначили такі параметри командного рядка:

• -l localhost:1200: Це з'єднає з локальним хостом через порт UDP 1200.
• -c Vultr: Це спільнота, до якої приєднається край. Усі межі в межах однієї спільноти з’являються в одній локальній мережі (сегмент мережі 2 рівня). Краї, які не знаходяться в одній спільноті, не будуть спілкуватися один з одним.
• -a 192.168.1.1: IP-адреса, призначена цьому інтерфейсу. Це IP-адреса віртуальної локальної мережі N2N, яка заявлена.
• -k mypassword: пароль, який використовується для кожного краю. Усі межі, що спілкуються, повинні використовувати той самий ключ і ім’я спільноти.
• -f: вимикає режим демона і запускає edge на передньому плані. Це потрібно для службового файлу, інакше systemctlслужба не запуститься.

Щоб переконатися, що все працює, запустіть службу.

systemctl start n2n_edge

Потім запитайте статус служби.

systemctl status n2n_edge   

Вихід буде подібним до наступного.

● n2n_edge.service - n2n edge
   Loaded: loaded (/etc/systemd/system/n2n_edge.service; disabled; vendor preset: en
   Active: active (running) since Wed 2018-08-15 17:10:46 UTC; 3s ago
 Main PID: 4776 (edge)
    Tasks: 1
   Memory: 396.0K
      CPU: 8ms
   CGroup: /system.slice/n2n_edge.service
           └─4776 /usr/sbin/edge -l localhost:1200 -c Vultr -a 192.168.1.1 -k mypass

Якщо ми перевіримо 'ifconfig', ви побачите, що інтерфейс запитує віртуальну IP-адресу N2N edge0.

ifconfig

Вихід буде подібним до наступного.

edge0     Link encap:Ethernet  HWaddr 42:14:55:64:7d:21
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4014:55ff:fe64:7d21/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

Коли це буде зроблено, увімкніть та створіть правила брандмауера. Переконайтеся в тому , щоб замінити node_miami_ipі node_sydney_ipтекст з публічним IP примірника Сідней і Майамі. (Ми будемо використовувати їх пізніше).

ufw allow 22/tcp
ufw allow from node_miami_ip to any port 1200
ufw allow from node_sydney_ip to any port 1200
ufw enable

Останнє, що потрібно зробити з цим вузлом, — увімкнути обидві служби під час завантаження.

systemctl enable n2n_supernode.service
systemctl enable n2n_edge.service

Установка - Node Miami

Вузол Майамі з’єднається з супервузлом, який зараз працює в зоні Парижа. Для цього нам потрібно лише створити службовий файл для edgeпрограми.

Почніть зі створення файлу служби edge.

nano /etc/systemd/system/n2n_edge.service

Додайте наступний вміст.

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/edge -l node_paris_ip:1200 -c Vultr -a 192.168.1.2 -k mypassword -f

[Install]
WantedBy=multi-user.target

Примітка . Замініть на node_paris_ipзагальнодоступну IP-адресу екземпляра, що працює в Парижі

Це дозволить підключитися до вузла в Парижі через порт UDP 1200, приєднатися до спільноти ' Vultr', заявити IP-адресу 192.168.1.2та пройти автентифікацію за допомогою ' mypassword'.

Далі запустіть службу.

systemctl start n2n_edge

Перевірте статус на наявність ознак того, що служба запущена правильно та працює.

systemctl status n2n_edge   

Далі переконайтеся, що edge0IP заявлено.

ifconfig

Він покаже 192.168.1.2IP-адресу.

edge0     Link encap:Ethernet  HWaddr 42:14:55:64:7d:21
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4014:55ff:fe64:7d21/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

Наступне, що потрібно зробити, це увімкнути службу під час завантаження.

systemctl enable n2n_edge.service

За бажанням увімкніть брандмауер та додайте правила SSH.

ufw allow 22/tcp
ufw enable

Тепер ми зможемо перевірити обидва ребра, що працюють у наших екземплярах.

У Парижі відправте запит на екземпляр Vultr у Маямі

ping 192.168.1.2

У Маямі, ping edge в Парижі

ping 192.168.1.1

Установка - Node Sydney

Нарешті, ми додамо до суміші наш останній континент: Австралію. Почніть знову зі створення граничної служби, ця гранична служба також підключатиметься до попереднього налаштованого супервузла в Парижі.

nano /etc/systemd/system/n2n_edge.service

Додайте наступний вміст.

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/edge -l node_paris_ip:1200 -c Vultr -a 192.168.1.3 -k mypassword -f

[Install]
WantedBy=multi-user.target

Примітка . Замініть на node_paris_ipзагальнодоступну IP-адресу екземпляра, що працює в Парижі.

Це дозволить підключитися до вузла в Парижі через порт UDP 1200, приєднатися до спільноти ' Vultr', заявити IP-адресу 192.168.1.3та пройти автентифікацію за допомогою ' mypassword'.

systemctl start n2n_edge

Перевірте статус, щоб переконатися, що служба запущена.

systemctl status n2n_edge   

Переконайтеся, що edge0IP заявлено.

edge0     Link encap:Ethernet  HWaddr 46:56:b0:e9:8f:8a
          inet addr:192.168.1.3  Bcast:192.168.1.255  Mask:255.255.255.0
        inet6 addr: fe80::4456:b0ff:fee9:8f8a/64 Scope:Link
        UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
        RX packets:0 errors:0 dropped:0 overruns:0 frame:0
        TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:1000
        RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

Знову ж таки, увімкніть цю службу під час завантаження.

systemctl enable n2n_edge.service

За бажанням увімкніть брандмауер та додайте правила SSH.

ufw allow 22/tcp
ufw enable

Тепер ми зможемо перевірити кожен екземпляр Vultr з кожного вузла.

ping 192.168.1.1
ping 192.168.1.2
ping 192.168.1.3

Якщо ви хочете перевірити з’єднання між кожним краєм вузла, увімкніть правила брандмауера для екземплярів Майамі та Париж. Це дозволить спілкуватися між краями.

У Маямі додайте наступні правила. (Переконайтеся в тому , щоб замінити node_paris_ipі node_sydney_ipтекст з публічними IP - адресами у випадках , Сідней і Париж) .

ufw allow from node_paris_ip to any port 1200
ufw allow from node_sydney_ip to any port 1200

У Сіднеї додайте наступні правила.

ufw allow from node_paris_ip to any port 1200
ufw allow from node_miami_ip to any port 1200

Тепер ви можете вимкнути або перезавантажити супервузол. З'єднання з мережею продовжуватимуть існувати. Лише нові межі будуть мати проблеми з підключенням, поки служба супервузлів не працює.

Висновок

Ми успішно налаштували VPN-з’єднання між кількома зонами. Це має запропонувати досить багато нових можливостей для сценаріїв високої доступності для нашого нещодавно налаштованого середовища.