Conectarea mai multor zone Vultr cu N2N

• Cerințe preliminare
• Instalarea software-ului
• Instalare - Nodul Paris
• Instalare - Nod Miami
• Instalare - Nodul Sydney
• Concluzie

N2N este o aplicație VPN de tip open source 2/3. Spre deosebire de multe alte programe VPN, N2N poate conecta calculatoare care se află în spatele unui router NAT. Acest lucru oferă un avantaj uriaș pentru a vă conecta la un mediu cloud fără a fi nevoie să vă bazați pe protocoale speciale, cum ar fi protocolul ESP (utilizat de ipsec). Pentru a realiza această conexiune, N2N folosește un supernod care poate rula informația între nodurile NAT'ed. Această conexiune VPN poate fi utilizată pentru a conecta mai multe instanțe Vultr în regiuni împreună.

Cerințe preliminare

• Trei instanțe de server Ubuntu 16.04 LTS x64. (Orice dimensiune va funcționa)
• Un utilizator sudo (sau cont root) .

În acest exemplu vom folosi trei noduri în mai multe zone:

• Paris
• Miami
• Sydney

Instalarea software-ului

Următoarele comenzi vor fi executate pe fiecare instanță.

Începeți prin instalarea build-essentialde la repo și libssl-dev, de asemenea , vom construi din cel mai nou cod sursă.

apt-get install -y build-essential libssl-dev

Apoi, descărcați codul sursă de la github.

cd /tmp
git clone https://github.com/ntop/n2n.git

Compilați toate binarele.

cd n2n 
make
make install

make installComandă va fi creat supernodeși edgefișierele binare din /usr/sbindirectorul. Finalizați prin curățarea fișierelor.

rm -rf /tmp/n2n

Instalare - Nodul Paris

Primul nod va fi așa numitul nostru supernod. Acest supernod va porni serviciul supernod care va asculta pe portul UDP 1200. În mod implicit, aplicația N2N nu creează un fișier de serviciu. Deci va trebui să ne oferim propriile noastre.

Creați fișierul de serviciu 'n2n_supernode':

nano /etc/systemd/system/n2n_supernode.service

Adăugați următorul conținut:

[Unit]
Description=n2n supernode
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/supernode -l 1200

[Install]
WantedBy=multi-user.target

Directiva „-l” definește portul UDP 1200. Acesta este portul pe care va asculta supernodul. Pentru a vă asigura că totul funcționează, porniți serviciul de supernod:

systemctl start n2n_supernode

Verificați starea supernodului.

systemctl status n2n_supernode

Acest lucru va arăta o stare similară cu cea următoare.

● n2n_supernode.service - n2n supernode
   Loaded: loaded (/etc/systemd/system/n2n_supernode.service; disabled; vendor prese
   Active: active (running) since Wed 2018-08-15 17:07:46 UTC; 5s ago
 Main PID: 4711 (supernode)
    Tasks: 1
   Memory: 80.0K
      CPU: 1ms
   CGroup: /system.slice/n2n_supernode.service
           └─4711 /usr/sbin/supernode -l 1200

În continuare vom crea serviciul de margine. Acest serviciu de margine va solicita un IP privat pentru comunicarea între celelalte muchii din alte zone Vultr.

Ca și în cazul serviciului de supernod, acesta va avea nevoie și de propriul fișier de servicii.

nano /etc/systemd/system/n2n_edge.service

Adăugați următorul conținut:

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target n2n_supernode.service

[Service]
ExecStart=/usr/sbin/edge -l localhost:1200 -c Vultr -a 192.168.1.1 -k mypassword -f

[Install]
WantedBy=multi-user.target

În acest fișier de serviciu am definit următoarele opțiuni ale liniei de comandă:

• -l localhost:1200: Aceasta se va conecta la localhost în portul UDP 1200.
• -c Vultr: Aceasta este comunitatea la care se va alătura marginea. Toate marginile din cadrul aceleiași comunități apar pe aceeași LAN (segmentul de rețea 2). Marginile care nu sunt în aceeași comunitate nu vor comunica între ele.
• -a 192.168.1.1: IP alocat acestei interfețe. Aceasta este adresa revendicat de LAN virtuală N2N.
• -k mypassword: Parola folosită pentru fiecare muchie. Toate marginile care comunică trebuie să folosească același nume cheie și comunitate.
• -f: Dezactivează modul daemon și determină rularea muchiei în prim plan. Acest lucru este necesar pentru fișierul de service, altfel systemctlnu va porni serviciul.

Pentru a vă asigura că totul funcționează, începeți serviciul.

systemctl start n2n_edge

Apoi, întrebați starea serviciului.

systemctl status n2n_edge   

Producția va fi similară cu cea următoare.

● n2n_edge.service - n2n edge
   Loaded: loaded (/etc/systemd/system/n2n_edge.service; disabled; vendor preset: en
   Active: active (running) since Wed 2018-08-15 17:10:46 UTC; 3s ago
 Main PID: 4776 (edge)
    Tasks: 1
   Memory: 396.0K
      CPU: 8ms
   CGroup: /system.slice/n2n_edge.service
           └─4776 /usr/sbin/edge -l localhost:1200 -c Vultr -a 192.168.1.1 -k mypass

Dacă verificăm „ifconfig”, veți vedea IP-ul virtual N2N revendicat de edge0interfață.

ifconfig

Producția va fi similară cu cea următoare.

edge0     Link encap:Ethernet  HWaddr 42:14:55:64:7d:21
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4014:55ff:fe64:7d21/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

După ce se face acest lucru, activați și creați regulile firewall-ului. Asigurați-vă că înlocuiți node_miami_ipși node_sydney_iptextul cu IP-ul public al instanței Sydney și Miami. (Le vom folosi mai târziu).

ufw allow 22/tcp
ufw allow from node_miami_ip to any port 1200
ufw allow from node_sydney_ip to any port 1200
ufw enable

Ultimul lucru de făcut cu acest nod este activarea ambelor servicii la pornire.

systemctl enable n2n_supernode.service
systemctl enable n2n_edge.service

Instalare - Nod Miami

Nodul Miami se va conecta la super-nodul care rulează în prezent în zona Paris. Pentru a realiza acest lucru, trebuie doar să creăm un fișier de serviciu pentru edgeaplicație.

Începeți prin crearea unui fișier service edge.

nano /etc/systemd/system/n2n_edge.service

Adăugați următorul conținut.

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/edge -l node_paris_ip:1200 -c Vultr -a 192.168.1.2 -k mypassword -f

[Install]
WantedBy=multi-user.target

Notă : Înlocuiți node_paris_ipIP-ul cu IP-ul public al instanței care rulează la Paris

Aceasta se va conecta la nodul din Paris pe portul UDP 1200, se va alătura comunității ' Vultr', va revendica IP 192.168.1.2și se va autentifica cu ' mypassword'.

Apoi, porniți serviciul.

systemctl start n2n_edge

Verificați starea pentru a indica faptul că serviciul a început corect și este în funcțiune.

systemctl status n2n_edge   

Apoi, asigurați-vă că edge0IP - ul este solicitat.

ifconfig

Va afișa 192.168.1.2adresa IP.

edge0     Link encap:Ethernet  HWaddr 42:14:55:64:7d:21
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4014:55ff:fe64:7d21/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

Următorul lucru de făcut este să activați serviciul la pornire.

systemctl enable n2n_edge.service

Opțional, activați firewallul și adăugați regulile SSH.

ufw allow 22/tcp
ufw enable

Acum vom putea face ping pe ambele margini care rulează în instanțele noastre.

La Paris, faceți clic pe instanța Vultr din Miami

ping 192.168.1.2

La Miami, ping marginea la Paris

ping 192.168.1.1

Instalare - Nodul Sydney

În cele din urmă, vom adăuga ultimul nostru continent la mix: Australia. Începeți din nou prin crearea unui service edge, acest serviciu edge se va conecta și la supernodul configurat anterior din Paris.

nano /etc/systemd/system/n2n_edge.service

Adăugați următorul conținut.

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/edge -l node_paris_ip:1200 -c Vultr -a 192.168.1.3 -k mypassword -f

[Install]
WantedBy=multi-user.target

Notă : Înlocuiți node_paris_ipIP-ul cu IP-ul public al instanței care rulează la Paris.

Aceasta se va conecta la nodul din Paris pe portul UDP 1200, se va alătura comunității ' Vultr', va revendica IP 192.168.1.3și se va autentifica cu ' mypassword'.

systemctl start n2n_edge

Verificați starea pentru a vă asigura că serviciul este pornit.

systemctl status n2n_edge   

Asigurați-vă că edge0IP - ul este solicitat.

edge0     Link encap:Ethernet  HWaddr 46:56:b0:e9:8f:8a
          inet addr:192.168.1.3  Bcast:192.168.1.255  Mask:255.255.255.0
        inet6 addr: fe80::4456:b0ff:fee9:8f8a/64 Scope:Link
        UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
        RX packets:0 errors:0 dropped:0 overruns:0 frame:0
        TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:1000
        RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

Din nou, activați acest serviciu la pornire.

systemctl enable n2n_edge.service

Opțional, activați firewallul și adăugați regulile SSH.

ufw allow 22/tcp
ufw enable

Vom putea acum să ping fiecare instanță Vultr din fiecare nod.

ping 192.168.1.1
ping 192.168.1.2
ping 192.168.1.3

Dacă doriți să testați conexiunea între fiecare muchie a nodului, activați regulile firewallului în cazurile din Miami și Paris. Acest lucru va permite comunicarea între margini.

În Miami, adăugați următoarele reguli. (Asigurați-vă că înlocuiți node_paris_ipși node_sydney_iptextul cu IP-urile publice ale instanțelor Sydney și Paris.)

ufw allow from node_paris_ip to any port 1200
ufw allow from node_sydney_ip to any port 1200

În Sydney, adăugați următoarele reguli.

ufw allow from node_paris_ip to any port 1200
ufw allow from node_miami_ip to any port 1200

Acum puteți opri sau reporni supernodul. Conexiunile de rețea vor continua să existe. Doar noile muchii vor suferi probleme de conectivitate în timp ce serviciul supernodului este redus.

Concluzie

Am configurat cu succes o conexiune VPN între mai multe zone. Aceasta ar trebui să ofere destul de multe posibilități noi pentru scenarii de înaltă disponibilitate mediului nostru nou configurat.