ZeroTier One (ZT) umožňuje bezpečné připojení jakéhokoli zařízení kdekoli. Pomocí software můžete vytvářet vlastní zabezpečené sítě mezi místními cloudovými, stolními a mobilními zařízeními. Nejedná se o klasickou VPN, prakticky jde o software SD-WAN router. Mimo obvyklé VPN použití zvládne například routovat pakety napřímo i do neveřejné sítě.
Obsah
ZeroTier One + Zabbix Agent
Přesnější by bylo zmínit nejdřív Zabbix Server, no v případě monitoringu (Linux, Windows, Free BSD) serveru na veřejné IP adrese ze Zabbix serveru který běží na neveřejné IP adrese za použití – a tady je pointa – aktivního monitorování, je nutné nastavit v Zabbix Agent konfiguraci (na sledovaném serveru) zejména dvě stěžejní proměnné. IP adresu Zabbix serveru a Hostname. Konfigurace Hostname (i když matoucí) je jednoduchá. Je to libovolné jméno sledovaného serveru, pod kterým je uložena Active Agent konfiguraci sledovaného (tedy externího serveru) v konfiguraci (lokálního) Zabbix serveru.
Potíž je samozřejmě s veřejnou IP adresu Zabbix serveru (běží v příkladu na neveřejné IP adrese) kterou je nutné pro funkční Active Agent monitorování zadat do konfigurace Zabbix Agenta na externím serveru. Pokud čtete tento článek nejenže víte co Zabbix je ale zajisté jej již máte plně skonfigurovaný a fukční – dál se tedy venujeme pouze ZeroTier konfiguraci.
Debian 11 + ZeroTier instalace
Existují dva druhy instalace. Bez a s podporou GPG. Instalace s podporou (musí být instalovaný) GPG
curl -s 'https://raw.githubusercontent.com/zerotier/ZeroTierOne/master/doc/contact%40zerotier.com.gpg' | gpg --import && if z=$(curl -s 'https://install.zerotier.com/' | gpg); then echo "$z" | sudo bash; fi
Instalační log na konci kterého najdete 10 místní číslo pod kterám najdete nového uživatele vaší SD-WAN sítě.
gpg: key 1657198823E52A61: public key "ZT, Inc. (ZT Support and Release Signing Key) <contact@zt.com>" imported gpg: Total number processed: 1 gpg: imported: 1 gpg: WARNING: no command supplied. Trying to guess what you mean ... gpg: Signature made Fri Apr 29 01:21:38 2022 CEST gpg: using RSA key 74A5E9C458E1A431F1DA57A71657198823E52A61 gpg: issuer "contact@zt.com" gpg: Good signature from "ZT, Inc. (ZT Support and Release Signing Key) <contact@zt.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 74A5 E9C4 58E1 A431 F1DA 57A7 1657 1988 23E5 2A61 *** ZT Service Quick Install for Unix-like Systems *** Tested OSes / distributions: *** MacOS (10.13+) (just installs ZT One.pkg) *** Debian Linux (7+) *** RedHat/CentOS Linux (6+) *** Fedora Linux (16+) *** SuSE Linux (12+) *** Mint Linux (18+) *** Supported architectures vary by OS / distribution. We try to support *** every system architecture supported by the target. *** Please report problems to contact@zt.com and we will try to fix. *** Detecting Linux Distribution *** Found Debian, creating /etc/apt/sources.list.d/zerotier.list Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)). OK *** Installing zt-one package... Preparing to unpack .../zt-one_1.10.1_amd64.deb ... Unpacking zt-one (1.10.1) ... Setting up zt-one (1.10.1) ... Created symlink /etc/systemd/system/multi-user.target.wants/zt-one.service → /lib/systemd/system/zt-one.service. Processing triggers for man-db (2.9.4-2) ... *** Enabling and starting ZT service... Synchronizing state of zt-one.service with SysV service script with /lib/systemd/systemd-sysv-install. Executing: /lib/systemd/systemd-sysv-install enable zt-one *** Waiting for identity generation... *** Success! You are ZeroTier address [ a12345b6c7 ].
Ve web rozhraní ZeroTier účtu vytvoříme (nebo použijeme již existující) síť. V našem příkladu používáme ID sítě 123abdce12345679.
Po instalaci v předešlém kroku: Přidáme sledovaný server do sítě 123abdce12345679 (jako root nebo s jiným odpovidajícím oprávněním).
zerotier-cli join 123abdce12345679
Následně ve web rozhraní rozklikneme sítě s ID 123abdce12345679 a označíme (lze přiradit i jméno) nového člena sítě a12345b6c7 a tím jej zároveň i autorizujeme.
Vizualizace
Konfigurace Zabbix Agent
nano /etc/zabbix/zabbix_agentd.conf
Adresa aktivního serveru je IP adresa z přiděleného LAN rozsahu (viz Managed IPs) v nastavení sítě ZeroTier účtu.
Hostname (Název hosta) je první řádek v konfiguraci Hostitele v nastaveni Zabbix serveru.
Debug
Tak to vypadá když hostitele pojmenuje jinak než jaké následně uvedete jméno v konfiguraci agenta
host@solomon:~# tail -f /var/log/zabbix/zabbix_agentd.log 320743:20220927:204619.670 TLS support: YES 320743:20220927:204619.670 ************************** 320743:20220927:204619.670 using configuration file: /etc/zabbix/zabbix_agentd.conf 320743:20220927:204619.670 agent #0 started [main process] 320744:20220927:204619.671 agent #1 started [collector] 320745:20220927:204619.671 agent #2 started [listener #1] 320747:20220927:204619.672 agent #4 started [listener #3] 320748:20220927:204619.673 agent #5 started [active checks #1] 320746:20220927:204619.674 agent #3 started [listener #2] 320748:20220927:204619.828 no active checks on server [192.122.232.61:10051]: host [solomon.server] not found
Tak pro změnu pokud je vše v pořádku
user@solomon:~# tail -f /var/log/zabbix/zabbix_agentd.log 321057:20220927:204902.492 IPv6 support: YES 321057:20220927:204902.492 TLS support: YES 321057:20220927:204902.492 ************************** 321057:20220927:204902.492 using configuration file: /etc/zabbix/zabbix_agentd.conf 321057:20220927:204902.492 agent #0 started [main process] 321062:20220927:204902.494 agent #3 started [listener #2] 321060:20220927:204902.494 agent #1 started [collector] 321061:20220927:204902.495 agent #2 started [listener #1] 321066:20220927:204902.497 agent #5 started [active checks #1] 321064:20220927:204902.501 agent #4 started [listener #3]
V případě, že používáte firewall je nutné povolit příchozí spojení z IP adresy lokálního serveru na port 10050
Užitečné
Changelog Zabbix 6.2.3
Domovská stránka Zabbix
Domovská stránka ZeroTier