Настройка динамического обновления
Чтобы настроить динамическое обновление, откройте /etc/dhcp/dhcpd.conf, выполнив команду:
Строку ddns-update-style none нужно заменить на ddns-update-style interim. Далее добавьте строку update-static-leases on, которая отвечает за создание зон для клиентов со статичным IP. Убедитесь, что в option domain-name содержится название домена «dom». В строке «key» должно быть название вашего ключа (если вы ранее выбирали первый способ, пропишите DHCP_UPDATER, если второй, то rndc-key), содержит ваш секретный ключ. Чтобы посмотреть rndc-key выполните:
в результате должно получиться нечто подобное:
На этом с настройками DHCP всё. Теперь необходимо перезапустить bind9 и dhcp. Для этого пропишите:
Остаётся проверить как всё работает. Запустите клиентскую машину, находящуюся в сети с сервером. После запуска машина получит IP от DHCP, а он, в свою очередь, создаст запись типа client-pc.dom. По запросу «nslookup имя_клиентской_машины», вы должны получить ответ. Перезапустив server, можно будет посмотреть файлы прямого и обратного просмотра. Если на предыдущих этапах вы всё настроили правильно, там вы увидите информацию о новых машинах. Готово. Настройка завершена.
Шаг 2 — Настройка сервера Tinc
Tinc требует, чтобы каждый компьютер в сети VPN имел следующие три компонента конфигурации:
-
Файлы конфигурации Tinc: это три отдельных файла, определяющие конфигурацию демона tinc:
- , определяющий имя сети, сетевое устройство, на котором будет работать VPN, а также другие параметры VPN;
- , скрипт для активации сетевого устройства, определенного в файле , после запуска tinc;
- , скрипт для отключения сетевого устройства при остановке tinc.
- Пары открытых/закрытых ключей: Tinc использует пары открытых/закрытых ключей, чтобы доступ к VPN был только у пользователей с действующими ключами.
- Файлы конфигурации хоста: каждый компьютер (или хост) в сети VPN имеет собственный файл конфигурации, где хранятся фактический IP-адрес хоста и подсеть, где tinc будет его обслуживать.
Tinc использует имя сети для различения сетей tinc VPN. Это полезно в случаях, когда нужно настроить несколько сетей VPN, однако имя сети рекомендуется использовать и в случае настройки только одной сети VPN. Сети VPN можно присвоить любое имя, но для удобства мы присвоим нашей сети VPN имя .
Создайте на сервере server-01 структуру директорий для сети VPN:
server-01
Используйте предпочитаемый текстовый редактор для создания файла . Мы будем использовать :
server-01
Добавьте в пустой файл следующие строки. Эти строки настраивают узел tinc с именем с сетевым интерфейсом , который будет использовать IPv4:
server-01:/etc/tinc/netname/tinc.conf
Предупреждение. Следует отметить, что значение после директивы содержит символ подчеркивания (), а не дефис ()
Это важно, поскольку tinc требует, чтобы значение содержало только буквенно-числовые символы и символы подчеркивания. Если вы используете дефис, вы получите сообщение об ошибке при попытке запуска сети VPN на последующих шагах
После добавления этих строк сохраните и закройте файл. Если вы используете , нажмите , , затем .
Затем создайте файл конфигурации хоста с именем в субдиректории . Клиентские узлы будут использовать этот файл для взаимодействия с server-01:
server-01
Следует еще раз отметить, что имя этого файла содержит символ подчеркивания, а не дефис. Так он соответствует директиве в файле , что позволяет tinc автоматически добавлять в этот файл открытый ключ RSA для сервера, который мы сгенерируем на следующих шагах.
Добавьте в файл следующие строки и обязательно укажите публичный IP-адрес компьютера server-01:
server-01:/etc/tinc/netname/hosts/server_01
В поле указывается, как другие узлы будут подключаться к этому серверу, а в поле указывается подсеть, которую будет обслуживать этот демон. Сохраните и закройте файл.
Далее следует сгенерировать пару открытых и закрытых ключей RSA для этого хоста с помощью следующей команды:
server-01
После запуска этой команды вам будет предложено ввести имена файлов, где tinc будет сохранять открытые и закрытые ключи RSA:
Нажмите для использования значений по умолчанию в каждом диалоге. Так tinc будет сохранять закрытый ключ в файле с именем и добавлять открытый ключ в файл конфигурации хоста .
Затем создайте скрипт , который будет запускаться при каждом запуске сети VPN с именем :
server-01
Добавьте следующие строки:
server-01:/etc/tinc/netname/tinc-up
Вот что делает каждая из этих строк:
- : задает для интерфейса виртуальной сети tinc статус
- : добавляет IP-адрес с маской сети в интерфейс виртуальной сети tinc, в результате чего другие компьютеры в сети VPN будут видеть у сервера server-01 IP-адрес
- : добавляет маршрут (), доступный через интерфейс виртуальной сети tinc
После добавления этих строк сохраните и закройте файл.
Далее создайте скрипт для удаления интерфейса виртуальной сети при остановке вашей сети VPN:
server-01
Добавьте следующие строки:
server-01:/etc/tinc/netname/tinc-down
Эти строки имеют противоположное действие строкам в скрипте :
- : удаляет маршрут
- : удаляет IP-адрес из интерфейса виртуальной сети tinc
- : задает для интерфейса виртуальной сети tinc статус
Сохраните и закройте этот файл и сделайте оба новых сетевых скрипта исполняемыми:
server-01
В качестве заключительного шага настройки server-01 следует добавить правило брандмауэра, разрешающее трафик через порт , используемый tinc по умолчанию:
server-01
Теперь server-01 полностью настроен, и мы можем перейти к настройке клиентских узлов.
Настройка DNS-клиентов
Прежде чем все ваши серверы в доверенном ACL смогут отправлять запросы на ваши DNS-серверы, вы должны настроить для каждого из них использование ns1 и ns2 в качестве сервера имен. Этот процесс варьируется в зависимости от операционной системы, но для большинства дистрибутивов Linux он подразумевает добавление ваших серверов доменных имен в файл .
Клиенты Ubuntu 18.04
На Ubuntu 18.04 настройка сетевого взаимодействия выполняется с помощью Netplan, абстракции, которая позволяет вам записывать стандартную конфигурацию сети и применять ее к несовместимому сетевому ПО, отвечающему за бекэнд. Для настройки DNS нам потребуется записать файл конфигурации Netplan.
Во-первых, найдите устройство, связанное с вашей частной сетью, отправив частной подсети команду :
В этом примере используется частный интерфейс .
Далее необходимо создать новый файл в с именем :
Вставьте в файл следующее содержимое. Вам потребуется изменить интерфейс частной сети, адреса ваших DNS-серверов ns1 и ns2, а также зону DNS:
Примечание: Netplan использует формат сериализации данных YAML для своих файлов конфигурации. Поскольку YAML использует структурирование текста и пробелы для определения структуры данных, убедитесь, что ваше определение имеет равномерное структурирование текста во избежание ошибок.
/etc/netplan 00-private-nameservers.yaml
Сохраните файл и закройте его после завершения.
Затем вы должны сообщить Netplan о необходимости использования нового файла конфигурации с помощью команды . При наличии проблем, которые приводят к потере подключения к сети, Netplan будет автоматически перезапускать изменения по истечении определенного периода времени:
Если счетчик в нижней части обновляется корректно, это значит, что новой конфигурации удалось по крайней мере не повредить ваше соединение SSH. Нажмите ENTER, чтобы принять изменения в конфигурации.
Теперь проверьте DNS-преобразователь системы, чтобы определить, применены ли изменения в конфигурацию DNS:
Прокрутите вниз, пока не увидите раздел для вашего интерфейса частной сети. Вы должны увидеть частные IP-адреса ваших DNS-серверов, которые будут перечислены в первую очередь, а за ними идут резервные значения. Ваш домен должен находиться в строке DNS Domain:
Ваш клиент должен быть настроен на использование ваших внутренних DNS-серверов.
Клиенты Ubuntu 16.04 и Debian
В серверах Ubuntu 16.04 и Debian вы можете изменить файл :
Внутри найдите строку и добавьте ваши серверы доменных имен в начало списка, который уже добавлен в файл. Под этой строкой добавьте опцию , указывающую на базовый домен вашей инфраструктуры. В нашем случае это будет “nyc3.example.com”:
/etc/network/interfaces
Сохраните файл и закройте его после завершения.
Перезапустите ваши сетевые службы, применив изменения с помощью следующих команд. Убедитесь, что вы заменили на имя вашего сетевого интерфейса:
В результате будет выполнен перезапуск вашей сети без отключения текущего подключения. Если все работает корректно, вы должны увидеть примерно следующее:
Еще раз проверьте, что ваши настройки были применены, введя следующую команду:
Вы должны увидеть ваши серверы доменных имен в файле , а также ваш домен поиска:
Ваш клиент настроен для использования ваших DNS-серверов.
Клиенты CentOS
В CentOS, RedHat и Fedora Linux отредактируйте файл . Возможно, вам придется заменить на имя вашего основного сетевого интерфейса:
Найдите опции и и задайте для них частные IP-адреса ваших основного и дополнительного серверов доменных имен. Добавьте параметр , используя базовый домен вашей инфраструктуры. В этом руководстве это будет “nyc3.example.com”:
/etc/sysconfig/network-scripts/ifcfg-eth0
Сохраните файл и закройте его после завершения.
Перезапустите сетевую службу с помощью следующей команды:
Команда может зависнуть на несколько секунд, но через короткое время вы должны вернуться в командную строку.
Убедитесь, что изменения вступили в силу, введя следующую команду:
Вы должны увидеть ваши серверы доменных имен и домена поиска в списке:
/etc/resolv.conf
Ваш клиент теперь может подключиться и использовать ваши DNS-серверы.
Настройка Ubuntu Server 18.04 после установки
Начнем с обновления системы. Я предполагаю, что сеть у вас уже настроена автоматически. Если это не так, то воспользуйтесь статьей про настройку сети с помощью Netplan.
1. Обновление системы
Первым делом, после завершения установки любой операционной системы ее необходимо обновить. Для этого выполните такие команды:
Чем больше времени прошло с момента релиза установочного образа Ubuntu Server, тем больше времени займет обновление системы, но это необходимая операция. После обновления перезагрузите систему:
2. Настройка SSH
Поскольку это серверная система, то получать к ней доступ мы будем удаленно. Поэтому сразу же после обновления следует настроить SSH и использовать этот протокол для дальнейшей настройки.
Сначала необходимо сменить порт SSH на удаленном сервере, иначе рано или поздно кто-то попытается его перебрать. Откройте файл /etc/ssh/sshd.conf, найдите строчку Port 22 и измените значение порта на другое число, например, на 2323:
Для запуска службы SSH и добавления ее в автозагрузку выполните:
Теперь вы можете авторизоваться на вашем сервере с другой машины. Но каждый раз вводить пароль при входе не очень удобно. Настроем авторизацию по ключу. Для этого на вашей рабочей машине выполните команду для генерации ключа:
Программа спросит вас путь, куда нужно сохранить ключ, не оставляйте по умолчанию, используйте например, ~/.ssh/id_rsa_ubuntu. Затем утилита предложит ввести пароль для ключа. Если вы не хотите вводить этот пароль каждый раз при входе по SSH, то его задавать не нужно. Но в целях безопасности очень не рекомендуется использовать ключи без паролей.
Затем отправьте только что созданный ключ на свой сервер:
Теперь вы сможете авторизоваться на этом сервере без ввода пароля:
Дальнейшую настройку сервера можно проводить через SSH.
3. Настройка брандмауэра ufw
Сервер будет находиться в сети, а поэтому к нему будет иметь доступ множество пользователей. Необходимо спрятать все запущенные на сервере службы с помощью брандмауэра и оставить только разрешенные. В Ubuntu для управления брандмауэром используется надстройка над iptables — ufw.
По умолчанию, после запуска брандмауэр закрывает доступ ко всем не разрешенным службам извне. Мы сейчас работаем на сервере по SSH, поэтому нужно разрешить эту службу:
Если вы изменили стандартный порт SSH на втором шаге, необходимо разрешать именно тот порт, который вы указали:
Затем выполните такую команду для включения ufw:
Далее нужно нажать y для подтверждения. Брандмауэр будет запущен и добавлен в автозагрузку. Вы можете посмотреть его состояние командой:
4. Настройка времени
Установщик не предлагает вам выбрать часовой пояс и по умолчанию остается UTC. Таким образом, вы получаете время по Гринвичу. Вы можете проверить какое время показывает ваш сервер с помощью команды:
Чтобы это изменить нужно добавить свой часовой пояс. Посмотреть доступные часовые пояса можно командой:
А для выбора нужного выполните:
Также желательно настроить NTP сервер, чтобы время автоматически синхронизировалось с серверами в интернете. Для установки NTP выполните:
А затем добавьте его в автозагрузку:
5. Разблокировка пользователя root
В Ubuntu по умолчанию пароль для суперпользователя не задан, поэтому войти от его имени вы не сможете. Если вы хотите иметь возможность логиниться в системе от суперпользователя, или он нужен для системы управления конфигурацией то вы можете задать для него пароль:
И введите новый пароль. Затем вы сможете авторизоваться от имени этого пользователя.
ip
Чтобы получить список интерфейсов нужно воспользоваться командой
ip a
На выходе будет что-то похожее на
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 30:f9:ed:d9:ea:d3 brd ff:ff:ff:ff:ff:ff
inet 192.0.2.131/24 brd 192.0.2.255 scope global enp3s0
valid_lft forever preferred_lft forever
inet6 fe80::32f9:edff:fed9:ead3/64 scope link
valid_lft forever preferred_lft forever
3: wlp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether b8:76:3f:f5:c4:1f brd ff:ff:ff:ff:ff:ff
inet 192.168.43.4/24 brd 192.168.43.255 scope global dynamic noprefixroute wlp1s0
valid_lft 2800sec preferred_lft 2800sec
inet6 fe80::ba76:3fff:fef5:c41f/64 scope link noprefixroute
valid_lft forever preferred_lft forever
Раньше интерфейсы назывались eth0, eth1 и так далее, сейчас у них более разнообразные названия.
1: Первый интерфейс это
lo
он направлен на локальную машину и имеет IP
127.0.0.1/8
2: Второй интерфейс
enp3s0 это моё поключение к по Ethernet к другому ПК.
В этом примере компьютер с Ubuntu(1) соединён с компьютером с
Windows
(2) напрямую через Ethernet кабель
Через это подключение я захожу на комп номер 1 по SSH.
IP компьютера с Ubuntu вы видите выше
192.0.2.131/24
, а у компа с Windows IP
192.0.2.130/24
его здесь, естественно не видно.
Как настроить этот IP читайте
3: Третий интефейс
wlp1s0
это подключение к местному Wi-Fi от мобильного телефона.
IP получен динамически
192.168.43.4/24
Шаг 3 — Настройка сервера агента SNMP
Как элемент настоящей клиент-серверной системы, агент сервер не имеет никаких внешних инструментов, необходимых для собственной настройки SNMP. Вы можете изменить некоторые файлы конфигурации для внесения изменений, но большинство необходимых изменений будут выполнены при подключении к вашему серверу агента из вашего сервера менеджера.
В этом обучающем руководстве вы будете использовать версию 3 протокола SNMP. В отличие от версии 1 и 2 протокола SNMP, в версии 3 каждое сообщение содержит параметры безопасности в зашифрованном виде. На этом шаге вы выполните настройку аутентификации и правил контроля доступа SNMPv3.
Для начала откройте на вашем сервере агента файл конфигурации демона с привилегиями sudo:
Внутри этого файла вам нужно внести несколько изменений. Они будут использоваться главным образом для начальной загрузки вашей конфигурации, чтобы вы могли управлять ей из другого сервера.
Сначала вам нужно изменить директиву . Согласно текущим настройкам, она разрешает только подключение из локального компьютера. Вам нужно будет закомментировать текущую строку и разкомментировать строку ниже, которая разрешает все подключения.
/etc/snmp/snmpd.conf
Примечание. Поскольку разрешение всех подключений, как в этом случае, не является оптимальной практикой, рекомендуется вернуть исходные настройки обратно сразу же после завершения начальной загрузки.
Далее вы выполните временную вставку строки . Эти директивы обычно не хранятся в этом файле; поэтому вы должны будете удалить их снова через какое-то время.
Созданный вами пользователь с именем bootstrap будет использоваться в качестве шаблона, с помощью которого вы создадите вашего первого реального пользователя. Пакет SNMP делает это в процессе клонирования свойств пользователя.
При определении нового пользователя необходимо указать тип аутентификации (MD5 или SHA), а также предоставить фразу-пароль, которая должна быть длиной не менее восьми символов. Если вы планируете использовать шифрование при передаче, как в данном руководстве, вы должны указать протокол конфиденциальности (DES или AES) и по желанию фразу-пароль протокола конфиденциальности. Если фраза-пароль протокола конфиденциальности не будет предоставлена, фраза-пароль аутентификации также будет использоваться для протокола конфиденциальности.
Добавьте строку в конце файла:
/etc/snmp/snmpd.conf
Теперь, когда у вас есть новый пользователь, вы можете установить уровень доступа для данного пользователя. В этом обучающем руководстве вы выполните настройку вашего пользователя bootstrap, а также нового пользователя с именем demo, которого вы создадите. Вы предоставите права на чтение и запись с помощью директивы (альтернативой является для предоставления исключительно права на чтение).
Также вы примените использование шифрования, добавив после вашего пользователя. Если вы хотите ограничить пользователя конкретной частью MIB, вы можете указать самого высокого уровня, к которому будет иметь доступ пользователь, в конце строки.
В рамках данного обучающего руководства обе строки будут выглядеть следующим образом:
/etc/snmp/snmpd.conf
Когда вы закончите внесение изменений, сохраните и закройте файл.
Для вступления этих изменений в силу, перезапустите службу на вашем сервере агента:
Демон SNMP будет прослушивать подключения к порту . Настройте UFW для разрешения подключений с сервера менеджера к этому порту:
Дополнительную информацию о UFW можно получить в статье Настройка брандмауэра с UFW в Ubuntu 18.04.
Теперь, когда сервер агента настроен, вы можете подключиться к вашему серверу агента из сервера менеджера для проверки подключения.
Настройка DNS через терминал Ubuntu
В Ubuntu есть унифицированный интерфейс настройки сети, который настраивается через конфигурационный файл /etc/network/interfaces. Сначала смотрим список сетевых интерфейсов:
Откройте файл для редактирования и найдите в нем имя своего сетевого интерфейса, например, auto enp0s3, если такой секции нет, ее нужно добавить:
Затем, добавьте в эту секцию строчку:
Здесь адрес 8.8.8.8 — это адрес вашего DNS сервера. Но эта настройка сработает, только если ваш DHCP клиент не пытается назначить адрес самостоятельно. Чтобы указать DNS адрес на уровне DHCP сервера нужно добавить такую строчку в конфигурационный файл /etc/dhcp/dhclient.conf:
Здесь тоже адрес 8.8.8.8 означает адрес DNS сервера. Для верности, вы можете добавить свои адреса DNS серверов в файл /etc/resolvconf/resolv.conf.d/base:
Чтобы настройки вступили в силу необходимо перезапустить сеть:
Возможно, даже лучше будет если вы полностью перезагрузите компьютер. Теперь вы можете открыть /etc/resolv.conf и посмотреть применялся ли новый адрес DNS:
![Настройка сети в ubuntu server 18.04 [netplan] | itdeer.ru](https://myeditor.ru/wp-content/uploads/2/9/1/291b5da2c5157d6b8395032af221a4a0.jpeg)
Как видите, в моем примере все заработало. Подобно этому выполняется настройка dns linux для любого дистрибутива.
Resolver DNS в Ubuntu 20.04 LTS
Какой у вас в системе установлен резолвер можно посмотреть вот такой командой:
Чтобы установить ваш DNS в качестве резолвера по умолчанию, откройте файл конфигурации systemd-resolved.
И пропишите в файле в секции ваш DNS-сервер
Закрываем файл и перезагружаем systemd-resolver
Если теперь посмотреть статус то DNS должен измениться на IP вашего сервера.
Также теперь проверьте содержание .
Если привязки не произошло, то можно установить утилиту
Запускаем сервис
На этом Настройка локального DNS-сервера BIND9 на Ubuntu 20.04 LTS окончена.
Также можете вступить в Телеграм канал, ВК или подписаться на Twitter. Ссылки в шапки страницы. Заранее всем спасибо!!!
SSH
Чтобы подключиться к удалённой машине по SSH нужно, например, знать
IP машины, имя пользователя, пароль
Пример подключения:
Если вы подключаетесь впервые, то получите предупреждение
The authenticity of host ‘192.168.0.2 (192.168.0.2)’ can’t be established.
ECDSA key fingerprint is SHA256:ABCDE/FGHIJKLMNOPQRSTUVWXYZ123456789ABCDEFG.
Are you sure you want to continue connecting (yes/no/)?
Это предупреждение отображается, потому что в файле
known_hosts
, отвечающем за
ивестные хосты нет записи о 192.168.0.2
Файл
known_hosts
находится в директории
Он содержит строки такого вида:
После того как вы выберете
yes вы увидите сообщение
Warning: Permanently added ‘192.168.0.2’ (ECDSA) to the list of known hosts.
ssh_dispatch_run_fatal: Connection to 192.168.0.2 port 22: Broken pipe
А в файле
known_hosts
появится новая запись
Если вы подключаетесь к хосту не в первый раз
Нужно будет ввести пароль
[email protected]’s password:
После успешного ввода может появиться сообщение о последнем логине
Last login: Wed Nov 11 17:55:40 2020
Настройка конфигурационных файлов Bind9
Для начала отредактируем файл named.conf.options
Добавим в него следующий код:
Теперь открываем файл конфигурации зон и вносим информацию о наших зонах.
Сохраняем, закрываем. Теперь проверим правильность синтаксиса конфигурационных файлов BIND.
Если конфигурационные файлы не содержат ошибок, вывод этой программы будет пуст.
Перезагружаем bind9
Проверяем работу DNS сервера
в ответ вы должны увидеть:
Как видите зона прямого просмотра работает, нам показался ip адрес проверяемого имени. Теперь проверим работу зоны обратного просмотра
В ответ должны получить:
Как видим в ответе мы получили имя сервера по его адресу. Если у вас в ответ на nslookup так же все корректно отображается, значит вы все сделали правильно! Если нет, то проверяйте что сделали не так.
P.S. Также добавьте в файле resolv.conf свой nameserver
Для того чтобы ваш DNS сервер был виден из интернета, а также чтобы он обрабатывал все запросы по FQDN-имени (obu4alka.ru), у регистратора Вашего домена необходимо поменять NS сервера на IP вашего сервера DNS
Шаг 3 — Настройка клиентских узлов
Для обоих клиентских компьютеров потребуется не совсем такая конфигурация, как для сервера, хотя в целом процесс будет очень похожим.
В этом обучающем руководстве мы ориентируемся на определенную модель и поэтому настроим client-01 и client-02 практически одинаково с очень небольшими отличиями. Поэтому многие из указанных на этом шаге команд необходимо запускать на обоих компьютерах. Следует отметить, что если для client-01 или client-02 потребуется определенная команда или особая конфигурация, эти указания будут показаны в синем или красном блоке команд соответственно.
Проведите на компьютерах client-01 и client-02 репликацию структуры директорий, созданную на сервере server-01:
client-01 & client-02
Затем создайте файл :
client-01 & client-02
Добавьте в файл следующие строки на обоих компьютерах:
client-01 & client-02 /etc/tinc/netname/tinc.conf
Обязательно замените именем соответствующего клиентского узла. В этом имене должен использоваться символ подчеркивания (), а не дефис.
Этот файл содержит директиву с указанием на , а на сервере server-01 файл не содержит такой директивы. Отсутствие выражения на server-01 означает, что server-01 будет только прослушивать входящие соединения. Это подходит для нашей схемы, поскольку сервер не будет подключаться к другим компьютерам.
Сохраните и закройте файл.
Затем следует создать файл конфигурации хоста на каждом клиентском узле. Поэтому следует убедиться, что в имени файла используется символ подчеркивания вместо дефиса:
client-01 & client-02
Для компьютера client-01 добавьте следующую строку:
client-01:/etc/tinc/netname/hosts/client_01
Для компьютера client-02 добавьте следующую строку:
client-02:/etc/tinc/netname/hosts/client_02
Обратите внимание, что у каждого клиента своя подсеть, обслуживаемая tinc. Сохраните и закройте файл
Затем сгенерируйте пары ключей на каждом клиентском компьютере:
client-01 & client-02
Как и в случае с server-01, в диалогах выбора файлов для сохранения ключей RSA нажимайте для использования вариантов по умолчанию.
После этого создайте на каждом клиенте скрипт запуска сетевого интерфейса:
client-01 & client-02
Для client-01 добавьте следующие строки:
client-01:/etc/tinc/netname/tinc-up
Для client-02 добавьте следующие строки:
client-02:/etc/tinc/netname/tinc-up
Сохраните и закройте каждый файл.
Затем создайте скрипт остановки сетевого интерфейса для каждого клиента:
client-01 & client-02
Для client-01 добавьте в пустой файл следующее:
client-01:/etc/tinc/netname/tinc-down
Для client-02 добавьте следующее:
client-02:/etc/tinc/netname/tinc-down
Сохраните и закройте файлы.
Сделайте сетевые скрипты исполняемыми, запустив следующую команду на каждом клиентском компьютере:
client-01 & client-02
В завершение откройте порт на каждом клиенте:
client-01 & client-02
Теперь клиентские узлы практически настроены, хотя и не до конца. Им необходим открытый ключ, созданный на server-01 на предыдущем шаге, для аутентификации подключения к VPN.
Подключитесь к VNC-серверу
По умолчанию сервер VNC не использует безопасный протокол. Чтобы защитить соединение с удаленным сервером Ubuntu, вы должны создать туннель SSH и указать, что клиент VNC подключается к серверу VNC через этот туннель.
Давайте установим SSH- соединение на локальном компьютере, которое перенаправляет трафик на «localhost» для VNC. Запустите терминал на вашем локальном компьютере (macOS или Linux), выполните следующую команду:
-L 59000: localhost: 5901 : порт на локальном компьютере 59000 будет перенаправлен на целевой сервер: localhost: 5901
-C : сжать данные для ускорения соединения
-l <user> <server_ip_address> : указать пользователя, к которому вы войдете, и IP-адрес сервера Ubuntu 20.04
Настроить SSH-туннелирование в Windows
В случае использования ОС Windows вы можете настроить SSH-туннель с помощью SSH-клиента PuTTY.
Откройте PuTTY, затем введите IP-адрес вашего сервера Ubuntu:
Затем разверните подменю Connection> SSH> Tunnels, введите «5901» в «Source port» и «<server_ip_address>: 5901» в «Destination». Затем нажмите кнопку «Добавить», как показано ниже:
Используя туннель SSH, подключение VNC к вашему серверу Ubuntu 20.04 разрешает только машины, которые могут подключаться к серверу по ssh. Это не позволяет каждой машине просто подключаться к порту 5901.
Теперь вы можете подключиться к серверу Ubuntu удаленно с помощью клиента VNC. В этом руководстве мы используем программу просмотра VNC. Откройте клиент VNC, затем введите IP-адрес сервера и порт 5901:
Вы успешно подключились к рабочему столу XFCE вашего сервера Ubuntu:
Вы можете управлять сервером, как если бы вы работали с физическим сервером в своем офисе. Например, вы можете получить доступ к файловому менеджеру, запустить программу или открыть терминал:
Некоторые ошибки
1. the NTP socket is in use, exiting
Как правило, данная ошибка возникает при попытке синхронизировать время с помощью ntpdate, когда в системе работает демон ntp.
Причина: NTP сокет в системе уже занят, как правило, ntpd.
Решение: либо не использовать ntpdate, так как ntp умеет сверять время, либо отключить сервис ntpd командой service ntp stop.
2. Connection refused
Возникает при попытке выполнить команду ntpq -p.
Причина: нет разрешения на обращение к серверу.
Решение: проверьте, удастся ли выполнить запрос командой ntpq -pn 127.0.0.1 или ntpq -pn ::1. Также убедитесь, что настройка restrict позволяет серверу подключаться к самому себе по нужному протоколу.
3. no server suitable for synchronization found
Ошибка появляется при попытке синхронизировать время с другим сервером синхронизации.
Причина: сервер синхронизации не доступен по одной из причин: 1) не работает или выключен, 2) установлен restrict, 3) на сервере не запущен ntpd, 4) нет сетевой доступности из-за проблем на сети или брандмауэра.
Решение:
- Убедиться, что сервер доступен по сети.
- Проверить настройки ntp.conf — наличие соответствующего restrict.
- Проверить состояние сервиса командой service ntp status.
- Проверить настройки брандмауэра — убедиться в наличие правила, которое разрешает UDP порт 123.
Настройки беспроводной сети
Для корректной работы беспроводного интерфейса вам потребуется установить утилиту , которая позволяет подключиться к точкам доступа с WPA. WPA и WPA2:
sudo apt install wpasupplicant
Добавьте новый файл конфигурации в каталог :
sudo vim /etc/netplan/01-config.yaml
Отредактируйте файл конфигурации беспроводной сети с динамическим ip-адресом (DHCP):
network:
version: 2
renderer: networkd
wifis:
wlp3s0:
dhcp4: yes
dhcp6: no
access-points:
"network_ssid_name":
password: "**********"
Для беспроводной сети в которой используются статические ip-адреса подойдет следующая конфигурация:
network:
version: 2
renderer: networkd
wifis:
wlp3s0:
dhcp4: no
dhcp6: no
addresses: [192.168.0.21/24]
gateway4: 192.168.0.1
nameservers:
addresses:
access-points:
"network_ssid_name":
password: "**********"
Настройка статического IP-адреса с помощью DHCP
Самый простой и рекомендуемый способ назначить статический IP-адрес устройству в вашей локальной сети — это настроить статический DHCP на вашем маршрутизаторе. Статическое резервирование DHCP или DHCP — это функция, присутствующая на большинстве маршрутизаторов, которая заставляет DHCP-сервер автоматически назначать один и тот же IP-адрес определенному сетевому устройству каждый раз, когда устройство запрашивает адрес у DHCP-сервера. Это работает путем назначения статического IP-адреса уникальному MAC-адресу устройства. Шаги по настройке резервирования DHCP различаются от маршрутизатора к маршрутизатору, поэтому рекомендуется обращаться к документации поставщика.
