Referenční informace o službě Microsoft Tunnel Gateway

  • Článek

Informace v těchto referenčních informacích o službě Microsoft Tunnel Gateway jsou k dispozici pro podporu instalace a údržby tunelové instalace ve vašem prostředí.

nástroj příkazového řádku mst-cli pro službu Microsoft Tunnel Gateway

Mst-cli je nástroj příkazového řádku pro použití se službou Microsoft Tunnel Gateway. Tento nástroj je k dispozici na linuxovém serveru po dokončení instalace tunelu a najdete ho na adrese /usr/sbin/mst-cli. Mezi úkoly, které můžete použít k dokončení tohoto nástroje, patří:

  • Získejte informace o serveru tunelu.
  • Nastavte nebo aktualizujte konfiguraci serveru tunelového propojení.
  • Restartujte server tunelového propojení.
  • Odinstalujte tunelový server.

Níže jsou uvedená běžná použití nástroje na příkazovém řádku.

Rozhraní příkazového řádku:

  • mst-cli –help – Použití: mst-cli [command]

    Příkazy:

    • agent - Pracovat s komponentou agenta.
    • server – Provoz na komponentě serveru.
    • uninstall - Odinstalujte tunel Microsoft Tunnel.
    • eula - Ukažte smlouvu EULA.
    • import_cert – Importujte nebo aktualizujte certifikát TLS.

  • mst-cli agent –help – Použití: agent mst-cli [command]

    Příkazy:

    • logs – Zobrazí protokoly agenta (-h pro další informace).
    • status – Zobrazí stav agenta.
    • start – Spusťte službu agenta.
    • stop - Zastavte službu agenta.
    • restart – Restartujte službu agenta.

  • mst-cli agent logs help – Použití: protokoly agenta mst-cli [flags]

    Příznaky:

    • -f, --follow – Postupujte podle výstupu protokolu. Výchozí hodnota je false.
    • --since string - Zobrazit protokoly od TIMESTAMP.
    • --tail uint – Výstup zadaného počtu ŘÁDKŮ na konci protokolů. Výchozí hodnota je nula (0), která vytiskne všechny řádky.
    • -t, --timestamps – Vypište časová razítka v protokolu.

  • mst-cli agent status – Následující vrácené hodnoty jsou příklady výsledků, které se můžou zobrazit:

    • Stav: spuštěno
    • Zdraví: v pořádku

  • mst-cli agent start - Spustí agenta, pokud je zastavený.

  • mst-cli agent stop - Zastaví agenta. Po zastavení se musí spustit ručně.

  • mst-cli agent restart – Restartuje agenta.

  • mst-cli server --help – Použití: mst-cli server [příkaz]

    Příkazy:

    • logs – Zobrazí protokoly serveru. Další informace získáte pomocí příkazu -h .
    • status – Zobrazí stav serveru.
    • start – Spusťte serverovou službu.
    • stop – Zastavte serverovou službu.
    • restart – Restartujte serverovou službu.
    • show – Zobrazí různé statistiky serveru. Další informace získáte pomocí příkazu -h .

  • mst-cli server logs –help – Využití: protokoly serveru mst-cli [flags]

    Příznaky:

    • -f, --follow – Postupujte podle výstupu protokolu. Výchozí hodnota je false.
    • --since string - Zobrazit protokoly od TIMESTAMP
    • --tail uint – Výstup zadaného počtu ŘÁDKŮ na konci protokolů. Výchozí hodnota je nula (0), která vytiskne všechny řádky.
    • -t, --timestamps – Vypište časová razítka v protokolu.

  • mst-cli server status – Následující vrácené hodnoty jsou příklady výsledků, které se můžou zobrazit:

    • Stav: spuštěno
    • Zdraví: v pořádku

  • mst-cli server start – Spustí server, pokud je zastavený.

  • mst-cli server stop – Zastaví server. Po zastavení se musí spustit ručně.

  • mst-cli server restart – Restartuje server.

  • mst-cli server show

    • show status – Vytiskne stav a statistiky serveru.
    • show users – Vytiskne připojené uživatele.
    • show ip bans - Vytiskne zakázané IP adresy.
    • show ip ban points – Vytiskne všechny známé IP adresy, které mají body.
    • show iroutes – Vytiskne trasy poskytované uživateli serveru.
    • show sessions all – Vytiskne všechna ID relací.
    • show sessions valid – Vytiskne všechny platné relace pro opětovné připojení.
    • show session [SID] – Vytiskne informace o zadané relaci.
    • show user [NAME] – Vytiskne informace o zadaném uživateli.
    • show id [ID] – Vytiskne informace o zadaném ID.
    • show events – Poskytuje informace o připojování uživatelů.
    • show cookies all - Alias pro show sessions all.
    • show cookies valid – Alias pro relace show je platný.

Proměnné prostředí

Níže jsou uvedené proměnné prostředí, které můžete chtít nakonfigurovat při instalaci softwaru Microsoft Tunnel Gateway na server s Linuxem. Tyto proměnné najdete v souboru prostředí /etc/mstunnel/env.sh:

  • http_proxy=[address] – adresa HTTP vašeho proxy serveru.
  • https_proxy=[address] – adresa HTTPS vašeho proxy serveru.

Cesty k datům

Cesta/soubor Popis Oprávnění
/.../mstunnel Kořenový adresář pro veškerou konfiguraci. Kořen vlastníka, skupina mstunnel
/.../mstunnel/admin-settings.json Obsahuje nastavení pro instalaci serveru.  Intune tento soubor spravuje a neměl by se upravovat ručně.
/.../mstunnel/certs Adresář, ve kterém je certifikát TLS uložený.  Kořen vlastníka, skupina mstunnel
/.../mstunnel/private Adresář, ve kterém je uložený certifikát agenta Intune a privátní klíč TLS.  Kořen vlastníka, skupina mstunnel

Soubory se přidávají během instalace serveru

/etc/mstunnel:

  • admin-settings.json:

    • Obsahuje serializovanou konfiguraci serveru z Intune.
    • Vytvořeno po registraci serveru.

  • agent-info.json:

    • Vytvoří se po dokončení registrace.
    • AgentId, IntuneTenantId, AADTenantId a renewalDate certifikátu agenta.
    • Aktualizace při prodloužení platnosti certifikátu agenta

  • private/agent.p12:

    • Certifikát PFX používaný k ověřování agenta v Intune.
    • Automaticky prodloužil.

  • version-info.json:

    • Obsahuje informace o verzi pro různé součásti.
    • ConfigVersion, DockerVersion, AgentImageHash, AgentCreateDate, ServerImageHash, ServerCreateDate.

  • ocserv.conf:

    • Konfigurace serveru

  • Images_configured

Image Dockeru použité k vytvoření kontejnerů:

  • agentImageDigest
  • serverImageDigest

Příklad souboru admin-settings.json

{
"PolicyName": "Auto Generated Policy for rh7vm",
   "DisplayName": "rh7vm Policy",
   "Description": "This policy was auto generated for rh7vm",  
   "Network": "169.100.0.0/16",
   "DNSServers": ["168.63.129.16"],
   "DefaultDomainSuffix": "nmqjwlanybmubp4imht0k2b4qd.xx.internal.cloudapp.net",
   "RoutesInclude": ["default"],
   "RoutesExclude": [],
   "ListenPort": 443
}
nastavení Správa Popis
Název zásady Název zásady nastavení. Můžete zvolit název.
Displayname Krátký zobrazovaný název. Můžete zvolit název.
Popis Popis zásady Můžete zvolit popis.
Síťové Síť a maska, které slouží k přiřazování virtuálních adres klientům. To se nemusí měnit, pokud nedojde ke konfliktu. Toto nastavení podporuje až 64 000 klientů.
Servery DNS Seznam serverů DNS, které by měl klient používat. Tyto servery můžou překládat adresy interních prostředků.
DefaultDomainSuffix Přípona domény, kterou klient připojí k názvu hostitele při pokusu o překlad prostředků.
RoutesInclude Seznam tras směrovaných přes síť VPN. Výchozí hodnota je všechny trasy.
RoutesExclude Seznam tras, které by měly obejít síť VPN.
ListenPort Port, na který server VPN přijímá provoz.

Příkazy Dockeru

Níže jsou uvedené běžné příkazy pro Docker, které se dají použít, pokud musíte prozkoumat problémy na serveru tunelu.

Poznámka

Většina distribucí Linuxu používá Docker. Některé z nich, jako je Red Hat Enterprise Linux (RHEL) 8.4 , ale Docker nepodporují. Místo toho tyto distribuce používají Podman. Další informace o podporovaných distribucích a požadavcích Dockeru nebo Podmanu najdete v tématu Servery Linxu.

Odkazy a příkazové řádky, které jsou napsané pro Docker, se dají použít s Podmanem tak, že docker nahradíte podmanem.

Rozhraní příkazového řádku:

  • docker ps –a – Zobrazit všechny kontejnery.

    • mstunnel-server – tento kontejner spouští komponenty serveru ocserv a používá příchozí port 443 (výchozí) nebo vlastní konfiguraci portu.
    • mstunnel-agent – Tento kontejner spouští konektor Intune a používá odchozí port 443.

  • Restartování Dockeru:

    • systemctl restart docker

  • Spuštění něčeho v kontejneru:

    • docker exec –it mstunnel-server bash
    • docker exec –it mstunnel-agent bash

Příkazy Podman

Níže jsou uvedené příkazy pro Podman, které se dají použít, pokud musíte prozkoumat problémy na serveru tunelu. Další příkazy, které můžete s Podmanem používat, najdete v tématu Příkazy Dockeru.

  • sudo podman images – Vypíše všechny spuštěné kontejnery.
  • sudo podman stats – Zobrazí využití procesoru kontejneru, využití MEM, vstupně-výstupní operace sítě a bloku.
  • sudo podman port mstunnel-server – Vypíše mapování portů z tunelového serveru na místního hostitele Linuxu.

Linuxové příkazy

Níže jsou uvedené běžné linuxové příkazy, které můžete použít se serverem tunelu.

  • sudo su - Zasadíš se na krabici. Tento příkaz použijte před spuštěním následujících příkazů a před spuštěním příkazu mstunnel-setup.

  • ls – vypíše obsah adresáře.

  • ls – l – Seznam obsahu adresáře včetně časových razítek.

  • cd – změnit na jiný adresář. Například cd /etc/test/stuff vás změní z kořenového adresáře do podsložky >etc na podsložku >test a pak do složky stuff.

  • cp <source> <destination> - Užitečné pro kopírování certifikátů na správné místo.

  • ln –s <source> <target> - Vytvořte softlink.

  • curl <URL> – Zkontroluje přístup k webu. Například: curl https://microsoft.com

  • ./<filename> – Spusťte skript.

Ruční načtení ip_tables

Pomocí následujících příkazů zkontrolujte a v případě potřeby ručně načtěte ip_tables v jádru linuxového serveru. Použijte kontext sudo:

  • Ověřte přítomnost ip_tables na serveru: lsmod |grep ip_tables

  • Vytvořte konfigurační soubor, který při spuštění serveru načte ip_tables do jádra: echo ip_tables > /etc/modules-load.d/mstunnel_iptables.conf

  • Okamžité načtení ip_tables do jádra: /sbin/modprobe ip_tables