Aracılığıyla paylaş

Microsoft Tunnel Gateway başvurusu

  • Makale

Microsoft Tunnel Gateway'e yönelik bu başvurudaki bilgiler, ortamınızda tünel yüklemesinin yüklenmesini ve bakımını desteklemek için sağlanır.

Microsoft Tunnel Gateway için mst-cli komut satırı aracı

Mst-cli , Microsoft Tunnel Gateway ile kullanılan bir komut satırı aracıdır. Bu araç, tünel yükleme tamamlandıktan sonra Linux sunucusunda kullanılabilir ve /usr/sbin/mst-cli konumunda bulunur. Bu aracı tamamlamak için kullanabileceğiniz bazı görevler şunlardır:

  • Tünel sunucusu hakkında bilgi edinin.
  • Tünel sunucusunun yapılandırmasını ayarlayın veya güncelleştirin.
  • Tünel sunucusunu yeniden başlatın.
  • Tünel sunucusunu kaldırın.

Aracın yaygın komut satırı kullanımları aşağıdadır.

Komut satırı arabirimi:

  • mst-cli –help - Kullanım: mst-cli [command]

    Komut:

    • agent - Aracı bileşeni üzerinde çalışma.
    • server - Sunucu bileşeni üzerinde çalışma.
    • uninstall - Microsoft Tüneli'ni kaldırın.
    • eula - EULA'yı gösterin.
    • import_cert - TLS sertifikasını içeri aktarın veya güncelleştirin.

  • mst-cli agent –help - Kullanım: mst-cli aracısı [command]

    Komut:

    • logs - Aracı günlüklerini gösterin (daha fazla bilgi için-h).
    • status - Aracı durumunu gösterir.
    • start - Aracı hizmetini başlatın.
    • stop - Aracı hizmetini durdurun.
    • restart - Aracı hizmetini yeniden başlatın.

  • mst-cli agent logs help - Kullanım: mst-cli aracı günlükleri [bayraklar]

    Bayrak:

    • -f, --follow - Günlük çıkışını izleyin. Varsayılan değer false'tur.
    • --since string - TIMESTAMP'den bu yana günlükleri göster.
    • --tail uint - Günlüklerin sonunda belirtilen sayıda DOT çıktısı oluşturun. Tüm satırları yazdıran sıfır (0) varsayılan değeridir.
    • -t, --timestamps - Günlükteki zaman damgalarının çıkışını yapın.

  • mst-cli agent status - Aşağıdaki dönüşler, görebileceğiniz sonuçların örnekleridir:

    • Durum: çalışıyor
    • Sistem durumu: sağlıklı

  • mst-cli agent start - Durdurulursa aracıyı başlatır.

  • mst-cli agent stop - Aracıyı durdurur. Durdurulduktan sonra el ile başlatılmalıdır.

  • mst-cli agent restart - Aracıyı yeniden başlatır.

  • mst-cli server --help - Kullanım: mst-cli sunucusu [command]

    Komut:

    • logs - Sunucu günlüklerini gösterin. Daha fazla bilgi için -h kullanın.
    • status - Sunucu durumunu gösterir.
    • start - Sunucu hizmetini başlatın.
    • stop - Sunucu hizmetini durdurun.
    • restart - Sunucu hizmetini yeniden başlatın.
    • show - Çeşitli sunucu istatistiklerini gösterin. Daha fazla bilgi için -h kullanın.

  • mst-cli server logs –help - Kullanım: mst-cli sunucu günlükleri [bayraklar]

    Bayrak:

    • -f, --follow - Günlük çıkışını izleyin. Varsayılan değer false'tur.
    • --since string - TIMESTAMP'den bu yana günlükleri göster
    • --tail uint - Günlüklerin sonunda belirtilen sayıda DOT çıktısı oluşturun. Tüm satırları yazdıran sıfır (0) varsayılan değeridir.
    • -t, --timestamps - Günlükteki zaman damgalarının çıkışını yapın.

  • mst-cli server status - Aşağıdaki dönüşler, görebileceğiniz sonuçların örnekleridir:

    • Durum: çalışıyor
    • Sistem durumu: sağlıklı

  • mst-cli server start - Durdurulduysa sunucuyu başlatır.

  • mst-cli server stop - Sunucuyu durdurur. Durdurulduktan sonra el ile başlatılmalıdır.

  • mst-cli server restart - Sunucuyu yeniden başlatır.

  • mst-cli server show

    • show status - Sunucunun durumunu ve istatistiklerini yazdırır.
    • show users - Bağlı kullanıcıları yazdırır.
    • show ip bans - Yasaklanmış IP adreslerini yazdırır.
    • show ip ban points - Noktaları olan tüm bilinen IP adreslerini yazdırır.
    • show iroutes - Sunucu kullanıcıları tarafından sağlanan yolları yazdırır.
    • show sessions all - Tüm oturum kimliklerini yazdırır.
    • show sessions valid - Yeniden bağlantı oturumları için geçerli olan tüm oturumları yazdırır.
    • show session [SID] - Belirtilen oturumdaki bilgileri yazdırır.
    • show user [NAME] - Belirtilen kullanıcıyla ilgili bilgileri yazdırır.
    • show id [ID] - Belirtilen kimlikle ilgili bilgileri yazdırır.
    • show events - Kullanıcıları bağlama hakkında bilgi sağlar.
    • show cookies all - Tüm oturumları göstermek için diğer ad.
    • show cookies valid - Oturumları gösterme için diğer ad geçerli.

Ortam değişkenleri

Linux sunucusuna Microsoft Tunnel Gateway yazılımını yüklerken yapılandırmak isteyebileceğiniz ortam değişkenleri aşağıdadır. Bu değişkenler /etc/mstunnel/env.sh ortam dosyasında bulunur:

  • http_proxy=[adres] - Ara sunucunuzun HTTP adresi.
  • https_proxy=[adres] - Proxy sunucunuzun HTTP adresi.

Veri Yolları

Yol/Dosya Açıklama İzinler
/.../mstunnel Tüm yapılandırma için kök dizin. Sahip kökü, Grup mstunnel
/.../mstunnel/admin-settings.json Sunucu yüklemesinin ayarlarını içerir.  Intune bu dosyayı yönetir ve el ile düzenlenmemelidir.
/.../mstunnel/certs TLS sertifikasının depolandığı dizin.  Sahip kökü, Grup mstunnel
/.../mstunnel/private Intune Aracısı sertifikasının ve TLS özel anahtarının depolandığı dizin.  Sahip kökü, Grup mstunnel

Sunucu yüklemesi sırasında eklenen dosyalar

/etc/mstunnel:

  • admin-settings.json:

    • Intune'dan serileştirilmiş Sunucu yapılandırmasını içerir.
    • Sunucu kaydedildikten sonra oluşturulur.

  • agent-info.json:

    • Kayıt tamamlandığında oluşturulur.
    • AgentId, IntuneTenantId, AADTenantId ve aracı sertifikası RenewalDate.
    • Aracı sertifikası yenilemesi güncelleştirildi.

  • private/agent.p12:

    • Intune'da aracı kimlik doğrulaması için kullanılan PFX sertifikası.
    • Otomatik olarak yenilenir.

  • version-info.json:

    • Çeşitli bileşenler için sürüm bilgilerini içerir.
    • ConfigVersion, DockerVersion, AgentImageHash, AgentCreateDate, ServerImageHash, ServerCreateDate.

  • ocserv.conf:

    • Sunucu yapılandırması

  • Images_configured

Kapsayıcıları oluşturmak için kullanılan Docker görüntüleri:

  • agentImageDigest
  • serverImageDigest

admin-settings.json örneği

{
"PolicyName": "Auto Generated Policy for rh7vm",
   "DisplayName": "rh7vm Policy",
   "Description": "This policy was auto generated for rh7vm",  
   "Network": "169.100.0.0/16",
   "DNSServers": ["168.63.129.16"],
   "DefaultDomainSuffix": "nmqjwlanybmubp4imht0k2b4qd.xx.internal.cloudapp.net",
   "RoutesInclude": ["default"],
   "RoutesExclude": [],
   "ListenPort": 443
}
Yönetici Ayarı Açıklama
İlkeAdı Ayarlar ilkesinin adı. Adı seçebilirsiniz.
Displayname Kısa görünen ad. Adı seçebilirsiniz.
Açıklama İlkenin açıklaması. Açıklamayı seçebilirsiniz.
İstemcilerin sanal adreslerini atamak için kullanılan ağ ve maske. Çakışmanız olmadığı sürece bunun değişmesi gerekmez. Bu ayar en fazla 64.000 istemciyi destekler.
DNSServers İstemcinin kullanması gereken DNS sunucularının listesi. Bu sunucular iç kaynakların adreslerini çözümleyebilir.
DefaultDomainSuffix Kaynakları çözümlemeye çalışırken istemcinin konak adına ekleyen Etki alanı soneki.
RoutesInclude VPN üzerinden yönlendirilen yolların listesi. Varsayılan değer tüm yollardır.
RoutesExclude VPN'yi atlayacak yolların listesi.
ListenPort VPN sunucusunun trafik aldığı bağlantı noktası.

Docker komutları

Bir tünel sunucusundaki sorunları araştırmanız gerekiyorsa Docker için yaygın olarak kullanılabilecek komutlar aşağıdadır.

Not

Linux dağıtımlarının çoğu Docker kullanır. Ancak Red Hat Enterprise Linux (RHEL) 8.4 gibi bazıları Docker'ı desteklemez. Bunun yerine, bu dağıtımlar Podman kullanır. Desteklenen dağıtımlar ve her birinin Docker veya Podman gereksinimleri hakkında daha fazla bilgi için bkz. Linxu sunucuları.

Docker için yazılan başvurular ve komut satırları, Docker yerine podman eklenerek Podmanile kullanılabilir.

Komut satırı arabirimi:

  • docker ps –a – Tüm kapsayıcıları görün.

    • mstunnel-server – Bu kapsayıcı ocserv sunucusu bileşenlerini çalıştırır ve gelen Bağlantı Noktası 443 (varsayılan) veya özel bir bağlantı noktası yapılandırmasını kullanır.
    • mstunnel-agent - Bu kapsayıcı Intune bağlayıcısını çalıştırır ve 443 numaralı giden bağlantı noktasını kullanır.

  • Docker'ı yeniden başlatmak için:

    • systemctl restart docker

  • Kapsayıcıda bir şey çalıştırmak için:

    • docker exec –it mstunnel-server bash
    • docker exec –it mstunnel-agent bash

Podman komutları

Aşağıdakiler, bir tünel sunucusundaki sorunları araştırmanız gerekiyorsa Podman'a yönelik kullanabileceğiniz komutlardır. Podman ile kullanabileceğiniz diğer komutlar için bkz. Docker komutları.

  • sudo podman images - Çalışan tüm kapsayıcıları listeleyin.
  • sudo podman stats - Kapsayıcı CPU kullanımını, MEM kullanımını, Ağ ve Blok GÇ'yi görüntüleyin.
  • sudo podman port mstunnel-server - Tünel sunucusundan yerel Linux konağına bağlantı noktası eşlemelerini listeleyin.

Linux komutları

Aşağıda, tünel sunucusuyla kullanabileceğiniz yaygın Linux komutları yer alır.

  • sudo su – Kutunun kökünü oluşturur. Aşağıdaki komutları çalıştırmadan önce ve mstunnel-setup'ı çalıştırmadan önce bu komutu kullanın.

  • ls – dizinin içeriğini listeleyin.

  • ls – l – Zaman damgaları da dahil olmak üzere dizinin içeriğini listeleyin.

  • cd – başka bir dizine geçin. Örneğin, cd /etc/test/stuffsizi kök dizinden etc alt klasörüne, test alt klasörüne >> ve ardından stuff klasörüne değiştirir.

  • cp <source> <destination> - Sertifikaları doğru konuma kopyalamak için kullanışlıdır.

  • ln –s <source> <target> - Geçici bağlantı oluşturun.

  • curl <URL> – Bir web sitesine erişimi denetler. Örneğin: curl https://microsoft.com

  • ./<filename> - Bir betik çalıştırın.

ip_tables el ile yükleme

Linux sunucu çekirdeğinde ip_tables denetlemek ve gerekirse el ile yüklemek için aşağıdaki komutları kullanın. Sudo bağlamını kullanın:

  • Sunucuda ip_tables varlığını doğrulayın: lsmod |grep ip_tables

  • Sunucu önyükleme yaptığında ip_tables çekirdeğine yükleyen bir yapılandırma dosyası oluşturun: echo ip_tables > /etc/modules-load.d/mstunnel_iptables.conf

  • ip_tables çekirdeğine hemen yüklemek için: /sbin/modprobe ip_tables