pritunl zero 零信任系统

pritunl zero 零信任系统

一、概述

1、介绍

Pritunl Zero是一个零信任系统，它可以在不使用VPN的情况下从不受信任的网络安全地访问内部服务。

2、背景

内网搭建了类百度文库系统dochub，想通过硬件防火墙NAT转换IP和端口后映射到公网，但不希望任何人都可以访问，也不想用VPN的方式，最好是在访问dochub之前添加一层WEB授权。

• 使用 pritunl zero 零信任系统进行授权访问dochub后，不需要将dochub内网服务器映射到公网
  
  （如果会go语言，也可以自己重写dochub的登录认证机制，因为不会，所以选择pritunl zero）

3、环境

• 一台虚拟机（可以通过网关防火墙NAT映射到公网，这里举例将443端口映射到公网8443，如果有其他内网穿透方案也行，或者直接用公有云上的虚拟机）

  • 单网卡即可
  • 关闭防火墙（或开放相关端口）
  • MongoDB 和 pritunl zero 都安装在同一台机器即可（资源占用很少）

• 2个公网域名：控制台 node.pritunl.zero 服务 service.pritunl.zero 建议自己申请公网域名，国内是需要备案通过后才可以正常访问

• 申请2张SSL证书：对应上面的2个域名，建议申请公网免费证书 https://freessl.cn ，（需要在域名中添加解析）

申请操作参考 https://www.cnblogs.com/cn1151/p/17167080.html

---

二、安装 pritunl zero

安装方法可以参照官方安装手册

https://docs.pritunl.com/docs/pritunl-zero-service

---

三、配置 pritunl zero 保护内部 web server

1、初次登录

浏览器访问 https://IP地址 （如果不能打开，请检查操作系统防火墙设置）

通过命令获取管理账号和密码：sudo pritunl-zero default-password

2、添加SSL证书

登录后，点击菜单中的“Certificates”添加证书

证书类型 Type：txt（公网SSL证书）

将提前申请好的证书 key 和 pem 文件内容，复制粘贴到证书私钥和证书链的文本框中，（注意：pem证书链只复制上半部分，-----END CERTIFICATE-----为止）

证书1：

• name（名称可以自定义）node.pritunl.zero

证书2：

• name（名称可以自定义）service.pritunl.zero

---

3、创建服务services

点击“services”，添加服务

• name（可以自定义）：dochub
• Type：HTTP
• External Domains：service.pritunl.zero（需要通过这个域名来代理访问内部服务器，主机 Host 留空，不需要设置）
• Internal Servers：HTTP 192.168.0.80 ：8090（根据内网WEB服务器使用的协议选择http或https，IP是内部WEB服务器的地址，端口号是内网访问WEB网站的端口号，建议不要使用80或443端口，否则可能无法正常通过零信任系统进行访问）
• Logout Path：/logout
• Roles：dochub（名称可以自定义，点Add进行添加，控制哪些用户角色可以访问该服务）
• 打开 Allow WebSockets

4、设置节点 nodes

点击“Nodes”，设置节点

• name：建议保持系统默认不变
• 打开 management 和 proxy
• Protocol and Port：HTTP 443
• 建议打开 Web redirect server，强制使用https
• Services：点击 “ Add Service ” 添加第3步创建的服务 dochub
• certificates：点击 “ Add certificate ”，添加第2步创建的两张SSL证书 node.pritunl.zero 和 service.pritunl.zero

-> 点击 “ Save ” 保存 Nodes 配置后，IP地址将不可访问控制台，必须使用node配置的域名进行访问 https://node.pritunl.zero:8443

（因为是通过硬件防火墙NAT映射了443端口到外网的8443，所以这里需要带上端口号）

如果SSL证书没有问题，浏览器不会提示证书错误。

5、添加用户账号

通过域名访问打开 pritunl zero 控制台，点击“ Users ”，添加用户

• Type：local
• Roles：dochub（这里的角色必须和第3步创建服务时使用的角色保持一致，才能访问服务）

6、测试访问服务

在浏览器新窗口访问网址：https://service.pritunl.zero:8443（端口号和控制台node的端口号相同）

注意：如果Pritunl zero系统是通过了NAT端口映射的方式，必须要加上外网端口号，而且内网服务器不能使用了默认的80或443端口，否则不能正常代理

输入账户密码后，会自动跳转到内网dochub服务器

说明：我这里 dochub 因为配置的后端存储 使用的是内网 minio 存储系统，所以外网无法正常预览

如果要预览，必须要使用VPN，直接打通，让客户端可以直接访问内部IP