A Microsoft Tunnel Gateway referenciája
A Microsoft Tunnel Gateway jelen referenciájában található információk az alagút telepítésének és karbantartásának támogatására szolgálnak a környezetben.
mst-cli parancssori eszköz a Microsoft Tunnel Gatewayhez
Az Mst-cli egy parancssori eszköz a Microsoft Tunnel Gatewayhez. Ez az eszköz a Linux-kiszolgálón érhető el, miután az alagút befejezte a telepítést, és a /usr/sbin/mst-cli helyen található. Az eszközzel elvégezhető feladatok közé tartoznak a következők:
- Az alagútkiszolgálóval kapcsolatos információk lekérése.
- Állítsa be vagy frissítse az alagútkiszolgáló konfigurációját.
- Indítsa újra az alagútkiszolgálót.
- Távolítsa el az alagútkiszolgálót.
Az alábbiakban az eszköz gyakori parancssori használatát ismertetjük.
Parancssori felület:
mst-cli –help- Használat: mst-cli [parancs]Parancsok:
-
agent- Működjön az ügynök összetevőn. -
server– A kiszolgálói összetevőn kell működnie. -
uninstall– Távolítsa el a Microsoft Tunnelt. -
eula- Jelenítse meg az EULA-t. -
import_cert– Importálja vagy frissítse a TLS-tanúsítványt.
-
mst-cli agent –help- Használat: mst-cli ügynök [parancs]Parancsok:
-
logs– Az ügynöknaplók (-h) megjelenítése további információért. -
status– Az ügynök állapotának megjelenítése. -
start– Indítsa el az ügynökszolgáltatást. -
stop- Állítsa le az ügynökszolgáltatást. -
restart– Indítsa újra az ügynökszolgáltatást.
-
mst-cli agent logs help- Használat: mst-cli ügynöknaplók [jelzők]Zászlók:
-
-f, --follow– Kövesse a napló kimenetét. Az alapértelmezett érték hamis. -
--since string– Naplók megjelenítése a TIMESTAMP óta. -
--tail uint- Adja meg a sorok megadott számát a naplók végén. Alapértelmezés szerint nulla (0), amely az összes sort kinyomtatja. -
-t, --timestamps- Adja ki az időbélyegeket a naplóban.
-
mst-cli agent status– Az alábbi visszaadott példák olyan eredményekre mutatnak, amelyeket láthat:- Állapot: fut
- Egészség: egészséges
mst-cli agent start- Elindítja az ügynököt, ha leállt.mst-cli agent stop- Leállítja az ügynököt. A leállítás után manuálisan kell elindítani.mst-cli agent restart– Újraindítja az ügynököt.mst-cli server --help- Használat: mst-cli kiszolgáló [parancs]Parancsok:
-
logs– A kiszolgálónaplók megjelenítése. További információért használja a -h parancsot. -
status– A kiszolgáló állapotának megjelenítése. -
start– Indítsa el a kiszolgálószolgáltatást. -
stop– Állítsa le a kiszolgálószolgáltatást. -
restart– Indítsa újra a kiszolgálószolgáltatást. -
show- Különböző kiszolgálóstatisztikák megjelenítése. További információért használja a -h parancsot.
-
mst-cli server logs –help- Használat: mst-cli kiszolgálónaplók [jelzők]Zászlók:
-
-f, --follow– Kövesse a napló kimenetét. Az alapértelmezett érték hamis. -
--since string– Naplók megjelenítése a TIMESTAMP óta -
--tail uint- Adja meg a sorok megadott számát a naplók végén. Alapértelmezés szerint nulla (0), amely az összes sort kinyomtatja. -
-t, --timestamps- Adja ki az időbélyegeket a naplóban.
-
mst-cli server status– Az alábbi visszaadott példák olyan eredményekre mutatnak, amelyeket láthat:- Állapot: fut
- Egészség: egészséges
mst-cli server start– Elindítja a kiszolgálót, ha le van állítva.mst-cli server stop- Leállítja a kiszolgálót. A leállítás után manuálisan kell elindítani.mst-cli server restart– Újraindítja a kiszolgálót.mst-cli server show-
show status- Kinyomtatja a kiszolgáló állapotát és statisztikáit. -
show users– Kinyomtatja a csatlakoztatott felhasználókat. -
show ip bans- Kinyomtatja a tiltott IP-címeket. -
show ip ban points- Kinyomtatja az összes ismert IP-címet, amely rendelkezik ponttal. -
show iroutes– Kinyomtatja a kiszolgáló felhasználói által megadott útvonalakat. -
show sessions all- Kinyomtatja az összes munkamenet-azonosítót. -
show sessions valid- Kinyomtatja az összes érvényes újracsatlakozási munkamenetet. -
show session [SID]– A megadott munkamenet adatainak nyomtatása. -
show user [NAME]– A megadott felhasználó adatait nyomtatja ki. -
show id [ID]– A megadott azonosítóra nyomtatja az adatokat. -
show events– Információkat nyújt a felhasználók csatlakoztatásáról. -
show cookies all- Alias a show sessions összes. -
show cookies valid– A megjelenítési munkamenetek aliasa érvényes.
-
Környezeti változók
Az alábbiakban azokat a környezeti változókat érdemes konfigurálni, amikor telepíti a Microsoft Tunnel Gateway szoftvert a Linux-kiszolgálón. Ezek a változók az /etc/mstunnel/env.sh környezeti fájlban találhatók:
- http_proxy=[address] – A proxykiszolgáló HTTP-címe.
- https_proxy=[address] – A proxykiszolgáló HTTPs-címe.
Adatelérési utak
| Elérési út/fájl | Leírás | Engedélyek |
|---|---|---|
| /.../mstunnel | Az összes konfiguráció gyökérkönyvtára. | Tulajdonos gyökere, csoport mstunnel |
| /.../mstunnel/admin-settings.json | A kiszolgáló telepítésének beállításait tartalmazza. | Az Intune kezeli ezt a fájlt, és nem szabad manuálisan szerkeszteni. |
| /.../mstunnel/certs | A könyvtár, ahol a TLS-tanúsítvány található. | Tulajdonos gyökere, csoport mstunnel |
| /.../mstunnel/private | Az a könyvtár, amelyben az Intune-ügynök tanúsítványa és a TLS titkos kulcs található. | Tulajdonos gyökere, csoport mstunnel |
Fájlok hozzáadása a kiszolgáló telepítése során
/etc/mstunnel:
admin-settings.json:
- Az Intune szerializált kiszolgálókonfigurációját tartalmazza.
- A kiszolgáló regisztrálása után jön létre.
agent-info.json:
- A regisztráció befejezésekor jön létre.
- AgentId, IntuneTenantId, AADTenantId és az ügynöktanúsítvány RenewalDate.
- Frissítve az ügynöktanúsítvány megújítása esetén.
private/agent.p12:
- AZ Intune-beli ügynökhitelesítéshez használt PFX-tanúsítvány.
- Automatikusan megújult.
version-info.json:
- A különböző összetevők verzióinformációit tartalmazza.
- ConfigVersion, DockerVersion, AgentImageHash, AgentCreateDate, ServerImageHash, ServerCreateDate.
ocserv.conf:
- Kiszolgáló konfigurációja
Images_configured
A tárolók létrehozásához használt Docker-lemezképek:
- agentImageDigest
- serverImageDigest
Példa admin-settings.json
{
"PolicyName": "Auto Generated Policy for rh7vm",
"DisplayName": "rh7vm Policy",
"Description": "This policy was auto generated for rh7vm",
"Network": "169.100.0.0/16",
"DNSServers": ["168.63.129.16"],
"DefaultDomainSuffix": "nmqjwlanybmubp4imht0k2b4qd.xx.internal.cloudapp.net",
"RoutesInclude": ["default"],
"RoutesExclude": [],
"ListenPort": 443
}
| Rendszergazdai beállítás | Leírás |
|---|---|
| PolicyName | A beállítási szabályzat neve. Kiválaszthatja a nevet. |
| DisplayName | A rövid megjelenítendő név. Kiválaszthatja a nevet. |
| Leírás | A szabályzat leírása. Kiválaszthatja a leírást. |
| Hálózat | Az ügyfelek virtuális címeinek hozzárendeléséhez használt hálózat és maszk. Ezt csak akkor kell módosítania, ha ütközés van. Ez a beállítás legfeljebb 64 000 ügyfelet támogat. |
| DNS-kiszolgálók | Azon DNS-kiszolgálók listája, amelyeket az ügyfélnek használnia kell. Ezek a kiszolgálók feloldhatják a belső erőforrások címét. |
| DefaultDomainSuffix | A tartomány utótagja, amelyet az ügyfél hozzáfűz a gazdagép nevéhez az erőforrások feloldásakor. |
| RoutesInclude | A VPN-en keresztül átirányított útvonalak listája. Az alapértelmezett beállítás az összes útvonal. |
| RoutesExclude | A VPN-t megkerülő útvonalak listája. |
| ListenPort | Az a port, amelyen a VPN-kiszolgáló forgalmat fogad. |
Docker-parancsok
Az alábbiakban a Docker gyakori parancsait ismertetjük, amelyek akkor használhatók, ha ki kell vizsgálnia egy alagútkiszolgálóval kapcsolatos problémákat.
Megjegyzés:
A legtöbb Linux-disztribúció a Dockert használja. Néhány, például a Red Hat Enterprise Linux (RHEL) 8.4 nem támogatja a Dockert. Ehelyett ezek a disztribúciók a Podmant használják. További információ a támogatott disztribúciókról, valamint az egyes Docker- vagy Podman-követelményekről: Linxu-kiszolgálók.
A Dockerhez írt hivatkozások és parancssorok a Podmanrel is használhatók, ha a dockertpodmanre cserélik.
Parancssori felület:
docker ps –a– Tekintse meg az összes tárolót.- mstunnel-server – Ez a tároló futtatja az ocserv-kiszolgáló összetevőit, és a 443-as bejövő portot (alapértelmezett) vagy egy egyéni portkonfigurációt használ.
- mstunnel-agent – Ez a tároló futtatja az Intune-összekötőt, és a 443-s kimenő portot használja.
A Docker újraindítása:
systemctl restart docker
Tárolóban való futtatás:
docker exec –it mstunnel-server bashdocker exec –it mstunnel-agent bash
Podman-parancsok
Az alábbiakban a Podman parancsai használhatók, ha ki kell vizsgálnia egy alagútkiszolgálóval kapcsolatos problémákat. A Podmannel használható további parancsokért lásd: Docker-parancsok.
-
sudo podman images– Sorolja fel az összes futó tárolót. -
sudo podman stats– A tároló cpu-kihasználtságának, a MEM-használatnak, a hálózatnak és a blokk I/O-nak a megjelenítése. -
sudo podman port mstunnel-server– Listázhatja az alagútkiszolgáló és a helyi Linux-gazdagép közötti portleképezéseket.
Linux-parancsok
Az alábbiakban az alagútkiszolgálóval használható gyakori Linux-parancsokat talál.
sudo su– A dobozra gyökerezik. A következő parancsok futtatása előtt és az mstunnel-setup futtatása előtt használja ezt a parancsot.ls– a könyvtár tartalmának listázása.ls – l– A könyvtár tartalmának felsorolása az időbélyegeket is beleértve.cd– váltson át egy másik könyvtárra. Példáulcd /etc/test/stuffa gyökérkönyvtárból az etc almappát > a teszt almappába > , majd a stuff mappába módosítja.cp <source> <destination>– Hasznos a tanúsítványok megfelelő helyre másolásához.ln –s <source> <target>– Hozzon létre egy softlinket.curl <URL>– Ellenőrzi a webhelyhez való hozzáférést. Például:curl https://microsoft.com./<filename>– Futtasson egy szkriptet.
Ip_tables manuális betöltése
Az alábbi parancsokkal ellenőrizheti és szükség esetén manuálisan betöltheti ip_tables a Linux-kiszolgáló kernelében. Használja a sudo környezetet:
Ellenőrizze a ip_tables meglétét a kiszolgálón:
lsmod |grep ip_tablesHozzon létre egy konfigurációs fájlt, amely betölti a ip_tables a kernelbe a kiszolgáló indításakor:
echo ip_tables > /etc/modules-load.d/mstunnel_iptables.confIp_tables azonnali betöltése a kernelbe:
/sbin/modprobe ip_tables