Dokumentacja usługi Microsoft Tunnel Gateway

  • Artykuł

Informacje zawarte w tym odwołaniu dla usługi Microsoft Tunnel Gateway są udostępniane w celu obsługi instalacji i konserwacji instalacji tunelu w danym środowisku.

Narzędzie wiersza polecenia mst-cli dla usługi Microsoft Tunnel Gateway

Mst-cli to narzędzie wiersza polecenia do użycia z usługą Microsoft Tunnel Gateway. To narzędzie jest dostępne na serwerze z systemem Linux po zakończeniu instalacji tunelu i znajduje się pod adresem /usr/sbin/mst-cli. Niektóre zadania, które można wykonać za pomocą tego narzędzia, obejmują:

  • Uzyskaj informacje o serwerze tunelu.
  • Ustaw lub zaktualizuj konfigurację serwera tunelu.
  • Uruchom ponownie serwer tunelu.
  • Odinstaluj serwer tunelu.

Poniżej przedstawiono typowe zastosowania narzędzia w wierszu polecenia.

Interfejs wiersza polecenia:

  • mst-cli –help — Użycie: mst-cli [polecenie]

    Polecenia:

    • agent — Działa na składniku agenta.
    • server — Działa na składniku serwera.
    • uninstall — Odinstaluj tunel Microsoft Tunnel.
    • eula — Pokaż umowy EULA.
    • import_cert — Zaimportuj lub zaktualizuj certyfikat protokołu TLS.

  • mst-cli agent –help — Użycie: agent mst-cli [polecenie]

    Polecenia:

    • logs — Pokaż dzienniki agenta (-h, aby uzyskać więcej informacji).
    • status - Pokaż stan agenta.
    • start — Uruchom usługę agenta.
    • stop — Zatrzymaj usługę agenta.
    • restart — Uruchom ponownie usługę agenta.

  • mst-cli agent logs help - Użycie: dzienniki agenta mst-cli [flagi]

    Flagi:

    • -f, --follow — Postępuj zgodnie z danymi wyjściowymi dziennika. Wartość domyślna to false.
    • --since string — Pokaż dzienniki od czasu znacznika CZASU.
    • --tail uint - Dane wyjściowe określonej liczby wierszy na końcu dzienników. Wartość domyślna to zero (0), która wyświetla wszystkie wiersze.
    • -t, --timestamps - Dane wyjściowe sygnatur czasowych w dzienniku.

  • mst-cli agent status — Następujące zwroty to przykłady wyników, które mogą być widoczne:

    • Stan: uruchamianie
    • Kondycja: w dobrej kondycji

  • mst-cli agent start - Uruchamia agenta, jeśli został zatrzymany.

  • mst-cli agent stop — Zatrzymuje agenta. Należy uruchomić ręcznie po zatrzymaniu.

  • mst-cli agent restart — uruchamia ponownie agenta.

  • mst-cli server --help — Użycie: serwer mst-cli [polecenie]

    Polecenia:

    • logs — Pokaż dzienniki serwera. Użyj -h , aby uzyskać więcej informacji.
    • status - Pokaż stan serwera.
    • start — Uruchom usługę serwera.
    • stop — Zatrzymaj usługę serwera.
    • restart — Uruchom ponownie usługę serwera.
    • show - Pokaż różne statystyki serwera. Użyj -h , aby uzyskać więcej informacji.

  • mst-cli server logs –help - Użycie: dzienniki serwera mst-cli [flagi]

    Flagi:

    • -f, --follow — Postępuj zgodnie z danymi wyjściowymi dziennika. Wartość domyślna to false.
    • --since string - Pokaż dzienniki od czasu znacznika CZASU
    • --tail uint - Dane wyjściowe określonej liczby wierszy na końcu dzienników. Wartość domyślna to zero (0), która wyświetla wszystkie wiersze.
    • -t, --timestamps - Dane wyjściowe sygnatur czasowych w dzienniku.

  • mst-cli server status — Następujące zwroty to przykłady wyników, które mogą być widoczne:

    • Stan: uruchamianie
    • Kondycja: w dobrej kondycji

  • mst-cli server start - Uruchamia serwer, jeśli został zatrzymany.

  • mst-cli server stop — Zatrzymuje serwer. Należy uruchomić ręcznie po zatrzymaniu.

  • mst-cli server restart — uruchamia ponownie serwer.

  • mst-cli server show

    • show status — wyświetla stan i statystyki serwera.
    • show users — Wyświetla połączonych użytkowników.
    • show ip bans — Wyświetla zakazane adresy IP.
    • show ip ban points — Wyświetla wszystkie znane adresy IP, które mają punkty.
    • show iroutes — wyświetla trasy udostępniane przez użytkowników serwera.
    • show sessions all — Wyświetla wszystkie identyfikatory sesji.
    • show sessions valid — Wyświetla wszystkie prawidłowe dla sesji ponownego łączenia.
    • show session [SID] — Wyświetla informacje dotyczące określonej sesji.
    • show user [NAME] — Wyświetla informacje o określonym użytkowniku.
    • show id [ID] — Wyświetla informacje o określonym identyfikatorze.
    • show events — Zawiera informacje o nawiązywaniu połączenia z użytkownikami.
    • show cookies all — Alias dla wszystkich sesji pokazu.
    • show cookies valid — Alias dla sesji pokazu jest prawidłowy.

Zmienne środowiskowe

Poniżej przedstawiono zmienne środowiskowe, które można skonfigurować podczas instalowania oprogramowania microsoft tunnel gateway na serwerze z systemem Linux. Te zmienne znajdują się w pliku środowiska /etc/mstunnel/env.sh:

  • http_proxy=[address] — adres HTTP serwera proxy.
  • https_proxy=[adres] — adres HTTPs serwera proxy.

Ścieżki danych

Ścieżka/plik Opis Uprawnienia
/.../mstunnel Katalog główny dla całej konfiguracji. Główny właściciel, grupa mstunnel
/.../mstunnel/admin-settings.json Zawiera ustawienia instalacji serwera.  Usługa Intune zarządza tym plikiem i nie należy go edytować ręcznie.
/.../mstunnel/certs Katalog, w którym jest przechowywany certyfikat protokołu TLS.  Główny właściciel, grupa mstunnel
/.../mstunnel/private Katalog, w którym przechowywany jest certyfikat agenta usługi Intune i klucz prywatny protokołu TLS.  Główny właściciel, grupa mstunnel

Pliki dodawane podczas instalacji serwera

/etc/mstunnel:

  • admin-settings.json:

    • Zawiera serializowaną konfigurację serwera z usługi Intune.
    • Utworzony po zarejestrowaniu serwera.

  • agent-info.json:

    • Utworzono po zakończeniu rejestracji.
    • AgentId, IntuneTenantId, AADTenantId i identyfikator renewalDate certyfikatu agenta.
    • Zaktualizowano podczas odnawiania certyfikatu agenta.

  • private/agent.p12:

    • Certyfikat PFX używany do uwierzytelniania agenta w usłudze Intune.
    • Automatycznie odnawiane.

  • version-info.json:

    • Zawiera informacje o wersji dla różnych składników.
    • ConfigVersion, DockerVersion, AgentImageHash, AgentCreateDate, ServerImageHash, ServerCreateDate.

  • ocserv.conf:

    • Konfiguracja serwera

  • Images_configured

Obrazy platformy Docker używane do tworzenia kontenerów:

  • agentImageDigest
  • serverImageDigest

Przykład pliku admin-settings.json

{
"PolicyName": "Auto Generated Policy for rh7vm",
   "DisplayName": "rh7vm Policy",
   "Description": "This policy was auto generated for rh7vm",  
   "Network": "169.100.0.0/16",
   "DNSServers": ["168.63.129.16"],
   "DefaultDomainSuffix": "nmqjwlanybmubp4imht0k2b4qd.xx.internal.cloudapp.net",
   "RoutesInclude": ["default"],
   "RoutesExclude": [],
   "ListenPort": 443
}
ustawienie Administracja Opis
PolicyName Nazwa zasad ustawień. Możesz wybrać nazwę.
Displayname Krótka nazwa wyświetlana. Możesz wybrać nazwę.
Opis Opis zasad. Możesz wybrać opis.
Sieci Sieć i maska służąca do przypisywania adresów wirtualnych klientów. Nie trzeba tego zmieniać, chyba że występuje konflikt. To ustawienie obsługuje maksymalnie 64 000 klientów.
Serwery DNS Lista serwerów DNS, których powinien używać klient. Te serwery mogą rozpoznać adresy zasobów wewnętrznych.
DefaultDomainSuffix Sufiks domeny dołączany przez klienta do nazwy hosta podczas próby rozpoznania zasobów.
RoutesInclude Lista tras, które są kierowane za pośrednictwem sieci VPN. Wartość domyślna to wszystkie trasy.
RoutesExclude Lista tras, które powinny pomijać sieć VPN.
ListenPort Port, na który serwer sieci VPN odbiera ruch.

Polecenia platformy Docker

Poniżej przedstawiono typowe polecenia platformy Docker, które mogą być używane, jeśli należy zbadać problemy na serwerze tunelu.

Uwaga

Większość dystrybucji systemu Linux korzysta z platformy Docker. Jednak niektóre z nich, takie jak Red Hat Enterprise Linux (RHEL) 8.4 , nie obsługują platformy Docker. Zamiast tego te dystrybucje używają narzędzia Podman. Aby uzyskać więcej informacji na temat obsługiwanych dystrybucji i wymagań platformy Docker lub Podman, zobacz Serwery Linxu.

Odwołań i wierszy poleceń napisanych dla platformy Docker można używać z narzędziem Podman, zastępując platformę Dockerelementem podman.

Interfejs wiersza polecenia:

  • docker ps –a — Zobacz wszystkie kontenery.

    • mstunnel-server — ten kontener uruchamia składniki serwera ocserv i używa portu przychodzącego 443 (domyślnie) lub niestandardowej konfiguracji portu.
    • mstunnel-agent — ten kontener uruchamia łącznik usługi Intune i używa portu wychodzącego 443.

  • Aby ponownie uruchomić platformę Docker:

    • systemctl restart docker

  • Aby uruchomić coś w kontenerze:

    • docker exec –it mstunnel-server bash
    • docker exec –it mstunnel-agent bash

Polecenia narzędzia Podman

Poniżej przedstawiono polecenia narzędzia Podman, które mogą być używane, jeśli należy zbadać problemy na serwerze tunelu. Aby uzyskać więcej poleceń, których można użyć z narzędziem Podman, zobacz Polecenia platformy Docker.

  • sudo podman images — Wyświetl listę wszystkich uruchomionych kontenerów.
  • sudo podman stats — Wyświetlanie użycia procesora CPU kontenera, użycia MEM, operacji we/wy sieci i bloku.
  • sudo podman port mstunnel-server — Wyświetl listę mapowań portów z serwera tunnel-server do lokalnego hosta systemu Linux.

Polecenia systemu Linux

Poniżej przedstawiono typowe polecenia systemu Linux, których można użyć z serwerem tunelu.

  • sudo su – Sprawia, że root na polu. Użyj tego polecenia przed uruchomieniem następujących poleceń i przed uruchomieniem instalatora mstunnel.

  • ls — lista zawartości katalogu.

  • ls – l — Wyświetl zawartość katalogu, w tym znaczniki czasu.

  • cd — zmień na inny katalog. Na przykład cd /etc/test/stuff zmienisz katalog główny na podfolder etc na podfolder >>testowy, a następnie do folderu stuff.

  • cp <source> <destination> - Przydatne do kopiowania certyfikatów do właściwej lokalizacji.

  • ln –s <source> <target> — Utwórz łącze nietrwałe.

  • curl <URL> – Sprawdza dostęp do witryny internetowej. Przykład: curl https://microsoft.com

  • ./<filename> — Uruchom skrypt.

Ręczne ładowanie ip_tables

Użyj następujących poleceń, aby sprawdzić i ręcznie załadować, jeśli to konieczne, ip_tables w jądrze serwera systemu Linux. Użyj kontekstu sudo:

  • Zweryfikuj obecność ip_tables na serwerze: lsmod |grep ip_tables

  • Utwórz plik konfiguracji, który ładuje ip_tables do jądra po uruchomieniu serwera: echo ip_tables > /etc/modules-load.d/mstunnel_iptables.conf

  • Aby natychmiast załadować ip_tables do jądra: /sbin/modprobe ip_tables