plex加速器ios
none
对不熟悉的人来说,这是一个非常快速的介绍--我们有作为服务器的容器镜像,我们可以将这些服务器组织成站点。 每个站点都有一个服务器配置(IP 范围、DNS 服务器和分割隧道规则),应用于连接到该站点的服务器。 然后,我们通过 Intune 中的策略指定哪些站点用于哪些设备/应用程序。 有关工作原理的详细信息,请参阅文档:
plex加速器ios
none
有些人可能更喜欢使用内部 PKI,因此我将根据之前编写的指南,展示公众信任(Let's Encrypt)和内部 PKI:
在开始之前,我们至少需要一台运行 Docker (乌班图或蒙特卡洛系统)或 Podman (RHEL),您可以在此处找到支持的发行版:Microsoft 隧道 VPN 的先决条件
设置完成后,让我们登录 Intune,转到租户管理 - Microsoft Tunnel Gateway,然后单击服务器配置选项卡并单击创建新。
给它取个名字,然后点击下一步,并提供 IP 范围(可保留为 APIPA,以避免与网络重叠)、设置端口(需要防火墙规则才能公开)、DNS 服务器和其他所需的配置选项。 您也可以稍后编辑这些内容;)
完成后单击 "下一步",指定任何范围标记,然后单击 "下一步",如果一切正常,最后单击 "创建"。 现在点击网站选项卡,然后点击创建
提供名称,然后单击下一步。 在 "设置 "选项卡上,提供公共 FQDN(来自外部 DNS),选择我们刚刚创建的服务器配置,并根据实际情况设置其他设置(如用于检查连接性和容器升级维护窗口的内部 URL)。
完成后单击 "下一步",选择范围标记,然后单击 "下一步",再单击 "创建"。
最后,单击 "服务器 "选项卡,然后单击 "创建"。 在弹出窗口中,继续下载准备就绪工具并下载脚本.
现在,你可以通过 SCP 把这两个文件传过来,或者我刚刚做的none然后将内容粘贴进去并保存(两者都是如此)。 您可能需要none如果您想使用mst-readiness工具,虽然是可选的,但它有助于识别任何网络连接问题,以便进行出站过滤或 TLS 检查。
要检查连接性,请运行
bash mst-readiness 网络如果一切顺利,我们就可以通过运行来设置隧道:
sudo bash mstunnel-setup在安装过程中,我们会看到一份许可协议,我们可以向下翻页并点击 q 退出(当然是在阅读之后......)。 我们应该会看到一些成功的提示,以及几项管理任务--服务器变量和证书。
none
如果要使用 Let's Encrypt 证书,请按照下一节的说明操作。 如果要使用内部 PKI,请跳至该部分。
none
plex加速器ios
要申请 Let's Encrypt 证书,我们需要安装 certbot:
# Ubuntu sudo apt install certbot # CentOS / RHEL sudo dnf install epel-release sudo dnf install certbot接下来,我们需要为 certbot 设置一个部署钩子来复制证书文件:
#@#sudo bash -c 'cat << EOF > /etc/letsencrypt/renewal-hooks/deploy/tunnel.sh sudo rm /etc/mstunnel/certs/site.crt sudo rm /etc/mstunnel/private/site.key sudo cp /etc/letsencrypt/live/aws-tunnel.sharemylabs.com/fullchain.pem /etc/mstunnel/certs/site.crt sudo cp /etc/letsencrypt/live/aws-tunnel.sharemylabs.com/privkey.pem /etc/mstunnel/private/site.key EOF' chmod 750 /etc/letsencrypt/renewal-hooks/deploy/tunnel.sh#@#最后,我们可以申请证书(如果使用 HTTP 验证,不要忘记打开 80 端口)。
sudo certbot certonly -d aws-tunnel.sharemylabs.com --deploy-hook /etc/letsencrypt/renewal-hooks/deploy/tunnel.sh现在,当我们运行sudo bash mstunnel-setup但截至 2023/05/21,Let's Encrypt 已将我们的证书链入由现已撤销的 CA X3 签发的根 X1 上...
为了解决这个问题,我在命令中添加了--preferred-chain "ISRG Root X1",强制将链设置为自签名的 ISRG Root X1。
sudo certbot delete #<select cert and delete> sudo certbot certonly -d aws-tunnel.sharemylabs.com --deploy-hook /etc/letsencrypt/renewal-hooks/deploy/tunnel.sh --preferred-chain "ISRG Root X1"现在我们可以重新运行mstunnel-setupnone
如果我们返回 Intune,现在应该能看到服务器列表!
plex加速器ios
现在,假设我们想使用内部证书,因为 Let's Encrypt 太不靠谱,而且我们不想为其他提供商的证书付费 🤠
为此,我们要打开认证机构 MMC,右键单击证书模板,然后单击管理。
接下来,让我们右键单击 Web 服务器,然后单击复制模板。
转到一般我强烈建议有效期为 1 年或更短,以便将来与客户兼容。
关于请求处理选项卡,选中 "允许导出私钥 "复选框,因为我们需要申请并导出私钥,以便将其带入 Linux 服务器。
关于延伸选项卡,验证应用程序策略包含服务器验证。
关于安全问题标签,单击 "添加...",然后单击 "对象类型...",然后选中 "计算机 "复选框,单击 "确定",然后添加正在使用的计算机名称,最后单击 "确定"。
选择刚添加的计算机,然后选中允许注册权限。
最后,在科目名称选项卡,确认已选择 "请求中供应",然后单击 "确定 "保存模板。
回到我们的证书颁发机构 MMC,右键单击证书模板,悬停在新建上,然后单击证书模板签发。
从列表中选择新模板,然后单击 "确定"。
现在我们需要申请证书,因此让我们搜索计算机证书并打开计算机证书 MMC。
none
none
在下一个屏幕中,我们将看到我们的模板,然后点击模板名称下方的警告,填写更多信息。 最重要的是,SAN必须在 DNS 中使用我们之前使用的公共 FQDN。 在类型下选择 DNS,提供 FQDN,然后单击添加。 同时添加一个 CN,然后单击确定。
none
现在右键单击新证书,将鼠标悬停在 "所有任务 "上,然后单击 "导出"...
在向导中,单击下一步,选择"是,导出私钥",然后单击下一步。
应该已经选择了 PFX,默认值应该没问题。 单击下一步,然后选中密码框并提供密码,然后单击下一步。
最后,浏览到一个安全路径来保存 PFX 文件,单击 "下一步",然后单击 "完成"。
none和我们的根 CA 证书到我们的 Linux 主机。 将 PFX 复制到none和根 CA 证书到none.
如果您使用的是 Let's Encrypt 证书,我们需要先删除这些证书:
sudo rm /etc/mstunnel/certs/site.crt sudo rm /etc/mstunnel/private/site.keyPFX 和根 CA 都已就位,我们需要使用以下方法导入证书:
#cp aws-tunnel.pfx /etc/mstunnel/private/site.pfx #cp SMLRootCA2023.cer /etc/mstunnel/ca-trust/ca.crt sudo mst-cli import_cert sudo mst-cli server restartplex加速器ios
none
在 Intune 中,单击 "健康状态 "选项卡,您可能会看到有警告,因为微软的目标是相当高的使用率,因此需要资源。 如果你想调整这些,请单击 "配置阈值 "按钮,然后更改到你想要的设置;)
单击其中一个服务器,您就会收到一份漂亮的总体健康状况报告,其中包含任何警告的原因,如磁盘空间不足、CPU/内存不够等。
趋势 "选项卡非常适合显示使用情况和性能指标,但在客户开始连接之前,我们无法获得这些数据。 如果我们查看日志选项卡,你会发现我们可以选择一个时间范围,然后点击生成按钮。 这将为我们从容器中查询和拉回日志,非常酷!
现在你应该有了一个完全正常工作的服务器,下一步就是配置使用它的策略。 我将在另一篇博文中详细介绍这一点,但目前你可以在这里查看文档: