Compartir vía

Referencia para la puerta de enlace de Microsoft Tunnel

  • Artículo

La información de esta referencia para La puerta de enlace de Microsoft Tunnel se proporciona para admitir la instalación y el mantenimiento de la instalación del túnel en su entorno.

Herramienta de línea de comandos mst-cli para La puerta de enlace de Microsoft Tunnel

Mst-cli es una herramienta de línea de comandos para su uso con La puerta de enlace de Microsoft Tunnel. Esta herramienta está disponible en el servidor Linux una vez que el túnel finaliza la instalación y se encuentra en /usr/sbin/mst-cli. Algunas tareas que puede usar esta herramienta para completar incluyen:

  • Obtenga información sobre el servidor de túnel.
  • Establezca o actualice la configuración del servidor de túnel.
  • Reinicie el servidor de túnel.
  • Desinstale el servidor de túnel.

A continuación se muestran los usos comunes de la línea de comandos de la herramienta.

Interfaz de línea de comandos:

  • mst-cli –help - Uso: mst-cli [command]

    Comandos:

    • agent - Operar en el componente del agente.
    • server - Operar en el componente de servidor.
    • uninstall - Desinstale Microsoft Tunnel.
    • eula - Mostrar el CLUF.
    • import_cert - Importe o actualice el certificado TLS.

  • mst-cli agent –help - Uso: agente mst-cli [command]

    Comandos:

    • logs - Mostrar los registros del agente (-h para obtener más información).
    • status - Mostrar el estado del agente.
    • start - Inicie el servicio del agente.
    • stop : detenga el servicio del agente.
    • restart : reinicie el servicio del agente.

  • mst-cli agent logs help - Uso: registros de agente de mst-cli [flags]

    Banderas:

    • -f, --follow - Siga la salida del registro. El valor predeterminado es falso.
    • --since string - Mostrar registros desde TIMESTAMP.
    • --tail uint : se genera el número especificado de LÍNEAS al final de los registros. El valor predeterminado es cero (0), que imprime todas las líneas.
    • -t, --timestamps - Genere las marcas de tiempo en el registro.

  • mst-cli agent status - Las siguientes devoluciones son ejemplos de resultados que puede ver:

    • Estado: en ejecución
    • Estado: correcto

  • mst-cli agent start : inicia el agente si está detenido.

  • mst-cli agent stop : detiene el agente. Debe iniciarse manualmente después de la detención.

  • mst-cli agent restart : reinicia el agente.

  • mst-cli server --help - Uso: servidor mst-cli [comando]

    Comandos:

    • logs - Mostrar los registros del servidor. Use -h para obtener más información.
    • status - Mostrar el estado del servidor.
    • start - Inicie el servicio de servidor.
    • stop - Detenga el servicio de servidor.
    • restart : reinicie el servicio de servidor.
    • show - Mostrar varias estadísticas de servidor. Use -h para obtener más información.

  • mst-cli server logs –help - Uso: registros de servidor mst-cli [flags]

    Banderas:

    • -f, --follow - Siga la salida del registro. El valor predeterminado es falso.
    • --since string - Mostrar registros desde TIMESTAMP
    • --tail uint : se genera el número especificado de LÍNEAS al final de los registros. El valor predeterminado es cero (0), que imprime todas las líneas.
    • -t, --timestamps - Genere las marcas de tiempo en el registro.

  • mst-cli server status - Las siguientes devoluciones son ejemplos de resultados que puede ver:

    • Estado: en ejecución
    • Estado: correcto

  • mst-cli server start : inicia el servidor si está detenido.

  • mst-cli server stop : detiene el servidor. Debe iniciarse manualmente después de la detención.

  • mst-cli server restart : reinicia el servidor.

  • mst-cli server show

    • show status - Imprime el estado y las estadísticas del servidor.
    • show users : imprime los usuarios conectados.
    • show ip bans - Imprime las direcciones IP prohibidas.
    • show ip ban points - Imprime todas las direcciones IP conocidas que tienen puntos.
    • show iroutes : imprime las rutas proporcionadas por los usuarios del servidor.
    • show sessions all - Imprime todos los identificadores de sesión.
    • show sessions valid : imprime todo el valor válido para las sesiones de reconexión.
    • show session [SID] - Imprime información sobre la sesión especificada.
    • show user [NAME] - Imprime información sobre el usuario especificado.
    • show id [ID] - Imprime información sobre el identificador especificado.
    • show events : proporciona información sobre cómo conectar usuarios.
    • show cookies all - Alias para todas las sesiones de presentación.
    • show cookies valid - Alias para las sesiones de presentación válidas.

Variables de entorno

A continuación se muestran las variables de entorno que puede que desee configurar al instalar el software puerta de enlace de Microsoft Tunnel en el servidor Linux. Estas variables se encuentran en el archivo de entorno /etc/mstunnel/env.sh:

  • http_proxy=[address]: la dirección HTTP del servidor proxy.
  • https_proxy=[address]: la dirección HTTPs del servidor proxy.

Rutas de acceso de datos

Ruta de acceso/archivo Descripción Permisos
/.../mstunnel Directorio raíz para toda la configuración. Raíz del propietario, Grupo mstunnel
/.../mstunnel/admin-settings.json Contiene la configuración para la instalación del servidor.  Intune administra este archivo y no se debe editar manualmente.
/.../mstunnel/certs Directorio donde se almacena el certificado TLS.  Raíz del propietario, Grupo mstunnel
/.../mstunnel/private Directorio donde se almacenan el certificado del agente de Intune y la clave privada TLS.  Raíz del propietario, Grupo mstunnel

Archivos agregados durante la instalación del servidor

/etc/mstunnel:

  • admin-settings.json:

    • Contiene la configuración serializada del servidor de Intune.
    • Se crea después de que se inscriba el servidor.

  • agent-info.json:

    • Se crea cuando se completa la inscripción.
    • AgentId, IntuneTenantId, AADTenantId y el certificado de agente RenewalDate.
    • Se ha actualizado al renovar el certificado del agente.

  • private/agent.p12:

    • Certificado PFX que se usa para la autenticación del agente para Intune.
    • Se renueva automáticamente.

  • version-info.json:

    • Contiene información de versión de los distintos componentes.
    • ConfigVersion, DockerVersion, AgentImageHash, AgentCreateDate, ServerImageHash, ServerCreateDate.

  • ocserv.conf:

    • Configuración del servidor

  • Images_configured

Las imágenes de Docker usadas para crear los contenedores:

  • agentImageDigest
  • serverImageDigest

Ejemplo de admin-settings.json

{
"PolicyName": "Auto Generated Policy for rh7vm",
   "DisplayName": "rh7vm Policy",
   "Description": "This policy was auto generated for rh7vm",  
   "Network": "169.100.0.0/16",
   "DNSServers": ["168.63.129.16"],
   "DefaultDomainSuffix": "nmqjwlanybmubp4imht0k2b4qd.xx.internal.cloudapp.net",
   "RoutesInclude": ["default"],
   "RoutesExclude": [],
   "ListenPort": 443
}
configuración de Administración Descripción
PolicyName Nombre de la directiva de configuración. Puede elegir el nombre.
DisplayName Nombre para mostrar corto. Puede elegir el nombre.
Descripción Descripción de la directiva. Puede elegir la descripción.
Red La red y la máscara que se usan para asignar direcciones virtuales de clientes. Esto no tiene que cambiar a menos que tenga un conflicto. Esta configuración admite hasta 64 000 clientes.
DNSServers Lista de servidores DNS que el cliente debe usar. Estos servidores pueden resolver las direcciones de los recursos internos.
DefaultDomainSuffix Sufijo de dominio que un cliente anexa al nombre de host al intentar resolver recursos.
RoutesInclude Lista de rutas que se enrutan a través de la VPN. El valor predeterminado son todas las rutas.
RoutesExclude Lista de rutas que deben omitir la VPN.
ListenPort Puerto en el que el servidor VPN recibe tráfico.

Comandos de Docker

Los siguientes son comandos comunes para Docker que pueden ser de uso si debe investigar problemas en un servidor de túnel.

Nota:

La mayoría de las distribuciones de Linux usan Docker. Sin embargo, algunos como Red Hat Enterprise Linux (RHEL) 8.4 no admiten Docker. En su lugar, estas distribuciones usan Podman. Para obtener más información sobre las distribuciones admitidas y los requisitos de Docker o Podman de cada una, consulte Servidores Linxu.

Las referencias y las líneas de comandos escritas para Docker se pueden usar con Podman reemplazando Docker por podman.

Interfaz de línea de comandos:

  • docker ps –a – Ver todos los contenedores.

    • mstunnel-server : este contenedor ejecuta los componentes del servidor ocserv y usa el puerto de entrada 443 (valor predeterminado) o una configuración de puerto personalizada.
    • mstunnel-agent: este contenedor ejecuta el conector Intune y usa el puerto de salida 443.

  • Para reiniciar Docker:

    • systemctl restart docker

  • Para ejecutar algo en un contenedor:

    • docker exec –it mstunnel-server bash
    • docker exec –it mstunnel-agent bash

Comandos de Podman

Los siguientes son comandos para Podman que pueden ser de uso si debe investigar problemas en un servidor de túnel. Para obtener más comandos que puede usar con Podman, consulte Comandos de Docker.

  • sudo podman images - Enumerar todos los contenedores en ejecución.
  • sudo podman stats - Mostrar el uso de CPU del contenedor, el uso de MEM, la E/S de red y la E/S en bloque.
  • sudo podman port mstunnel-server - Enumere las asignaciones de puertos de tunnel-server al host local de Linux.

Comandos de Linux

Los siguientes son comandos comunes de Linux que puede usar con un servidor de túnel.

  • sudo su – Te hace rootear en la caja. Use este comando antes de ejecutar los comandos siguientes y antes de ejecutar mstunnel-setup.

  • ls : enumera el contenido del directorio.

  • ls – l : enumera el contenido del directorio, incluidas las marcas de tiempo.

  • cd : cambie a otro directorio. Por ejemplo, cambia del directorio raíz a la subcarpeta >etc a la subcarpeta >de prueba y, a continuación, cd /etc/test/stuff a la carpeta stuff.

  • cp <source> <destination> - Útil para copiar los certificados en la ubicación correcta.

  • ln –s <source> <target> - Crear un vínculo temporal.

  • curl <URL> – Comprueba el acceso a un sitio web. Por ejemplo: curl https://microsoft.com

  • ./<filename> - Ejecute un script.

Cargar manualmente ip_tables

Use los siguientes comandos para buscar y cargar manualmente, si es necesario, ip_tables en el kernel del servidor Linux. Use el contexto sudo:

  • Valide la presencia de ip_tables en el servidor: lsmod |grep ip_tables

  • Cree un archivo de configuración que cargue el ip_tables en el kernel cuando se inicie el servidor: echo ip_tables > /etc/modules-load.d/mstunnel_iptables.conf

  • Para cargar ip_tables en el kernel inmediatamente: /sbin/modprobe ip_tables