异地旁路组网：zerotier

有这么一个需求：需要远程访问内网的nas。然后现成的解决方案有蒲公英这个方案，但是个人版的话限了只能3个设备，因此找了半天，最后选择了功能类似的zerotier.

创建网络

zerotier的使用很简单，首先去官网http://zerotier.com注册一个帐号，然后创建虚拟网络。

然后就会得到一个“网络ID”

安装zerotier

接着，我们在自己电脑以及内网的机器上面，安装Zerotier.具体安装方式可以看官网的链接：Download – ZeroTier

我本机和内网机器都是linux的，因此我安装了Linux版本。

安装完之后通过以下两条命令配置开机自启动：

sudo systemctl start zerotier-one.service
sudo systemctl enable zerotier-one.service

加入网络

然后，分别在内网的机器和自己的电脑上面运行下面这条命令：

sudo zerotier-cli join 网络id

这样就能加入网络了。但是申请加入网络之后，我们需要在zerotier官网允许设备的加入。

勾选最左边的框，即可允许设备加入网络。然后为了我们接下来设置路由转发，我们需要在右侧的框中为内网的机器设置固定的ip。（对于自己的电脑就不需要设置了）

配置旁路路由

由于我们希望借助内网的这台机器作为跳板，访问内网的nas，因此我们需要配置一定的路由规则。

配置Zerotier网关路由规则

首先，我们在zerotier官网上，设置一条路由规则，将所有尝试访问内网的请求，路由到内网的机器上面。我们假设内网的上级网段为192.168.1.*, 内网跳板机在虚拟网络中的ip为172.27.x.x, 那么就可以配置这样一条路由规则：

这样，虚拟网络的网关就会将发往192.168.1.0/24这个网段的数据包导向这台跳板机。

配置内网跳板机

接着，我们要配置这台跳板机，使得它能将来自zerotier的虚拟网卡的路由请求，转发到它的连接着内网的那个网卡接口。

由于内网的这台机器是Ubuntu的，因此以下的配置对于ubuntu来说是没有问题的。没有在别的linux发行版上面测试过。

首先，我们要启用内核的ip转发功能：

vim /etc/sysctl.conf

编辑上面这个文件，然后将里面关于ip路由转发的配置打开。就是，删掉相关内容前面的#号即可。

如下图所示，我只开启了ipv4转发，没有开ipv6的。如果要开ipv6的话，就把下面那行的#号给删了即可。

保存后，输入以下命令重载配置：

sysctl -p /etc/sysctl.conf

接着，我们需要配置路由规则。

首先，我们需要确定一下zerotier虚拟网卡的名字，以及连接着内网的网卡的名字。

在控制台输入

ifconfig

然后从输出的信息中，看对应的网段，找到虚拟网卡以及内网的网卡。zerotier的网卡名字一般是一串哈希值，看着就是很乱的无规律的字符。

接着我们直接在控制台输入以下命令，导出网卡的名字为环境变量：

PHY_IFACE=连接内网的网卡的名字
ZT_IFACE=zerotier的虚拟网卡名字

然后我们就可以在同一个控制台窗口下输入以下命令，更新路由表，就搞定了。


sudo iptables -t nat -A POSTROUTING -o $PHY_IFACE -j MASQUERADE
sudo iptables -A FORWARD -i $PHY_IFACE -o $ZT_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i $ZT_IFACE -o $PHY_IFACE -j ACCEPT
iptables-save

至此，内网跳板机的配置工作就结束了。

配置自己电脑的zerotier客户端

zerotier启动的时候默认不会把在zerotier官网设置的静态路由规则应用到本机，因此我们需要手动的启用。对于有可视化界面的客户端，比如安卓的，就会有一个选项：Route Via ZeroTier.对于Linux的命令行客户端，则需要这样配置：

sudo zerotier-cli set 网络id allowGlobal=1
sudo zerotier-cli set 网络id allowDefault=1

然后就可以ping通内网的其他机器了！

转载请注明来源：异地旁路组网：zerotier – 龙进的博客https://longjin666.cn/?p=1646

欢迎关注我的公众号“灯珑”，让我们一起了解更多的事物~