背景
公司有几台内网服务器没有公网IP地址,只能在公司局域网内访问,多有不便。通过工具实现内网穿透后,内网服务器上的一些服务如gitlab、jira、Jenkins甚至是SSH就可以实现异地访问。目前较为流行的内网穿透工具有frp、ngrok、zerotier、花生壳等。这两天简单研究了一下zerotier,所以本篇文章主要介绍zerotier。
ZeroTier简介
项目地址:https://github.com/zerotier/ZeroTierOne
ZeroTier是一款利用 UDP 打洞来实现内网穿透的工具,相比其他工具成功率更高、部署更简单。其基本工作原理是组建一个虚拟局域网,各个设备(NAS、Linux、Windows、Mac、iOS、Android)安装了客户端、加入到这个虚拟局域网后,就会自动分配一个IP,从而实现局域网内各个设备及服务的相互访问。
zerotier的一些专有名词:
- PLANET 行星服务器,Zerotier 官方根服务器,在国外。免费版最大支持25个设备连接。
- MOON 卫星服务器,私有根服务器,可以利用带有公网IP的云服务器自己搭建,起到代理加速的作用
- LEAF 网络客户端,连接到根服务器的网络节点,如上述提到的NAS、群晖、Linux、Windows等
使用PLANET 行星服务器
通过Zerotier官方根服务器建立虚拟局域网,优点是在没有自带公网IP的云服务器的情况下也可以异地组网,部署简单快捷,全地球都可以访问;缺点是:① 免费版允许连接的设备有限,最大25台,不过个人或小团队使用的话也够用了;② 数据不安全,毕竟是外国的服务器,一般没什么重要数据的情况下可以使用;③ 受网络波动影响,用网高峰期可能连接不稳定;
一、注册ZeroTier服务
1.注册账号
访问https://my.zerotier.com/network,注册账号,注册后登录。
2.创建网络
注册后登录到主页,会有一个“Create A Network”的黄色按钮,点击即可创建一个网络,一切保持默认即可。
创建完成后,主页会显示这个网络,记住这个16位的NETWORK ID,后面会用到。
二、客户端加入网络
1.内网服务器安装客户端
因为主要就是想内网穿透访到这几台内网服务器,所以这几台服务器都要安装zerotier客户端。zerotier有两种安装方式,一种是最原始方式的编译安装,一种是通过脚本自动安装。下面分别介绍一下这两种方式:
方式一:脚本安装
首次安装的话,推荐这种方式,简单快捷,只要执行以下命令一键安装即可。安装完成后会自动在/var/lib/zerotier-one/下生成相关文件及目录
curl-s https://install.zerotier.com | sudobash# Linux系统
其他操作系统:下载地址:https://www.zerotier.com/download/
方式二:编译安装
① 下载源码包
这种方式稍微有点繁琐,需要安装一些依赖,比如:gcc、cargo。主要适用于zerotier无法加入网络,想卸载重装但卸载不干净的情况。首次安装推荐使用方式一。
可以先通过Windows下载到本地然后通过SSH工具上传到服务器,再解压。当然如果服务器已经安装git工具就更方便了,可以通过git命令一键克隆源码:
git clone https://github.com/zerotier/ZeroTierOne.git
文件夹内会显示如下文件:
② 编译
进入ZeroTierOne,执行make命令即可
make
执行make时可能会遇到报错“g: error: unrecognized command line option ‘-std=c++17’”,是因为编译器不支持c++17,需要升级GCC。
CentOS默认安装的GCC是4.8.5的版本,可以通过如下方式升级g++,推荐7.3版本。
yum install gccgcc-vyum -y install centos-release-scl # 升级到9.1版本 yum -y install devtoolset-9-gcc devtoolset-9-gcc-c++ devtoolset-9-binutils scl enable devtoolset-9 bash
注意:部分软件的编译,9.3.1的高版本可能编译不过,可以将上述命令中的9改为8或7就可以安装激活8.x.x或7.x.x版本的gcc了
# 如果是想升级到7.3版本,则使用如下命令yum -y install devtoolset-7-gcc devtoolset-7-gcc-c++ devtoolset-7-binutils scl enable devtoolset-7 bash
安装完gcc 7后,再次执行make命令,可能还会报错“/bin/sh: cargo: command not found”
zerotier的编译依赖cargo,安装cargo:
yum install -y cargo
再次执行make即可编译通过:
③ 启动zerotier-one
./zerotier-one -d
启动后,会自动绑定9993端口,查看9993端口被绑定,即表示启动成功:
④ 给zerotier-cli创建软链接
此种安装方式安装后,zerotier-cli只保存在ZeroTierOne目录中,系统中没有zerotier-cli这个命令,在后续使用zerotier-cli命令查看网络情况时,需要一直在ZeroTierOne文件夹下通过./zerotier-cli的方式执行,多有不便。所以,可以通过创建软链接或是将zerotier-cli文件复制到/usr/local/bin目录下的方式,在全局使用zerotier-cli命令。以下为zerotier-cli创建软链接:
chmod+x zerotier-cli # 增加执行权限ln-s /var/lib/ZeroTierOne/zerotier-cli /usr/local/bin/zerotier-cli
注意:创建软链接时,不能使用相对路径,要使用绝对路径,否则在使用zerotier-cli命令时,会报错“bash: /usr/local/bin/zerotier-cli: Too many levels of symbolic links”
2.客户端加入创建的网络
客户端分别加入网络,想穿透哪台,哪台就加入。
zerotier-cli join 830xxxxx9c49 # 上面第一步创建网络生成的16位IDzerotier-cli status # 查看网络状态
客户端加入后,zerotier的Web管理页面就能看到该网络,勾选该网络,表示同意客户端接入
勾选后,管理端会随机分配一个IP地址给这台客户端,同时也可以自定义一个IP地址。例如我加入了多台内网服务器,并自定义了IP地址和名称:
3.客户端查看本地服务器网络情况
zerotier-cli listnetworks # 如果连接成功,并且管理页面中勾选此客户端,则会返回以下内容200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 830xxxxxxxx49 high_wozniak 4a:ce:1d:66:95:9b OK PRIVATE ztqu3hhgt3 10.147.18.122/24
zerotier-cli客户端服务器加入网络后,相当于在本地虚拟了一块网卡,网卡地址就是虚拟局域网分配给这台客户端的地址:
4.测试连通性
例如有两台服务器都安装了客户端,并且都加入了上面创建的网络,客户端A地址是10.147.18.122,客户端B的地址是10.147.18.211,则可以在客户端A所在的服务器上ping客户端B,测试两台机器有没有互通。
ping10.147.18.211 # ping同一虚拟网络下的其他客户端
网络延迟不到1ms,挺好的。
5.异地电脑安装客户端
就像开篇提到的,我的需求是想在家中也可以访问公司的内网服务器上的服务,那么我在家中的电脑也需要安装zerotier客户端,并加入到zerotier网络。这也是这个工具比较麻烦的地方。以我个人电脑为例,我的是Mac电脑(Windows步骤差不多),连接的是手机热点。
在官网下载、双击安装即可,中间 有什么权限请求的,允许就行了。
安装完成后,打开zerotier,电脑顶部会有个zerotier的图标,选择加入新网络,输入上面生成的网络ID,加入。
6.访问其他客户端上的服务
比如有的服务器上安装了Jira、有的安装了Gitlab,输入zerotier分配该客户端(内网服务器)的虚拟局域网地址,并带上端口号,即可访问。
访问Jira
访问Gitlab
访问Jenkins
访问mayfly
mayfly是一款不错的开源一站式服务器、数据库管理工具,内网穿透到这台服务器后,通过mayfly工具,就相当可以随时随地在网页端、访问其管理的各个内网服务器终端。
例如:连接到jira服务器中端:
搭建MOON中转服务器
鉴于上述提到的zerotier官方行星服务器速度不稳定、数据不安全的弊端,有条件的比如有云服务器的可以自建moon卫星服务器,用于中转加速。我试了一下,感觉没什么区别,速度并没提升多少,可能是我还没有理解到moon的精髓,亦或是姿势不对,所以不过多发表意见,以下只提供教程:
一、安装配置zerotier
1.下载zerotier
自建卫星服务器,同样需要安装zerotier,安装方式同客户端安装一致,唯一区别是在云服务器上安装。
curl-s https://install.zerotier.com | sudobash# Linux系统
2.生成认证配置文件
进入云服务器的zerotier-one文件夹,生成认证配置文件
cd /var/lib/zerotier-one/ zerotier-idtool initmoon identity.public > moon.json
如下图所示,执行上述命令后会生成一个moon.json的配置文件
3.编辑配置文件,添加公网ip
编辑moon.json,添加云服务器的公网ip
"stableEndpoints": ["180.76.xxx.xxx/9993"]
其中,180.76.xxx.xxx为云服务器的公网ip,9993为zerotier默认端口(注:云服务器安全组中需开放9993端口,否则客户端连接不上moon)
4.生成签名文件
zerotier-idtool genmoon moon.json # 执行通过后会给出下面的提示,并生成一个.moon结尾的文件# wrote 0000006a449297b4.moon (signed world with timestamp 1665386844310)
5.将moon节点加入网络
在/var/lib/zerotier-one/目录下新建一个moons.d的目录,并将生成的.moon结尾的文件移动到此目录下。
mkdir moons.d mv 0000006a449297b4.moon moons.d/
6.重启中转服务器的zerotier-one
systemctl restart zerotier-one # 重启zerotier-one服务
二、客户端加入moon
1.复制.moon文件到各个客户端
客户端(内网服务器)的/var/lib/zerotier-one/目录下也新建一个moons.d的目录,并将moon节点的.moon文件复制到此目录下。随后重启zerotier-one服务。
systemctl restart zerotier-one # 重启zerotier-one服务
2.查看是否建立连接
zerotier-cli listpeers # 查看是否建立连接
如果出现moon节点的IP地址,并且结尾显示MOON,则表示内网服务器客户端已加入moon。
我看了网上很多教程,moon的搭建过程、客户端接入到此就结束了,就没有然后了.......我没觉得有什么不同。因为我尝试过在自建卫星服务器后,把行星服务器上的各个客户端接入都删除,理论上此时应该会自动转到moon作为根服务器,但是此时的moon并没有承担起管理网络、根服务器的职能,无法查看各个客户端的IP地址,各个客户端也就无法相互访问.......很多人提到的中转加速我也没感受到速度有什么变化。也可能是我研究的不够深入,还有什么地方没设置好的缘故,回头再研究研究这个moon。总之只要不删除行星服务器上的各个客户端接入,各个客户端就能正常访问。
附:卸载zerotier
yum remove zerotier-one -yrm-rf /var/lib/zerotier-one/
本文部分内容参考以下文章: