一个很简单的zerotier网络:
1、一台ipad pro,安装了zerotier app,加入了ZEROTIER虚拟网A,ip:10.148.1.10/24;
2、一台树莓派,eth0连接互联网,加入了ZEROTIER虚拟网A,ip:10.148.1.11/24,wlan0设置了热点,供其他设备连接。
3、一台AWS供应商ecs的debian实例,安装了zerotier,加入了ZEROTIER虚拟网A,ip:10.148.1.12/24;物理端口eth1,ip:172.27.1.20
请问高手:
1、怎么在Flow Rules上设置,能够将IPAD PRO访问互联网的流量(包括http,https,ssh,dns等),通过zerotier网络转发至debian实例的eth1出口出去访问互联网。
2、如果1不能实现,那么怎么使用Flow Rules配合Add Routes,能将连接树莓派wlan0热点的设备,通过zerotier网络转发至debian实例的eth1出口出去访问互联网?流量(包括http,https,ssh,dns等)
意思是想通过zeritoer代理公网流量吗?感觉你的方向错了,zerotier不是干这个用的,他主要的作用是打通两个局域网访问。
有一个方法可以实现类似的功能,但是不太优雅。
你可以在debian上搭建一个http代理服务器,监听到10.148.1.12的特定端口上,ipad通过小火箭等工具进行http代理访问公网。
你这个不太优雅的方法我也用过,的确可行的。
但是在看奈飞的app的时候,因为会对系统的vpn检测,会出现不能使用奈飞的情况。
所以我在考虑通过flowrules、配合add routes,实现透明路由。即在ipad上不可觉察外面节点的情况即可满足网域情况上网。
刚在官网上翻了历史文档。有两篇涉及到这个问题。两篇内容加起来,估计能够实现我这个全流量透明代理的要求。
源文档:
1、在树莓派上设置热点,热点网口桥接zerotier虚拟网口,实现连接wlan0口的设备,与zerotier虚拟网同网域可通信。这个解决了入口问题。相关网址:
https://zerotier.atlassian.net/wiki/spaces/SD/pages/193134593/Bridge+your+ZeroTier+and+local+network+with+a+RaspberryPi
2、在zerotier虚拟网边界节点设置iptables的SNAT规则,配套zerotier的路由规则设置,让zerotier网域里的特定机器通过边界节点出口出去。这个解决了出口问题。相关网址:
https://zerotier.atlassian.net/wiki/spaces/SD/pages/7110693
感谢帮助!我试过了是否可行再在这里回复。
我已经全部完成了这个预想目标。
在认真地参考了官方的文档,就可以实现。
操作主要步骤是这样的:
1、远端zerotier虚拟网边界节点设置系统ip转发,源转发,出互联网;
2、接入侧树莓派也设置系统IP转发,源转发,将接入的有线网口和无线移动设备流量转发到zerotier虚拟网;
3、接入侧树莓派、远端边界节点一同设置回程路由;
4、zerotier网的管理web上,设置批量路由,即需要通过zerotier转发的站点ip,都设置路由。
类似:1.0.0.0/8 远端边界节点虚拟网络ip
5、接入端树莓派设置 : sudo zerotier-cli set 你的zerotier networkid allowGlobal=1
这样就能实现接入侧的所有设备,通过转发上网。