Jednym z typowych problemów jakie napotykamy w sieciach IPv4 jest konieczność „przejścia” przez NAT, aby dostać się do komputera we wnętrzu sieci. Oczywiście jeśli kontrolujemy urządzenia sieciowe „po drodze” i jesteśmy w stanie je przekonfigurować to problem jest łatwy do wyeliminowania (pozostaje jeszcze tylko kwestia statycznego publicznego adresu IP :P).
ZeroTier pozwala w łatwy sposób „obejść” to ograniczenie w bezpieczny i elastyczny sposób :)
Jak to działa?
Bardzo prosto: instalujemy klienta ZeroTier, który tworzy wirtualny interfejs sieciowy. W panelu ZeroTier konfigurujemy jedną lub więcej sieci a następnie przyłączamy klienta do danej sieci.
Po przyłączeniu klienta tworzony jest VPN, który umożliwia bezpieczną komunikację z wszystkimi komputerami, w ramach danej sieci ZeroTier. Czyli to tak jakbyśmy mieli „switcha w chmurze” i podpięli do niego nasze komputery :)
The good
Rozwiązanie działa bardzo sprawnie i dotychczas było w stanie się połączyć przez wiele NATów, jakie przyszło mi napotkać, do tego jest praktycznie bezobsługowe – raz włączone automatycznie startuje wraz z systemem i podłącza do wybranych sieci.
Szybkość przesyłu jest bez zastrzeżeń i jest ona bliska rzeczywistej prędkości osiągalnej na „najsłabszym łączu” na trasie pakietów. Jest to możliwe, ponieważ ZeroTier stara się zestawić połączenia VPN pomiędzy poszczególnymi klientami bezpośrednio, stąd – po początkowej fazie przekazywania pakietów przez inne węzły (co jest oczywiście wolniejsze) – następuje zestawienie połączenia bezpośrednio między hostami, stąd duża wydajność przesyłu danych.
Usługa oferuje możliwość konfiguracji zakresów sieciowych (zarówno IPv4 jak i IPv6) dla danej sieci i przydziela adresy z tych zakresów do hostów, a więc nie musimy się martwić o instalację własnego serwera DNS itd.
ZeroTier to nie tylko software, ale także urządzenia – jeśli chcemy podłączyć np. drukarkę, serwer NAS (lub dowolne urządzenie, które nie oferuje możliwości instalacji oprogramowania ZeroTier) do takiej prywatnej sieci to możemy zamówić urządzenie na kształt switcha, do którego podpinamy fizyczne kable ethernet. Tak podłączone fizyczne kable możemy spiąć z wirtualną siecią w ramach ZetoTier :)
The bad
Usługa może działać w dwu trybach: z wykorzystaniem infrastruktury ZeroTier do zarządzania siecią i pośredniczenia w początkowej fazie zestawiania połączeń lub też w ramach własnych kontrolerów o których hostingu musimy zadbać sami.
O ile druga opcja pod względem bezpieczeństwa i prywatności nie budzi większych zastrzeżeń o tyle opcja z wykorzystaniem infrastruktury budzi moje lekkie obawy, gdyż ew. włamanie do ZeroTier może oznaczać, że atakujący autoryzuje swojego klienta i przyłączy go do „naszej” sieci, uzyskując typ samym bezpośredni dostęp do usług na hostach w sieci. Nie jest to być może wielki problem w epoce prostych w konfiguracji firewalli, niemniej jednak jest to coś o czym trzeba pamiętać.
Jak wspomniałem powyżej, usługa oferuje możliwość automatycznego przydzielania adresów, nie mamy natomiast niestety możliwość „pchania” do klientów tras do tablic routingu (jak ma to miejsce np. w OpenVPN), a więc wszelkie scenariusze w którym potrzebujemy routingu przez jeden z węzłów w naszej prywatnej sieci niestety trzeba obsłużyć ręcznie (lub też próbować obejść np. własnym serwerem DHCP).
Koszty
W ramach usługi dostępnej za darmo możemy podłączyć do 100 węzłów. To sporo jak na zastosowania domowe, natomiast jeśli potrzebujemy więcej to wystarczy zapłacić 29 USD/mc, aby otrzymać nielimitowaną liczbę urządzeń.
Podsumowanie
Jeśli masz potrzebę utworzenia prywatnej sieci między swoimi urządzeniami, która jest niezależna od ich położenia, ilości NATów po drodze i innych przeszkód, zdecydowanie powinieneś wypróbować ZeroTier :)
Marcin cze 02 , 2018 at 13:01 /
Witam, mógłbyś podać może jeszcze jakieś alternatywy dla zerotier? Instalowałem na lede ale bez sukcesu. Brak połączenia pomiędzy pc a routerem. Zrobiłem podejście na androidpc i tu już działa. Założeniem jest zbudowanie sieci VPN ale bez posiadania publicznego ip.
Pozdrawiam
luktom cze 15 , 2018 at 10:52 /
Zanim zacząłem korzystać z ZeroTier używałem głównie OpenVPN, tutaj niestety konieczna była jakaś maszynka z publicznym IP, natomiast po podłączeniu pozostałych komputerów uzyskiwało się łączność sieciową między nimi (przez ten serwer VPN). Dawno temu też korzystałem z Hamachi, ale raczej słabo to działało. Programów typu „p2p vpn” znajdziesz pewnie sporo, natomiast nie testowałem, bo ZeroTier się sprawdza świetnie :)
Jest jeszcze jedna opcja – IPv6, natywnie lub przez tunnelbrokera – uzyskasz w ten sposób łączność między maszynami i jednocześnie nie będziesz musiał utrzymywać żadnej infrastruktury (gdyż tunnelbroker sam będzie „punktem pośredniczącym” w przekazywaniu ruchu).