ZeroTier可以在無(wú)公網(wǎng)IP的情況下提供便捷的虛擬局域網(wǎng)組網(wǎng)和內(nèi)網(wǎng)穿透方案。簡(jiǎn)單來(lái)說(shuō), ZeroTier就是一個(gè)VLAN組建工具，主要有如下的優(yōu)勢(shì)和缺點(diǎn)：

• 配置非常簡(jiǎn)單，只需要在官網(wǎng)創(chuàng)建Network?？蛻舳酥苯蛹尤隢etwork即可。

• 跨平臺(tái): ZeroTier提供了windows, macOS, linux, Android, iOS...幾乎全平臺(tái)的客戶端, 你可以把任意平臺(tái)的設(shè)備接入VLAN。

• 免費(fèi)可以支持100個(gè)設(shè)備組網(wǎng)。
  

• 缺點(diǎn)：官網(wǎng)只提供英文，沒(méi)有中文版。

本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，介紹如何用ZeroTier來(lái)實(shí)現(xiàn)遠(yuǎn)程辦公撥入和內(nèi)網(wǎng)穿透。

1. 創(chuàng)建賬號(hào)

ZeroTier的配置首先需要在ZeroTier官網(wǎng)上創(chuàng)建賬號(hào)，如圖：

2. 創(chuàng)建虛擬網(wǎng)絡(luò)

創(chuàng)建虛擬網(wǎng)絡(luò)后，就可以讓各個(gè)客戶端都加入到該虛擬網(wǎng)絡(luò)中，并且實(shí)現(xiàn)互通互訪。如下圖，點(diǎn)擊“Networks”中的“Create a Network”，就可以創(chuàng)建一個(gè)新的網(wǎng)絡(luò)（需要記錄下該Network ID供客戶端加入）

配置該網(wǎng)段的IP段等參數(shù)，訪問(wèn)控制（Access Control）一般推薦為“私有（PRIVATE）”模式。私有（PRIVATE）模式下，每個(gè)終端必須經(jīng)過(guò)授權(quán)才可以接入；公開(kāi)（PUBLIC）模式的話，客戶端只需要知道你的Network ID就可以加入，不安全。所以一般推薦用PRIVATE模式。如圖：

3. ZeroTier客戶端配置

ZeroTier支持的客戶端平臺(tái)非常多，以我們的WSG上網(wǎng)行為管理網(wǎng)關(guān)為例，直接在“ZeroTier”模塊中，開(kāi)啟ZeroTier并且輸入NetworkID即可加入該網(wǎng)絡(luò)。

下圖是用安卓手機(jī)的ZeroTier客戶端配置。

4. 客戶端授權(quán)

PRIVATE模式下，客戶端加入網(wǎng)絡(luò)是需要經(jīng)過(guò)授權(quán)的。如下圖，你需要在官網(wǎng)上在對(duì)應(yīng)的客戶端前面打勾才允許該客戶端的接入，也可以在此界面給客戶端配置固定IP，便于后續(xù)的管理。

5. 速度和測(cè)試

客戶端授權(quán)通過(guò)后，就可以互聯(lián)互通了。雖然ZeroTier的官網(wǎng)服務(wù)器在國(guó)外，但是它自身的通訊是P2P網(wǎng)絡(luò)。從下圖中可以看到ping值還是可以的。

5. 通過(guò)zerotier轉(zhuǎn)發(fā)內(nèi)網(wǎng)

開(kāi)啟zerotier后，WSG作為zerotier的一個(gè)客戶端節(jié)點(diǎn)，從zerotier虛擬網(wǎng)絡(luò)默認(rèn)只能訪問(wèn)到WSG自身，如果想要通過(guò)zerotier訪問(wèn)到整個(gè)局域網(wǎng)，還需要添加路由規(guī)則和防火墻策略。

在zerotier中，添加到內(nèi)網(wǎng)的路由表。

WSG的防火墻策略，默認(rèn)并不轉(zhuǎn)發(fā)zerotier的虛擬網(wǎng)數(shù)據(jù)包。如果允許zerotier的虛擬網(wǎng)接入內(nèi)網(wǎng)，還需要把zt+的設(shè)備加入到“防火墻策略”的“內(nèi)網(wǎng)區(qū)域”中（內(nèi)網(wǎng)區(qū)域的防火墻策略默認(rèn)允許轉(zhuǎn)發(fā)）。如下圖：