OPNsense Zerotier网络配置示例

在进行以下操作之前,要确保已经在Zerotier Portal上注册了Zerotier并在门户网站上创建了一个网络,以便此网络节点能加入到创建的Zerotier网络。该网络为私有网络,默认情况下,授权节点之间可以互相通信,通信都是加密的。由于分配的IP地址是RFC1918地址,在Internet上不可路由。

测试平台信息:

节点1:LEDE软路由,LAN网关地址:192.168.101.1,已搭建好ZeroTier网络,参见LEDE 配置ZeroTier网络教程

节点2:OPNsense防火墙,LAN网关地址:192.168.100.253。

ZeroTier管理的路由见下图:

安装Zerotier

导航到系统>固件>插件菜单,找到os-zerotier插件并安装,见下图:

LAN接口设置

导航到接口>LAN,选中”防止接口删除”选项。以避免在启用Zerotier网络以后,出现不能访问防火墙的问题

Zerotier配置

导航到VPN>Zerotier菜单,在”设置”选项卡,选中启用。其他选项可不填写。

转到网络选项卡,点击右下角的”+”号,添加网络ID。在此处添加的网络ID会将OPNsense防火墙加入指定的Zerotier网络。

添加网络以后,并不会自动将OPNsense加入该网络,只有选中启用后,才会加入该网络,如上图所示。这里注意,如果启用网络以后不能访问防火墙,那么可能是你没有修改LAN接口的”防止接口删除”选项。

为了让节点相互通信,还必须登录门户网站,选择网络,找到节点地址,然后单击“Auth(认证)”对其进行授权。节点旁边的复选框从“红色”变为“绿色”就表示已被授权。这里可以自动或手动输入一个IP地址。

ZeroTier概况

导航到VPN>ZeroTier>概况,这里可以查看ZeroTier网络的一些信息。仅在启用Zerotier插件的情况下才能查看。

分配接口

分配接口不是必须的,如果只是节点之间互相访问,只需启用网络即可。如果你需要更高阶的应用,如使用OSPF等,则可以分配Zerotier虚拟接口,以充分利用防火墙的路由功能。例如要访问防火墙后面的子网,就必须分配接口并添加规则。

注意:要给该节点分配接口,必须在Zerotier门户网站上将该节点IP地址的自动分配改为手动分配,如下图所示:

然后导航到到”接口”菜单项,单击分配。这里可以找到一个以zt开头的新接口。单击+符号进行分配。打开新接口OPT1。选中”启用”和”防止接口删除”选项,这是因为Zerotier是虚拟接口,不能保证在系统引导时将其设为已启用链接。

启用新接口后,可以将接口的“描述”更改为ZT,以方便记忆。其他选项根据自己网络情况进行设置。IPv4地址填写在前一步分配的IP地址。

添加规则

导航到防火墙>规则,找到ZT接口,添加一个any to any的规则,如下图所示:

测试连接

在OPNsense防火墙后的客户端上Ping 远程LEDE软路由网关:

Ping LEDE软路由后面的客户端:

在LEDE软路由上面Ping OPNsense防火墙网关:

在LEDE软路由上面Ping OPNsense防火墙后面的客户端:

顺便测了一下连接速度(300M上下同等带宽):

至此,ZeroTier网络配置完成。