先决条件
首先,要确保已经在Zerotier Portal上注册了Zerotier。其次还需要在门户网站上创建了一个网络,以便此网络节点能加入到创建的Zerotier网络。该网络将成为你的私有网络,默认情况下,授权节点之间可以互相通信,所有节点之间通信都是加密的。由于分配的IP地址是RFC1918地址,在Internet上不可路由。
安装Zerotier
导航到System>Firmware>Plugins菜单,找到os-zerotier插件并安装。
导航到VPN>Zerotier菜单,单击“setting(设置)”将显示一个带有两个命名标签的新页面。第一个“Setting”,第二个“Network”。
Zerotier配置
Setting
- Enabled(启用)
- 控制服务是否运行。如果留空,则将禁用对“网络”选项卡的访问。如果选中,则将启用对“网络”选项卡的访问,该服务将在引导时启动。
- API访问令牌(可选)
- 该可选项供以后Zerotier插件的进一步开发使用,一般不需要填写。
- local.conf设置(可选)
- 可以创建local.conf来启用或禁用特定于节点的自定义配置覆盖。有关允许选项的更多详细信息,请参见ZeroTier手册。一般不需要填写。
Network
Network选项允许创建,修改和删除Zerotier网络。在此处添加的网络ID会将OPNsense防火墙加入指定的Zerotier网络。
注意:添加以后,你必须登录到Zerotier 门户网站,选择网络,授权该节点,并为该节点分配一个IP地址。
要添加网络,只需单击右侧的“+”号。
- Network Id
- 这是创建Zerotier网络时在门户上生成的64位(十六进制字符)地址。
- Local Description (可选)
- 可以在此处输入描述说明,以帮助记住网络的用途。
添加网络并不会自动将OPNsense加入该网络,只有在前面的Setting选项卡选择启用后,才会加入该网络。
添加并启用网络后,必须授权该节点加入门户网站上的网络。只需在OPNsense中启用网络,即可将该节点标记为该网络的成员。为了让节点相互通信,你还必须登录门户网站,选择网络,找到节点地址,然后单击“Auth(认证)”对其进行授权。节点旁边的复选框从“红色”变为“绿色”就表示已被授权。
要了解Zerotier网络信息,请单击 Information图标。在Overview>Networks菜单项下可以找到网络的详细信息。
ZeroTier 总览
以下3个标签显示了全局,网络和对等体信息。仅在启用Zerotier插件的情况下才能查看。
Information Overview
此选项卡显示有关Zerotier服务总体运行状况的全局信息。
Networks Overview
此选项卡显示OPNsense已加入的每个已配置并启用的网络。如果未启用任何网络,则不会显示任何信息。
Peers Overview
此选项卡显示此节点已知的同级节点(叶、行星和卫星-ZeroTier术语)。
分配接口
分配接口不是必须的,如果只是节点之间互相访问,只需启用网络即可。如果你需要更高阶的应用,如使用OSPF等,则可以分配Zerotier虚拟接口,以充分利用防火墙的路由功能。
注意:要给该节点分配接口,必须在Zerotier门户网站上将该节点IP地址的自动分配改为手动分配一个固定IP。
单击Interfaces菜单项,然后单击Assignments。这里可以找到一个以zt开头的新接口。单击+符号进行分配。打开新接口OPT1。选中Enable和Lock选项。注意一定要选中Lock(即防止接口去除)选项,这是因为Zerotier是虚拟接口,不能保证在系统引导时将其设为已启用链接。
启用新接口后,可以将接口的“描述”更改为Zerotier,以方便记忆。其他选项根据自己网络情况进行设置。
IPv4 Configuration Type:Static IPv4
IPv4 Address:输入在Zerotier门户网站上分配的IP地址及掩码
Upstream Gateway:None.
接口分配了IP后,防火墙规则上就会出现相应接口规则选项,可以像其他接口一样,添加各种防火墙规则。