OPNsense Zerotier网络配置示例

在进行以下操作之前,要确保已经在Zerotier Portal上注册了Zerotier并在门户网站上创建了一个网络,以便此网络节点能加入到创建的Zerotier网络。该网络为私有网络,默认情况下,授权节点之间可以互相通信,通信都是加密的。由于分配的IP地址是RFC1918地址,在Internet上不可路由。

测试平台信息:

节点1:LEDE软路由,LAN网关地址:192.168.101.1,已搭建好ZeroTier网络,参见LEDE 配置ZeroTier网络教程

节点2:OPNsense防火墙,LAN网关地址:192.168.100.253。

ZeroTier管理的路由见下图:

安装Zerotier

导航到系统>固件>插件菜单,找到os-zerotier插件并安装,见下图:

LAN接口设置

导航到接口>LAN,选中”防止接口删除”选项。以避免在启用Zerotier网络以后,出现不能访问防火墙的问题

Zerotier配置

导航到VPN>Zerotier菜单,在”设置”选项卡,选中启用。其他选项可不填写。

转到网络选项卡,点击右下角的”+”号,添加网络ID。在此处添加的网络ID会将OPNsense防火墙加入指定的Zerotier网络。

添加网络以后,并不会自动将OPNsense加入该网络,只有选中启用后,才会加入该网络,如上图所示。这里注意,如果启用网络以后不能访问防火墙,那么可能是你没有修改LAN接口的”防止接口删除”选项。

为了让节点相互通信,还必须登录门户网站,选择网络,找到节点地址,然后单击“Auth(认证)”对其进行授权。节点旁边的复选框从“红色”变为“绿色”就表示已被授权。这里可以自动或手动输入一个IP地址。

ZeroTier概况

导航到VPN>ZeroTier>概况,这里可以查看ZeroTier网络的一些信息。仅在启用Zerotier插件的情况下才能查看。

分配接口

分配接口不是必须的,如果只是节点之间互相访问,只需启用网络即可。如果你需要更高阶的应用,如使用OSPF等,则可以分配Zerotier虚拟接口,以充分利用防火墙的路由功能。例如要访问防火墙后面的子网,就必须分配接口并添加规则。

注意:要给该节点分配接口,必须在Zerotier门户网站上将该节点IP地址的自动分配改为手动分配,如下图所示:

然后导航到到”接口”菜单项,单击分配。这里可以找到一个以zt开头的新接口。单击+符号进行分配。打开新接口OPT1。选中”启用”和”防止接口删除”选项,这是因为Zerotier是虚拟接口,不能保证在系统引导时将其设为已启用链接。

启用新接口后,可以将接口的“描述”更改为ZT,以方便记忆。其他选项根据自己网络情况进行设置。IPv4地址填写在前一步分配的IP地址。

添加规则

导航到防火墙>规则,找到ZT接口,添加一个any to any的规则,如下图所示:

测试连接

在OPNsense防火墙后的客户端上Ping 远程LEDE软路由网关:

Ping LEDE软路由后面的客户端:

在LEDE软路由上面Ping OPNsense防火墙网关:

在LEDE软路由上面Ping OPNsense防火墙后面的客户端:

顺便测了一下连接速度(300M上下同等带宽):

至此,ZeroTier网络配置完成。

注意:在多WAN网络环境中,如果出站做了负载平衡策略,那么客户端可能不能连接远程网络。可以新建一个别名ZTNET,包含RFC1918网络或ZeroTier所使用的远程网络,指定某一个网关出站(或默认网关)并放在规则列表的前面。如下图所示:

评论

  1. 3年前
    2021-1-22 14:02:00

    请问一下我启动zerotier后opnsense管理界面就进不去了,是怎么回事?

    • 鉄血男兒
      博主
      3年前
      2021-3-07 13:04:05

      先要在LAN接口上把”防止接口删除”选项选中。

      • kent
        鉄血男兒
        3年前
        2021-4-15 10:05:04

        我选中了防止删除,还是进不去。

  2. 电脑维修
    3年前
    2021-4-01 18:58:56

    参照教程实现了opnsense和openwrt互联,单是两台opensense进行互联时,网络一会联通一会儿中断,发现zerotier-one进程的CPU占用是100%,占用恢复正常后又能Ping通,周而复始。A,B两台,WAN分别是192.168.100.7和192.168.100.8,zerotier分别是10.0.0.1/24和10.0.0.2/24,启用了zerotier的虚拟接口并设置了IP,防火墙规则中zerotier规则也设置了any to any。这个配置将B换成openwrt就没有问题,用opnsense系统,两台opnsense的CPU轮流占用100%
    测试环境,VMware虚拟机

    • 鉄血男兒
      博主
      电脑维修
      3年前
      2021-4-02 8:57:42

      WAN接口IP是同网段可能是问题原因之一,另外虚拟机测试也会有一些不可预知的问题。

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇