ZeroTier＆Tailscale无公网IP实现p2p穿透教程

博主： yu
发布时间：2022 年 02 月 02 日
844 次浏览
暂无评论
5824字数
分类：教程

写在前面

之前介绍过nps内网穿透，这次介绍的ZeroTier＆Tailscale这两种服务相比nps,frp这些程序更方便，更适合小白以及没有服务器的用户。
注意：并不是所有情况下都能实现p2p穿透，如果无法进行p2p穿透，ZeroTier＆Tailscale都将默认使用流量转发的方式实现内网穿透（由于这两种服务只有境外服务器，在国内使用效果很差）。另外，国内相同运行商之间p2p穿透成功率较高（比如电信<==>电信），不同运行商之间成功率较低（比如电信<==>联通），具体情况需要自行测试。下面会分别介绍两种服务的安装以及使用（基本原理差不多）。

zerotier

Connect team members from anywhere in the world on any device.
ZeroTier creates secure networks between on-premise, cloud, desktop, and mobile devices.

1.注册

非常简单不赘述，免费套餐能连接 100 个设备。

2.创建网络

创建虚拟网络
创建一个新的网络之后，我们得到一个 Network ID，这个在后面的设备连接时需要用到，点击刚刚创建的网络我们可以设置更多选项。强调一下不懂的不要乱设置默认就好。
查看ID

3.设备加入虚拟网络

① openwrt（flippy大的固件已经编译直接启动即可）
② linux

[root@5b88595860bc /]# curl -s https://install.zerotier.com/ | bash
[root@5b88595860bc /]#/usr/sbin/zerotier-cli join <Network ID>
200 join OK
[root@5b88595860bc /]# /usr/sbin/zerotier-cli listnetworks        
200 listnetworks      
[root@5b88595860bc /]# /usr/sbin/zerotier-cli listnetworks
200 listnetworks   
#一些可能需要的命令
#获取地址和服务状态
zerotier-cli status
#加入、离开、列出网络
zerotier-cli join <Network ID>
zerotier-cli leave <Network ID>
zerotier-cli listnetworks

③ ios国区没有此软件，需要使用外区账户搜索ZeroTier one
④ 其他客户端可以去官方下载页面查看

4.允许设备连接到虚拟网络

返回到刚刚创建的network详细页面，找到下方Members，如果上述设备成功加入，这里会看到设备ID，默认是不允许连接到虚拟网络的，我们点击设备ID前面的√进行Auth。
Auth设备

5.测试连接

主要使用ping命令查看是否能连接到创建的虚拟网络，以及是否使用p2p传输，这里只介绍使用linux进行查看。

#在linux服务器上ping虚拟网络设备内的ip地址，注意这个ip是zerotier分配的，不是设备本身的ip
ping xxx.xxx.xxx.xxx

通过ttl以及time可以判断是否p2p，对于使用国内linux服务器<==>家里内网通讯，延时time不应该过高，对于linux服务器，ttl=64可以估计仅经过1层路由，每减小1，表示经过一层路由。例如下面的示例就表明p2p打洞成功。

6.自动允许客户端 NAT（可选）

通过前面的教程，已经可以在外部环境连接家里openwrt（或其他设备），但是我们可以更进一步，通过这一台设备与外部互联达到访问家里全部设备的目的。

①勾选允许客户端NAT，其他设备参考官方文档
②查询内网网段，linux通过ifconfig，windows通过cmd使用ipconfig查询网卡ip，一般家里ip都是192.168.x.x，那么网段可以写成192.168.x.0/24
③在zerotier的Advanced-Managed Routes中添加内网网段，via后面填写zerotier为openwrt分配的虚拟网络ip

7.开始使用

然后就可以通过手机，或者其他设备连接到家里这台设备（比如openwrt），连接成功后直接输入内网ip就可以直接访问内网设备，就和在家一样，非常方便！

tailscale

A secure network that just works Zero config VPN. Installs on any device in minutes, manages firewall rules for you, and works from anywhere.

1.注册

免费账户无法使用邮箱注册，国内用户建议使用Microsoft登录，免费套餐能连接 20 个设备。
注意：tailscale使用的是相同邮箱登录绑定的自动加入同一个内网，所以，不需要network id，登录后会看到如下页面。
tailscale设备

2.安装并加入虚拟网络

OpenWrt
SSH 终端进入 OpenWrt ，下载 openwrt-tailscale-enabler -> Releases 发布页面

# 进入 root 目录
cd /root
# 下载 openwrt-tailscale-enabler 
#建议查看releases页面下载最新版本
wget -4 https://github.com/adyanth/openwrt-tailscale-enabler/releases/download/v1.18.2-fed5960-autoupdate/openwrt-tailscale-enabler-v1.18.2-fed5960-autoupdate.tgz

提取文件覆盖到系统根目录：

#文件名称换成刚刚下载的，不要照抄
tar x -zvC / -f openwrt-tailscale-enabler-v1.18.2-fed5960-autoupdate.tgz

安装依赖：

# 更新包列表
opkg update
# 安装依赖
opkg install libustream-openssl ca-bundle kmod-tun

首次运行：

# 启动 tailscale 守护进程
/etc/init.d/tailscale start
# 屏幕打印 tailscale 登录地址，进行授权登录
tailscale up --accept-dns=false

完成后可以通过ping检查是否穿透成功
开机启动：

# 加入开机启动
/etc/init.d/tailscale enable
# 验证是否成功加入开机启动项：
ls /etc/rc.d/S*tailscale*

版本更新：
在这里找到适应平台架构的包文件，下载解压替换 OpenWrt 中的 /usr/bin/tailscale 和 /usr/bin/tailscaled 这两个文件。

Docker
使用官方的dockerfile自行build
ios国区没有此软件，需要使用外区账户搜索Tailscale
其他平台查看官方文档

3.设备禁用密钥过期（可选）

Tailscale 为了安全，每隔 6 个月会要求重新进行身份验证。为避免发生这种情况时访问中断，访问管理面板在 Machines（设备列表）中找到需要禁用的设备，并选择 Disable Key Expiry （禁用密钥过期），让设备免受中断的长期使用下去。
设备禁用密钥过期

4.自动允许客户端 NAT（可选）-->官方文档

与zerotier一样，不再赘述

①查询内网网段，不赘述

②在对应的内网机器上，开启自动允许客户端 NAT，linux使用下面命令

#替换自己的内网网段
tailscale up --advertise-routes=192.168.1.0/24 --accept-dns=false

③在tailscale管理页面开启Subnet routes

5.开始使用

写在最后

这两种程序基本原理差不多，如果能实现p2p自然是很方便，如果无法p2p打洞就使用服务器流量转发，效果很差。我体验下来，zerotier在我的网络环境下好用很多，tailscale完全连不上服务器。

最后再多嘴一句

注意：这种内网穿透的方式，只对添加的客户端NAT有效，按照上面的例子就是只有访问192.168.1.0/24网段才会走虚拟网卡p2p穿透，访问正常的网页等都是走本机网络，可以在连接上vpn后使用ipip.net查询本机ip就可以理解！

[root@server ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.17.63.253   0.0.0.0         UG    0      0        0 eth0
10.147.19.0     0.0.0.0         255.255.255.0   U     0      0        0 ztrf2zdtw6
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
192.168.1.0     10.147.19.197   255.255.255.0   UG    0      0        0 ztrf2zdtw6
##通过查看路由表，对于来自192.168.1.0的数据通过虚拟网卡，然后走本机网络出，对于来自0.0.0.0(任意)走本机（也就是eth0）出，这种方式的优点就是不影响网络，而且可以和在家一样，使用内网服务！

参考文章

ZeroTier 无公网IP实现内网穿透详细教程（P2P高效传输）
Tailscale：基于 WireGuard 异地组建虚拟局域网

最后修改：2024 年 05 月 28 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

ZeroTier＆Tailscale无公网IP实现p2p穿透教程

yu • 2022 年 02 月 02 日

<h1>写在前面</h1><p>之前介绍过<a href="https://blog.400998.xyz/courses/nps_p2p-1.html">nps内网穿透</a>，这次介绍的<span class="external-link"><a class="no-external-link" href="https://www.zerotier.com/" target="_blank"><i data-feather="external-link"></i>ZeroTier</a></span>＆<span class="external-link"><a class="no-external-link" href="https://tailscale.com/" target="_blank"><i data-feather="external-link"></i>Tailscale</a></span>这两种服务相比nps,frp这些程序更方便，更适合小白以及没有服务器的用户。<br><strong>注意：并不是所有情况下都能实现p2p穿透，如果无法进行p2p穿透，ZeroTier＆Tailscale都将默认使用流量转发的方式实现内网穿透（由于这两种服务只有境外服务器，在国内使用效果很差）。另外，国内相同运行商之间p2p穿透成功率较高（比如电信&lt;==&gt;电信），不同运行商之间成功率较低（比如电信&lt;==&gt;联通），具体情况需要自行测试。下面会分别介绍两种服务的安装以及使用（基本原理差不多）。</strong></p><hr><h1>zerotier</h1><blockquote>Connect team members from anywhere in the world on any device.<br>ZeroTier creates secure networks between on-premise, cloud, desktop, and mobile devices.</blockquote><h2>1.注册</h2><p>非常简单不赘述，免费套餐能连接 100 个设备。</p><h2>2.创建网络</h2><p><img src="https://img.shota.eu.org/2022/02/02/P82DhWfxJt.png" alt="创建虚拟网络" title="创建虚拟网络" style=""><br>创建一个新的网络之后，我们得到一个 Network ID，这个在后面的设备连接时需要用到，点击刚刚创建的网络我们可以设置更多选项。强调一下不懂的不要乱设置默认就好。<br><img src="https://img.shota.eu.org/2022/02/02/So24Hdu7Sn.png" alt="查看ID" title="查看ID" style=""></p><h2>3.设备加入虚拟网络</h2><p>① openwrt（flippy大的固件已经编译直接启动即可）<br>② linux</p><pre><code class="lang-shell">[root@5b88595860bc /]# curl -s https://install.zerotier.com/ | bash
[root@5b88595860bc /]#/usr/sbin/zerotier-cli join &lt;Network ID&gt;
200 join OK
[root@5b88595860bc /]# /usr/sbin/zerotier-cli listnetworks        
200 listnetworks      
[root@5b88595860bc /]# /usr/sbin/zerotier-cli listnetworks
200 listnetworks   
#一些可能需要的命令
#获取地址和服务状态
zerotier-cli status
#加入、离开、列出网络
zerotier-cli join &lt;Network ID&gt;
zerotier-cli leave &lt;Network ID&gt;
zerotier-cli listnetworks</code></pre><p>③ ios国区没有此软件，需要使用外区账户搜索ZeroTier one<br>④ 其他客户端可以去<span class="external-link"><a class="no-external-link" href="https://www.zerotier.com/download/" target="_blank"><i data-feather="external-link"></i>官方下载页面</a></span>查看</p><h2>4.允许设备连接到虚拟网络</h2><p>返回到刚刚创建的network详细页面，找到下方Members，如果上述设备成功加入，这里会看到设备ID，默认是不允许连接到虚拟网络的，我们点击设备ID前面的√进行Auth。<br><img src="https://img.shota.eu.org/2022/02/02/JdiouT3FIy.png" alt="Auth设备" title="Auth设备" style=""></p><h2>5.测试连接</h2><p>主要使用ping命令查看是否能连接到创建的虚拟网络，以及是否使用p2p传输，这里只介绍使用linux进行查看。</p><pre><code class="lang-shell">#在linux服务器上ping虚拟网络设备内的ip地址，注意这个ip是zerotier分配的，不是设备本身的ip
ping xxx.xxx.xxx.xxx</code></pre><p>通过ttl以及time可以判断是否p2p，对于使用国内linux服务器&lt;==&gt;家里内网通讯，延时time不应该过高，对于linux服务器，ttl=64可以估计仅经过1层路由，每减小1，表示经过一层路由。例如下面的示例就表明p2p打洞成功。<br><img src="https://img.shota.eu.org/2022/02/02/VlU1fglnHp.png" alt="p2p打洞成功" title="p2p打洞成功" style=""></p><h2>6.自动允许客户端 NAT（可选）</h2><p>通过前面的教程，已经可以在外部环境连接家里openwrt（或其他设备），但是我们可以更进一步，通过这一台设备与外部互联达到访问家里全部设备的目的。</p><ul><li>①勾选允许客户端NAT，其他设备参考官方文档</li><li>②查询内网网段，linux通过ifconfig，windows通过cmd使用ipconfig查询网卡ip，一般家里ip都是192.168.x.x，那么网段可以写成192.168.x.0/24</li><li>③在zerotier的Advanced-Managed Routes中添加内网网段，via后面填写zerotier为openwrt分配的虚拟网络ip<br><img src="https://img.shota.eu.org/2022/02/02/kXmp7ZqeYE.png" alt="自动允许客户端 NAT" title="自动允许客户端 NAT" style=""></li></ul><h2>7.开始使用</h2><p>然后就可以通过手机，或者其他设备连接到家里这台设备（比如openwrt），连接成功后直接输入内网ip就可以直接访问内网设备，就和在家一样，非常方便！</p><hr><h1>tailscale</h1><blockquote>A secure network that just works Zero config VPN. Installs on any device in minutes, manages firewall rules for you, and works from anywhere.</blockquote><h2>1.<span class="external-link"><a class="no-external-link" href="https://login.tailscale.com/login" target="_blank"><i data-feather="external-link"></i>注册</a></span></h2><p>免费账户无法使用邮箱注册，国内用户建议使用Microsoft登录，免费套餐能连接 20 个设备。<br>注意：tailscale使用的是相同邮箱登录绑定的自动加入同一个内网，所以，不需要network id，登录后会看到如下页面。<br><img src="https://img.shota.eu.org/2022/02/02/tFJUIoHp7H.png" alt="tailscale设备" title="tailscale设备" style=""></p><h2>2.安装并加入虚拟网络</h2><ul><li><p>OpenWrt<br>SSH 终端进入 OpenWrt ，下载 openwrt-tailscale-enabler -&gt; <span class="external-link"><a class="no-external-link" href="https://github.com/adyanth/openwrt-tailscale-enabler/releases" target="_blank"><i data-feather="external-link"></i>Releases 发布页面</a></span></p><pre><code class="lang-shell"># 进入 root 目录
cd /root
# 下载 openwrt-tailscale-enabler 
#建议查看releases页面下载最新版本
wget -4 https://github.com/adyanth/openwrt-tailscale-enabler/releases/download/v1.18.2-fed5960-autoupdate/openwrt-tailscale-enabler-v1.18.2-fed5960-autoupdate.tgz</code></pre><p>提取文件覆盖到系统根目录：</p><pre><code class="lang-shell">#文件名称换成刚刚下载的，不要照抄
tar x -zvC / -f openwrt-tailscale-enabler-v1.18.2-fed5960-autoupdate.tgz</code></pre><p>安装依赖：</p><pre><code class="lang-shell"># 更新包列表
opkg update
# 安装依赖
opkg install libustream-openssl ca-bundle kmod-tun</code></pre><p>首次运行：</p><pre><code class="lang-shell"># 启动 tailscale 守护进程
/etc/init.d/tailscale start
# 屏幕打印 tailscale 登录地址，进行授权登录
tailscale up --accept-dns=false</code></pre><p>完成后可以通过ping检查是否穿透成功<br>开机启动：</p><pre><code class="lang-shell"># 加入开机启动
/etc/init.d/tailscale enable
# 验证是否成功加入开机启动项：
ls /etc/rc.d/S*tailscale*</code></pre><p>版本更新：<br>在<span class="external-link"><a class="no-external-link" href="https://pkgs.tailscale.com/stable/#static" target="_blank"><i data-feather="external-link"></i>这里</a></span>找到适应平台架构的包文件，下载解压替换 OpenWrt 中的 /usr/bin/tailscale 和 /usr/bin/tailscaled 这两个文件。</p></li><li>Docker<br>使用官方的<span class="external-link"><a class="no-external-link" href="https://github.com/tailscale/tailscale/blob/main/Dockerfile" target="_blank"><i data-feather="external-link"></i>dockerfile</a></span>自行build</li><li>ios国区没有此软件，需要使用外区账户搜索Tailscale</li><li>其他平台查看<span class="external-link"><a class="no-external-link" href="https://tailscale.com/download" target="_blank"><i data-feather="external-link"></i>官方文档</a></span></li></ul><h2>3.设备禁用密钥过期（可选）</h2><p>Tailscale 为了安全，每隔 6 个月会要求重新进行身份验证。为避免发生这种情况时访问中断，访问 管理面板 在 Machines（设备列表）中找到需要禁用的设备，并选择 Disable Key Expiry （禁用密钥过期），让设备免受中断的长期使用下去。<br><img src="https://img.shota.eu.org/2022/02/02/Alg8WrubIt.png" alt="设备禁用密钥过期" title="设备禁用密钥过期" style=""></p><h2>4.自动允许客户端 NAT（可选）--&gt;<span class="external-link"><a class="no-external-link" href="https://tailscale.com/kb/1019/subnets/" target="_blank"><i data-feather="external-link"></i>官方文档</a></span></h2><p>与zerotier一样，不再赘述</p><ul><li>①查询内网网段，不赘述</li><li><p>②在对应的内网机器上，开启自动允许客户端 NAT，linux使用下面命令</p><pre><code class="lang-shell">#替换自己的内网网段
tailscale up --advertise-routes=192.168.1.0/24 --accept-dns=false</code></pre></li><li>③在tailscale管理页面开启Subnet routes<br><img src="https://img.shota.eu.org/2022/02/02/iMadWItgNi.png" alt="开启Subnet routes" title="开启Subnet routes" style=""></li></ul><h2>5.开始使用</h2><h1>写在最后</h1><p>这两种程序基本原理差不多，如果能实现p2p自然是很方便，如果无法p2p打洞就使用服务器流量转发，效果很差。我体验下来，zerotier在我的网络环境下好用很多，tailscale完全连不上服务器。</p><h1>最后再多嘴一句</h1><p>注意：这种内网穿透的方式，只对添加的客户端NAT有效，按照上面的例子就是只有访问192.168.1.0/24网段才会走虚拟网卡p2p穿透，访问正常的网页等都是走本机网络，可以在连接上vpn后使用ipip.net查询本机ip就可以理解！</p><pre><code class="lang-shell">[root@server ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.17.63.253   0.0.0.0         UG    0      0        0 eth0
10.147.19.0     0.0.0.0         255.255.255.0   U     0      0        0 ztrf2zdtw6
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
192.168.1.0     10.147.19.197   255.255.255.0   UG    0      0        0 ztrf2zdtw6
##通过查看路由表，对于来自192.168.1.0的数据通过虚拟网卡，然后走本机网络出，对于来自0.0.0.0(任意)走本机（也就是eth0）出，这种方式的优点就是不影响网络，而且可以和在家一样，使用内网服务！</code></pre><h1>参考文章</h1><p><span class="external-link"><a class="no-external-link" href="https://www.moewah.com/archives/1474.html" target="_blank"><i data-feather="external-link"></i>ZeroTier 无公网IP实现内网穿透详细教程（P2P高效传输）</a></span> <br><span class="external-link"><a class="no-external-link" href="https://www.moewah.com/archives/4796.html" target="_blank"><i data-feather="external-link"></i>Tailscale：基于 WireGuard 异地组建虚拟局域网</a></span></p>

ZeroTier＆Tailscale无公网IP实现p2p穿透教程

写在前面

zerotier

1.注册

2.创建网络

3.设备加入虚拟网络

4.允许设备连接到虚拟网络

5.测试连接

6.自动允许客户端 NAT（可选）

7.开始使用

tailscale

1.注册

2.安装并加入虚拟网络

3.设备禁用密钥过期（可选）

4.自动允许客户端 NAT（可选）-->官方文档

5.开始使用

写在最后

最后再多嘴一句

参考文章

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

斐讯K2P-B1/B2版本刷机方案

CloudFlare-Workers反代TgBotApi（笔记向）

v2ray配置中转（TCP+WSS）以及一些其他中转方式

使用Heroku搭建WebSSH服务sshwifty

[修复版]Windows 一键重装系统为 Linux (netboot,网络安装)

shell脚本一键/定时登录校园网（适用锐捷WEB系统）

Centos7修改NAT类型为FullCone

斐讯phicomm_k2刷机openwrt固件（笔记向）

小白也能看得懂的随身wifi(高通410)刷入Debian系统教程

v2ray配置中转（TCP+WSS）以及一些其他中转方式

ZeroTier＆Tailscale无公网IP实现p2p穿透教程

写在前面

zerotier

1.注册

2.创建网络

3.设备加入虚拟网络

4.允许设备连接到虚拟网络

5.测试连接

6.自动允许客户端 NAT（可选）

7.开始使用

tailscale

1.注册

2.安装并加入虚拟网络

3.设备禁用密钥过期（可选）

4.自动允许客户端 NAT（可选）-->官方文档

5.开始使用

写在最后

最后再多嘴一句

参考文章

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

ZeroTier＆Tailscale无公网IP实现p2p穿透教程

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款