Собственный аналог zerotier для роутеров Keenetic

[Denys]

Почему бы компании не создать собственный аналог zerotier.com для роутеров Keenetic и продавать его по подпписке?

Владельцам роутеров Keenetic можно было бы легко и просто соединять сети

[Le ecureuil]

Сейчас есть достаточно средств, чтобы это сделать самим, включая SSTP-клиент/сервер, которые настраиваются вводом 3 параметров, из них только 2 нужно придумать.

[Oleg Nekrylov]

А сейчас в чем проблема? Плюс, с точки зрения безопасности, zerotier весьма сомнительное решение.

[Denys]

20 hours ago, Oleg Nekrylov said:

А сейчас в чем проблема? Плюс, с точки зрения безопасности, zerotier весьма сомнительное решение.

Например, чтобы было возможно двумя нажатиями кнопок в веб-интерфейсе соединить пару своих роутеров в единую сеть

 

[Oleg Nekrylov]

В 31.08.2022 в 20:33, Denys сказал:

Например, чтобы было возможно двумя нажатиями кнопок в веб-интерфейсе соединить пару своих роутеров в единую сеть

Я еще раз повторю: а сейчас в чём проблема? Вам не хватает IPSec...?

С точки зрения безопасности: я против!

[Urikadze]

В 02.09.2022 в 08:41, Oleg Nekrylov сказал:

Я еще раз повторю: а сейчас в чём проблема? Вам не хватает IPSec...?

С точки зрения безопасности: я против!

А в чем опасность сориентируйте?

[vasek00]

В 31.08.2022 в 20:33, Denys сказал:

Например, чтобы было возможно двумя нажатиями кнопок в веб-интерфейсе соединить пару своих роутеров в единую сеть

5-10 мин ручками для соединения двух сетей Keenetic через ZT

1. Прописать в конф файле одного

Скрытый текст

access-list _WEBADMIN_ZeroTier0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT-IP
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT-ICMP
    auto-delete

interface ZeroTier0
    description hom-local
    role inet
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier accept-routes
    zerotier network-id b15.....bf  ************ ID сети
    zerotier connect via PPPoE ***************** через какой интерфейс выходить
    up

ip route 192.168.1.0 255.255.255.0 ZeroTier0 auto reject !Keen-2

 

залить на роутер

2 Прописать в конф файле второго

Скрытый текст

access-list _WEBADMIN_ZeroTier0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT-IP
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT-ICMP
    auto-delete

interface ZeroTier0
    description hom-local
    role inet
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier accept-routes
    zerotier network-id b15.....bf  ************ ID сети
    zerotier connect via ISP ******************* через какой интерфейс выходить
    up

ip route 192.168.130.0 255.255.255.0 ZeroTier0 auto reject !Keen-1

 

залить на второй роутер

3. На странице ZT поставить две галки.

Edited April 18 by vasek00

[Oleg Nekrylov]

В 17.04.2024 в 14:45, Urikadze сказал:

А в чем опасность сориентируйте?

В неконтролируемой сетевой активности zerotier, я об этом где-то в соседних темах писал. Если в IPSec у вас точка-точка, то в Zerotier, кто рулит хабом, тот рулит вашей сеткой, хотите вы этого или нет.

Edited April 19 by Oleg Nekrylov

[vasek00]

22 минуты назад, Oleg Nekrylov сказал:

В неконтролируемой сетевой активности zerotier, я об этом где-то в соседних темах писал. Если в IPSec у вас точка-точка, то в Zerotier, кто рулит хабом, тот рулит вашей сеткой, хотите вы этого или нет.

Приведете пример или поделитесь информацией, что куда/сервера и сколько, а не описками "В неконтролируемой сетевой активности zerotier". 

Эти рассуждения похоже на такие же, как некоторые пользователи пишут/утверждают про то что Keenetic, что-то куда-то "сливает" но в данном случае есть статья в базе знаний с разъяснениями по данному вопросу того что куда и сколько.

 

ZT

/opt/home # tcpdump -i ppp0 port 32048
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked v1), snapshot length 262144 bytes
18:00:31.165477 IP 1хх....elcom.ru.32048 > root-mia-01.zerotier.com.9993: UDP, length 137
18:00:31.166273 IP 1хх....elcom.ru.32048 > root-zrh-01.zerotier.com.9993: UDP, length 137
18:00:31.167093 IP 1хх....elcom.ru.32048 > root-sgp-01.zerotier.com.9993: UDP, length 137
18:00:31.167823 IP 1хх....elcom.ru.32048 > 104.194.8.134.9993: UDP, length 137

/opt/home # tcpdump -i ppp0 port 43051
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked v1), snapshot length 262144 bytes
17:49:15.071791 IP 1хх....elcom.ru.43051 > root-mia-01.zerotier.com.9993: UDP, length 137
17:49:15.072613 IP 1хх....elcom.ru.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137
17:49:15.073314 IP 1хх....elcom.ru.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137
17:49:15.073929 IP 1хх....elcom.ru.43051 > 104.194.8.134.9993: UDP, length 137
17:53:00.452307 IP 1хх....elcom.ru.43051 > root-mia-01.zerotier.com.9993: UDP, length 137
17:53:00.453235 IP 1хх....elcom.ru.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137
17:53:00.454037 IP 1хх....elcom.ru.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137
17:53:00.454849 IP 1хх....elcom.ru.43051 > 104.194.8.134.9993: UDP, length 137
17:56:45.786730 IP 1хх....elcom.ru.43051 > root-mia-01.zerotier.com.9993: UDP, length 137
17:56:45.787472 IP 1хх....elcom.ru.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137
17:56:45.788111 IP 1хх....elcom.ru.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137
17:56:45.788736 IP 1хх....elcom.ru.43051 > 104.194.8.134.9993: UDP, length 137

На 4dpa есть как и вы сторонники заговора

Цитата

У ZeroTier есть 4 глобальных сервера (EU, Asia, US East, US West) - root-zrh-01.zerotier.com, root-mia-01.zerotier.com, root-sgp-01.zerotier.com и ещё один, у которого не прописано обратное имя. Первоначально трафик идёт через них, и уже они пытаются соединить отправителя и получателя напрямую (обычно успешно, но с некоторыми сочетаниями NAT и файрволов - не получается). Можно превратить часть своих клиентов в сервера (например VPS или роутер с белым IP) и указать другим своим клиентам (только десктопным\серверным. мобильные не умеют orbit/deorbit) использовать в первую очередь их, а потом уже глобальные. Можно (чтобы не пользоваться глобальными серверами) подменить файл planet на клиентах (опять-же, только на десктопных\серверных) на свой, со списком своих серверов.

"""""Я предостерегаю пользоваться этим говном, которое работает как ему захочется""""

Ответ.
Мягко говоря сомнительно предостережение. Исходный код доступен на гитхабе, можно (и нужно, мануалы давно не обновлялись, да и изначально не отличались полнотой) посмотреть что там и как.

Приложение, конечно, сыроватое и глючноватое, но со своей задачей справляется вполне. AnyDesk, например, через него работает 
в разы отзывчивее, чем через обычное интернет-соединение (через расшареный LTE с планшета). На Android-планшете много чего (droidVNC-NG, доступ к локальному файлсерверу, и всякое такое, что требует локальной сети или стабильного адреса) через него просто работает независимо того, к LTE тот подключен, к локальному WIFI или чьёму-то чужому WIFI. На айфоне - аналогично. Сами данные проходят через сервера ZeroTier в зашифрованном виде, и сервера видят только кто, кому и куда отправил (без этого никак, нужно для роутинга пакетов). Если сеть поднята на своём контроллере (ztncui выглядит убого, но с задачей создания/администрирования/просмотра своих сетей справляется), то админы ZeroTier не смогут ничего с этой сетью сделать, ни даже посмотреть, что там передаётся. Если поднята на условно-бесплатном (с платными подписками на доп.функционал) ZeroTier Central - то могут, но пока за таким замечены не были).
https://4pda.to/forum/index.php?showtopic=986276&st=20

Цитата

Сравнение с Yggdrasil и ZT
https://www.linux.org.ru/forum/admin/16689652
zerotier есть преимущество, tcp соединения завернуты в udp, а tcp эмулируется, в результате сеть ведёт себя отзывчивые, соединения после обвала быстрее скорость набирают. Есть и минусы протокол иногда радикально меняется и надо следить за обновами (точнее один раз было и обновление спасло ситуацию).

Или

Цитата

https://docs.zerotier.com/roots/
Private Root Servers
""
The first step in creating a moon is to deploy a set of root servers. In most cases we recommend two. These are regular ZeroTier nodes, but ones that are always on and have static (physical) IP addresses. These static IPs could be global Internet IPs or physical intranet IPs that are only reachable internally. In the latter case your moon's roots won't work outside your office, but that doesn't matter. Roaming nodes will just use planetary roots instead.
We recommend that root servers do not act as network controllers, join networks, or perform any other overlapping functions. They need good reliable network connections but otherwise require very little RAM, storage, or CPU. A root could be a small VM, VPS, or cloud instance, or a small device like a Raspberry Pi. If you provision your roots as VMs, take care that they do not all reside on the same physical hardware. This would defeat the purpose of having two.
The next step is to create a world definition using zerotier-idtool. You will need the identity.public files from each of your root servers. Pick one root (doesn't matter which) and run zerotier-idtool initmoon <identity.public of one root> >>moon.json. The zerotier-idtoolcommand will output a JSON version of your world definition to stdout, so we redirect it to moon.json.
""

https://github.com/slackhq/nebula/issues/706
""
I'm not currently running Nebula but am seeing the same activity from my machines running ZeroTier.
Don't quote me on this but I think the traffic you're seeing are local network discovery packets. These are essentially "pings" used to figure out if two machines are connected together through some other (preferably faster) network (e.g. two nodes residing on the same LAN).
I believe nebula's preferred_ranges is a similar concept.
""
 

 

[gaaronk]

2 часа назад, Oleg Nekrylov сказал:

В неконтролируемой сетевой активности zerotier, я об этом где-то в соседних темах писал. Если в IPSec у вас точка-точка, то в Zerotier, кто рулит хабом, тот рулит вашей сеткой, хотите вы этого или нет.

Ну если параноите - сделайте интересы ZeroTier level public и пускайте внутри него wireguard

[vasek00]

21 минуту назад, gaaronk сказал:

сделайте интересы ZeroTier level public

Так у него и так по умолчанию public

interface ZeroTier0
    security-level public