Нужен гайд по настройке Zerotier на Keenetic 4.1

[haga777]

• Реализована поддержка ZeroTier client для безопасного соединения с вашими частными сетями и устройствами в любом месте Интернета. [NDM-2883]:

  • interface ZeroTier0 — создать интерфейс ZeroTier

  • interface {name} zerotier network-id {network-id} — установить идентификатор сети ZeroTier

  • interface {name} zerotier accept-addresses — принимать адреса с сервера

  • interface {name} zerotier accept-routes — принимать маршруты с сервера

  • interface {name} zerotier connect [via {via}] — разрешить подключение через указанный интерфейс

  • show interface {name} zerotier peers — показать пиры

   

   

   

  (config)> interface ZeroTier0  zerotier network-id 1v71939404997777
  ZeroTier::Interface: "ZeroTier0": set network ID to "1v71939404997777".
  (config)> interface   ZeroTier0"  zerotier accept-addresses
  (config)> interface   ZeroTier0  zerotier accept-addresses
  ZeroTier::Interface: "ZeroTier0": enabled addresses accept.
  (config)> interface   ZeroTier0 zerotier accept-routes
  ZeroTier::Interface: "ZeroTier0": enabled routes accept.

   

   

  (config)> interface  ZeroTier0   zerotier connect

   Usage template:
            connect [via {via}]

  (config)> interface  ZeroTier0   zerotier connect via

   Usage template:
            connect [via {via}]

     Choose:
   via WifiMaster1/AccessPoint3
   via WifiMaster1/AccessPoint1
               via GuestWiFi_5G
   via WifiMaster0/AccessPoint6
   via WifiMaster0/AccessPoint3
   via WifiMaster0/AccessPoint0
                via AccessPoint
   via WifiMaster1/AccessPoint4
   via WifiMaster0/AccessPoint4
   via WifiMaster0/AccessPoint1
                  via GuestWiFi
   via WifiMaster1/AccessPoint5
   via WifiMaster1/AccessPoint2
   via WifiMaster1/AccessPoint0
             via AccessPoint_5G
   via WifiMaster0/AccessPoint5
   via WifiMaster0/AccessPoint2
   via WifiMaster1/AccessPoint6
   via WifiMaster0/WifiStation0
   via WifiMaster1/WifiStation0
     via GigabitEthernet0/Vlan1
     via GigabitEthernet0/Vlan2
                        via ISP
     via GigabitEthernet0/Vlan3
                    via Bridge0
                       via Home
                    via Bridge1
                      via Guest
                     via PPPoE0
                 via Wireguard0
                  via ZeroTier0
  

  На сайте зеротайр ничего не появилось, как и какие правила фв писать не ясно на интерфейсе зеротайр.

  Прошу с ориентировать. id Тут придуман,для образца команд

[vasek00]

2 часа назад, haga777 сказал:

 

Все работает c момента его появления в прошивке

 

[ADVENTURER08]

Интерфейс ZeroTier0 поднят Network ID прописан конета в my.zerotier.com - нету. Что я делаю нетак? Делал через WEB

[vasek00]

5 часов назад, ADVENTURER08 сказал:

Интерфейс ZeroTier0 поднят Network ID прописан конета в my.zerotier.com - нету. Что я делаю нетак? Делал через WEB

Для ответа на ваш вопрос или для помощи нужно знать не что прописали, а что в итоге получилось. Для начала

"show interface ZeroTier0"

[Rea0911]

(config)> show interface ZeroTier0

               id: ZeroTier0
            index: 0
   interface-name: ZeroTier0
             type: ZeroTier
      description:

           traits: Mac

           traits: Ethernet

           traits: Ip

           traits: Ip6

           traits: Supplicant

           traits: EthernetIp

           traits: ZeroTier

             link: down
        connected: no
            state: down
              mtu: 1500
  tx-queue-length: 0
           global: no
   security-level: public
             ipv6:
              mac: c6:97:94:71:76:16
        auth-type: none

         zerotier:
                  via:
             local-id: aa8d674e6b
           network-id: v71939404997777
         network-name:
               status: DOWN

          summary:
                layer:
                     conf: disabled
                     link: disabled
                     ipv4: disabled
                     ipv6: disabled
                     ctrl: disabled
 

[Rea0911]

interface ZeroTier0 zerotier connect via ISP 

 

Также настраивал (пробовал соединение и через любой порт и через ISP). Но почему - то порт не поднялся ))) 

Edited March 21 by Rea0911

[vasek00]

41 минуту назад, Rea0911 сказал:

(config)> show interface ZeroTier0

Для начала проще - сохранить конф файл роутера (WEB/Общие настройки -> startup-config) в нем есть раздел ZT вот его и покажите + настройка межсетевого access-list.

Поле local-id: хххххххххххх и network-id: ххххххххххххххх пометить крестиками.

access-list _WEBADMIN_ZeroTier0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT-IP
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT-ICMP
    auto-delete

interface ZeroTier0
    description ИМЯ_для_WEB_роутера
    role inet
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier accept-routes
    zerotier network-id bxxxxxxxxxxxxxxx
    up  ********************************** должен быть в UP т.е. включен, если down то не включен

_WEBADMIN_ZeroTier0 - правила межсетевого экрана, настройка в WEB роутера. Настройка для ICMP не принципиальна, можно не создавать, только для IP протокола.

удалит данные строки 

permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
permit description ZT-ICMP

"role inet" выход в интернет, "security-level public" политика интерфейса по умолчанию.

connect via ISP

Не принципиально, по умолчанию будет выбран основной профиль (политика по умолчанию и его default маршрут, который самый верхний -> Приоритеты подключений - Политики доступа в интернет - Политика по умолчанию.

Можно заставить ZT соединятся например через второго провайдера если он есть

interface ZeroTier0
....
    zerotier connect via GigabitEthernet0/Vlan9
    up

после via - "via GigabitEthernet0/Vlan9" это сетевой интерфейс на котором поднят второй провайдер если хотим на другом, а не на основном.

Edited March 21 by vasek00

[Поминов Дмитрий]

20 hours ago, vasek00 said:

Для начала проще - сохранить конф файл роутера (WEB/Общие настройки -> startup-config) в нем есть раздел ZT вот его и покажите + настройка межсетевого access-list.

Поле local-id: хххххххххххх и network-id: ххххххххххххххх пометить крестиками.

access-list _WEBADMIN_ZeroTier0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT-IP
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT-ICMP
    auto-delete

interface ZeroTier0
    description ИМЯ_для_WEB_роутера
    role inet
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier accept-routes
    zerotier network-id bxxxxxxxxxxxxxxx
    up  ********************************** должен быть в UP т.е. включен, если down то не включен

_WEBADMIN_ZeroTier0 - правила межсетевого экрана, настройка в WEB роутера. Настройка для ICMP не принципиальна, можно не создавать, только для IP протокола.

удалит данные строки 

permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
permit description ZT-ICMP

"role inet" выход в интернет, "security-level public" политика интерфейса по умолчанию.

connect via ISP

Не принципиально, по умолчанию будет выбран основной профиль (политика по умолчанию и его default маршрут, который самый верхний -> Приоритеты подключений - Политики доступа в интернет - Политика по умолчанию.

Можно заставить ZT соединятся например через второго провайдера если он есть

interface ZeroTier0
....
    zerotier connect via GigabitEthernet0/Vlan9
    up

после via - "via GigabitEthernet0/Vlan9" это сетевой интерфейс на котором поднят второй провайдер если хотим на другом, а не на основном.

 

[Поминов Дмитрий]

в моем случае интерфейс zerotier самостоятельно не поднимается .  начианет все рабтать после команды

 interface ZeroTier0 up

как сделать таким образом что бы интерфейс поднимался автоматически?

[vasek00]

2 часа назад, Поминов Дмитрий сказал:

в моем случае интерфейс zerotier самостоятельно не поднимается .  начианет все рабтать после команды

 interface ZeroTier0 up

как сделать таким образом что бы интерфейс поднимался автоматически?

Покажите конф файл иначе будем гадать.

[Поминов Дмитрий]

1 hour ago, vasek00 said:

Покажите конф файл иначе будем гадать.

!
interface ZeroTier0
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier accept-routes
    zerotier network-id 6776cffc37edd6f9
    zerotier connect via ISP
    up
access-list _WEBADMIN_ZeroTier0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description ZT
    auto-delete

[vasek00]

1 час назад, Поминов Дмитрий сказал:

!

Не показывайте значение в поле network-id

Теперь перегрузите роутер и подождите мин2-3. Далее смотрим в логе в самом его конце

[I] Mar 22 17:25:39 ndm: Network::Interface::EndpointTracker: "ZeroTier0": remote endpoint is "151.ZT.91". 
[I] Mar 22 17:25:39 ndm: Network::Interface::EndpointTracker: "ZeroTier0": connecting via "GigabitEthernet0/Vlan9" (GigabitEthernet0/Vlan9). 
[I] Mar 22 17:25:39 ndm: Network::Interface::EndpointTracker: "ZeroTier0": local endpoint is "10.10.10.10". 
[I] Mar 22 17:25:41 kernel: IPv6: ADDRCONF(NETDEV_CHANGE): zt_br0: link becomes ready
[I] Mar 22 17:25:51 ndm: Network::Interface::Base: "ZeroTier0": "zt" changed "link" layer state "pending" to "running". 
[I] Mar 22 17:25:51 ndm: Network::Interface::Base: "ZeroTier0": "ip" changed "ipv4" layer state "disabled" to "running". 
[I] Mar 22 17:25:52 ndm: Network::Interface::Ip: "ZeroTier0": IP address is 10.14х.ххх.ххх/24. 

имеем

- удаленную точку "remote endpoint is 151.ZTххххххх.91" где "151.ZTххххххх.91" IP адрес сервера ZT - какой то IP должен быть, не обязательно такой

- c роутера его интерфейс "connecting via GigabitEthernet0/Vlan9" и адрес "local endpoint is 10.10.10.10", тут ваш IP на ISP

- поднялся интерфейс zt_br0 и адрес "IP address is 10.14х.ххх.ххх/24" тут ваш IP в зависимости от настройки на https://my.zerotier.com/

Описание данного роутера должно появится на странице вашей сети в WEB zerotier.

Если в логе этого нет, то поднимаемся выше по логу и смотрим, что там у вас с интерфейсом  ZeroTier0 происходит.

[Le ecureuil]

В 22.03.2024 в 12:33, Поминов Дмитрий сказал:

в моем случае интерфейс zerotier самостоятельно не поднимается .  начианет все рабтать после команды

 interface ZeroTier0 up

как сделать таким образом что бы интерфейс поднимался автоматически?

После загрузки с конфигом, приведенным ниже, не поднимается?

[Andreyz1]

Подскажите, настроил Zerotier. на сайте в своем аккаунте вижу нового клиента, все зарегистрировано. 
"show interface ZeroTier0 zerotier peers" - тоже все показывает.

В выводе "show interface ZeroTier0" - OK, running

 

         network-name:
               status: OK

          summary:
                layer:
                     conf: running
                     link: running
                     ipv4: running
                     ipv6: disabled
                     ctrl: running

 

Но не могу извне подключиться в CLI кинетика по ssh.

ssh admin@192.168.xxx.xxx
....

$ ping 192.168.xxx.xxx
PING 192.168.xxx.xxx (192.168.xxx.xxx): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
...

Задача была как раз в том, чтобы удаленно заходить на кинетик и администрировать в консоли.
Что я делаю не так?

[Александр Крохмаль]

У меня такая же печаль.

Но я решил проверить подключение с телефона(Андроид) и тоже не работает...

и попробовал попинговать телефон и ком через zerotier - на удивление работает.

 

а вот пинг на адрес роутера не проходит не с телефона, не с компа.

Заметил что версия на роутере сильно отличается от актуальной

Я так понимаю согласно https://docs.zerotier.com/route-between-phys-and-virt

что надо добавить маршрут, что логично. Но получается это сразу нарушает базовые ограничения и вероятно из-за этого ничего не работает.

Остается вариант L2 Bridge https://docs.zerotier.com/bridging

но для этого Кинетик должен понимать и уметь делать "мосты"

 

Edited August 4 by Александр Крохмаль

[Andreyz1]

В другой теме нашел ответ:

нужно сделать interface ZeroTier0 security-level private

[Александр Крохмаль]

Я нашел то о чем вы пишете, но там далее еще: 

ip nat ZeroTier0 - вы прописывали это?

И там же еще рекомендуется добавить разрешающие правила. вы делали?

а вот что меня совсем смущает - это добавления подсетки в админку ZeroTier - что приводит к предпреждению по превышению доступных маршрутов.

Вы это делали?

[Александр Крохмаль]

чтото я все перепробовал - у меня даже не пигуется ip назначенный в ZeroTier  роутеру с другого устройства.

[Andreyz1]

1 hour ago, Александр Крохмаль said:

чтото я все перепробовал - у меня даже не пигуется ip назначенный в ZeroTier  роутеру с другого устройства.

ip nat ZeroTier0 -  не делал, без него заработало

Никаких подсетей и пр в админке zerotier не прописывал. Вообще ничего, только добавил галочку рядом с новым клиентом.

Правил тоже не прописывал. Если вы про инструкцию с 4pda, там дальше делают доступ по SMB к диску, подключенному в кинетик. Возможно, для этого.
У меня была цель просто попасть в cli

[zet20105]

Доброго дня, подскажите пожалуйста, пробую настроить Zerotier, когда соединения с сервером устанавливается, видно на странице zerotier, перестает полностью работать интернет и не перестает открываться веб интерфейс роутера, пробовал разные конфиги применять, тоже самое

[Suriken]

Привет всем. Мое первое сообщение, не пинайте сильно.

Пытаюсь на Giga (KN-1011) установить ZeroTier через CLI, интерфейс создался, в личном кабинете я его разрешил, IP он получил. Но ничего нет, не зайти, не пинговать.

Подскажите пожалуйста по подробнее про все что ниже данной записи в шапке:
 

Цитата

 Usage template:
          connect [via {via}]

откуда и куда и для чего мне нужно коннектить, для чего и что каждое дает, для каких сценарием использования?

Я новичок в кинетиках, поэтому не понимаю что это за WifiMaster0 1 и прочие.... Пока этого всего не делал, хочу разобраться что мне вообще нужно из этого выбрать чтобы кинетик подключался к сети ZeroTier и давал доступ к себе и своей внутренней сетке? (Ну или просто к себе, а уже переадресацией портов я решу свои задачи по пробросу сервисов)

Edited September 9 by Suriken