ZeroTier内网穿透折腾笔记，小白贴，向大神请教请教安全问题！

YG***

首先我本人刚刚接触软路由，在网上看了很多文字的教程，初步了解了软路由是什么意思，抱着试试科学上网的想法也想折腾一番，顺便研究一下远程办公的问题。但还没研究科学上网就接触到了内网穿透ZeroTier，上网搜索了一番也了解了大概的意思，首先我对编程之类的操作纯纯的小白，完全是自己搜教程摸索前进，期间遇到的问题也是碰到一个解决一个，总算没白费功夫折腾成功，但目前没有使用，由于我本人是一名网工，对网络是有了解的，所以对于网络安全方面还是比较重视，毕竟内网好多资料都在NAS上，想请教各路大神一下安全问题。

我的网络拓扑


先扔出几个安全问题望各路大神能科普或指点一下，先说一下我自己的网络环境，结构比较简单，我知道将远程桌面的端口暴露到公网很危险，所以我的内网主机默认远程端口已经修改，然后每天下班之前将映射关闭（由于工作环境不允许带个人电脑），晚上不开。
1.这样使用远程桌面有安全隐患，有什么方法再加固一下？
2.使用ZeroTier软件，延迟很大，所以折腾了moon做转发，但我对linux系统不是很了解，只搭建了一个转发服务，但是我对这个做转发的服务器的安全性保持怀疑，不知道是不是有漏洞会不会被黑，如果被黑了会不会对我的内网有威胁？
3.软路由因为我刚接触，在论坛上找了个使用的比较多的，就直接安装了，也设置了只允许lan口登录，是否安全？
希望有老哥能科普一下，或者推荐个科普的帖子，谢谢。下面贴出一些我折腾的过程


---------------------------------------------------------------------------------------------------------------------------------------------------------

因为我只是做实验是否能成功，所以我没有买专门的硬件，我使用vm搭了一个环境，做旁路由，将需要远程的内网主机网关指向旁路由


安装Operwrt遇到的第一个问题，将IMG文件转成vmdk文件，我这里用的是下图的这个软件，网上有很多教程一步一步跟着做就可以，然后vm安装的过程我就不贴了，直接开始ZeroTier的布置



----------------------------------------------------------------------------------------------------------------------------------------------------

首先在ZeroTier官网申请一个账号，网站的访问有点慢，耐心等候就可以，我没有自己输入，我直接用的微软的账号登录
点击创建一个网络


----------------------------------------------------------------------------------------------------------------------------------------------------

Name这个地方的名字点击进去以后可以更改，前面的那一串字符就是你的网络ID，不能更改，这个ID就是其他设备要加入这个网络时使用的ID


----------------------------------------------------------------------------------------------------------------------------------------------------

1处我改成了1111，2处这个地方的意思是，这个网络是私人的，选择下面是公共的，如果选择公共的那么如果其他人有你的ID，都可以加入这个网络。我选择为私人的网络



----------------------------------------------------------------------------------------------------------------------------------------------------

高级这个地方，1处的意思是这个私有网络的IP地址段，2处的意思是，你的内网局域网的地址段，指向的10.10.10.100这个地址是你的软路由加入这个私有网络时分配的IP地址，我个人理解就是指了一条路由，访问192段时走10.10.10的意思.3处是添加网段的地方，下面的我没太研究，具体的可以翻翻其他的贴子和教程，目前ZeroTier上的设置就这么多，后面当有主机加入网络时，到Members里添加就可以。



-----------------------------------------------------------------------------------------------------------------------------------------------------

开始在openwrt上配置

先在网络接口中，配置为你的内网IP地址，后续要使用Zerotier的内网主机，网关IP地址配置为这个IP地址就可以。在下边将DHCP服务关闭掉，我是不用它做主网关，所以不用。
（说一个问题，当时配置时，系统设置里有专门的一项切换到旁路由模式，但是后来没搞通，再重新配置时没有动那里的选项）



----------------------------------------------------------------------------------------------------------------------------------------------

在VPN选项里，选择ZeroTier，选择启用，将在ZeroTie网站上创建的网络ID填到里边，然后保存应用，如果显示没启用，那就重启一下operwrt



---------------------------------------------------------------------------------------------------------------------------------------------

回到ZeroTie网站，在Members选项里就可以看到要加入的主机，打勾允许加入。并且能看到给分配的局域网地址，这个地址就是上方添加内网网段时的via


---------------------------------------------------------------------------------------------------------------------------------------------

软路由与ZeroTier网站上的设置都已经做好，下面简单做个测试是否可用。开一台笔记本，打开手机开热点并连接，提前下载好ZeroTier网站上的Windows客户端软件，并且安装，安装完毕后再开始菜单可以看到程序，


打开软件后，点击1处


将ZeroTier的局域网ID复制粘贴，选择连接。回到ZeroTier网站上继续打勾操作，外网机准备完毕



---------------------------------------------------------------------------------------------------------------------------------------------

我在内网添加了一台vm-win10主机，开启远程桌面，桥接到网卡分配IP地址，网关配置为软路由的内网地址，将防火墙关闭。内网机准备完毕


---------------------------------------------------------------------------------------------------------------------------------------------

现在用外网机直接ping-内网机的地址，可以看到现在能够ping通了，但是延迟很大。（在网络里可以看到ZeroTier的连接）
这个延迟操控远程桌面真是没法忍受，看了好多帖子说大环境屏蔽p2p巴拉巴拉，所以会用ZeroTier的服务器做转发，但是这个软件的服务器是国外的，所以延迟很大。


---------------------------------------------------------------------------------------------------------------------------------------------

官网给出了解决方案可以搭建moon转发节点，会好很多。所以我又开始看贴看教程折腾moon转发，一番折腾做好moon后延迟非常不错，偶尔跳ping但可以接受。（用的al的云ecs，现在有试用）







做好这些后我就结束了折腾，但是我没有进行使用，还是安全的问题，我不知道我自己搭建的moon服务是否有漏洞，软路由是否有安全权限的隐患，望各路大神能指导或者给些建议。当然了，平民一个，能不花钱或者少花钱最好

afbb***

楼主写了好多，我公网ip不用moon，这是手机远程ping家里机器的延时。第一个用zerotier，第二个用wireguard

YG***

afbbboy1 发表于 2023-2-9 10:17
楼主写了好多，我公网ip不用moon，这是手机远程ping家里机器的延时。第一个用zerotier，第二个用wireguard
...

我用zerotier300ms起步，我的是电信的网

Hakuna***

你的hub就是你的软路由？？

风软***

自己有VPS的话，可以考虑自建planet服务器，ztncui有汉化的

wj2***

2端有一端有公网ip就不需要搭建moon，因为也只是初始连接时会访问zerotier，连接成功后就是直接p2p了，别人知道你的网络时使用的ID并不能直接连接进你的zerotier网络，需要在zerotier管理里允许，除非别人黑了你的zerotier账户，用sd-wan内网设备并不会暴露在公网，但在单位使用是有一个“安全问题”是需要你考虑的，就是单位的网络安全政策是否允许这样操作？如果单位的网络安全政策是不允许外网（在单位外）访问公司内网，那你就不能这样操作！如果单位网络安全政策没有这方面限制一般安全性上没有问题，moon的安全性取决了你托管系统的安全性，个人在单位用最主要的问题还单位的安全政策，如果单位不允许外网访问内网（单位外访问单位内网，包括向日葵、todesk等）那就千万别这样操作。

wj2***

YGSS 发表于 2023-2-9 10:19
我用zerotier300ms起步，我的是电信的网

你单位和个人在外是同一个营运商网络吗？如果是直连很快，如果是转发就慢了，正常有1处有公网ip就是直连

griphin***

其实楼主有些多虑了，如果你的内网，有高价值目标，被高级黑客盯上了，你怎么折腾都没用，毕竟无论软件、硬件和知识层面，二者都不在一个维度上，另外，像军事网络这种敏感区域，为什么要和互联网是物理隔离？军方没有网络安全工程师么？这就好比你见过有开锁师父打不开的民用锁吗。如果没有什么高价值目标，哪个黑客吃饱撑得去研究怎么要黑到你们家网络，他花费精力心血图的啥啊。

安全层数越多，给自己带来的麻烦就越大，安全性和便捷性本来就是互斥的。我没看明白你要保护的电脑，防止被远程桌面入侵，是你家里的，还是你办公室里的。你家里的电脑，上班的时候经常要远程访问，所以下班前关闭远程桌面端口？通过远程桌面关闭远程桌面的端口，防止你下班途中被人黑？额....这个操作倒挺有创意哈，不过你直接远程关机不就好了？你又担心黑客能远程开机，所以没有开启电脑的WOL? 那你上班前开电脑，就不担心上班的途中被黑么？

你目前的远程桌面设置，其实改不改默认端口都差不多，黑客如果真想通过远程桌面连接到你电脑上，不可能只用默认的3389，他有的是端口扫描工具，看看你的哪个端口是打开的，你把密码设置复杂点，再不放心，用证书登录。

另外，你都有公网IP了，还去折腾zerotire干啥，做个VPN拨号不就好了，Socket5代理也比它延迟率低啊。重要数据冷热交替备份，高度敏感的数据，放在移动硬盘里，多存几份，比啥都靠谱。

YG***

wj2000 发表于 2023-2-9 11:14
2端有一端有公网ip就不需要搭建moon，因为也只是初始连接时会访问zerotier，连接成功后就是直接p2p了，别人 ...

谢谢。单位是允许正常访问外网的。正常的远程软件都可以用，但是我自己还是爱好于手机开热点访问。您说p2p一开始是需要访问zerotier，可是我一直延迟都是300ms以上，我看其他帖子有的说大环境给封了所以才有的moon，我搭建moon就是考虑到托管的系统我不知道是否安全，所以才没使用

YG***

风软农夫 发表于 2023-2-9 11:05
自己有VPS的话，可以考虑自建planet服务器，ztncui有汉化的

谢谢，思考了，有时间研究一下。vps是暂时的，免费期才试了试后期不免费了我可能就不用了，不便宜

YG***

wj2000 发表于 2023-2-9 11:16
你单位和个人在外是同一个营运商网络吗？如果是直连很快，如果是转发就慢了，正常有1处有公网ip就是直连

家里是动态公网，在单位笔记本连手机热点上网。建立连接后也是可以p2p吗？

YG***

Hakunamatata1 发表于 2023-2-9 10:46
你的hub就是你的软路由？？

hub只是增加了接口，软路由是vm做的

YG***

griphin@qq.com 发表于 2023-2-9 11:25
其实楼主有些多虑了，如果你的内网，有高价值目标，被高级黑客盯上了，你怎么折腾都没用，毕竟无论软件、硬 ...

谢谢。我是在单位用笔记本连手机热点，然后远程家里的电脑。至于怎么开机关机，是用了第三方的todesk，可以远程开关机。有时间研究研究用证书登录
不怕一万就怕万一嘛，就想着能安全点就安全点，资料也都是文档照片之类的没有敏感数据，那也不想让被黑。
总之谢谢您的建议，我需要学的还很多

wj2***

YGSS 发表于 2023-2-9 11:32
家里是动态公网，在单位笔记本连手机热点上网。建立连接后也是可以p2p吗？

可以p2p的，我一直在用，单位2处地址，家里一处，用的蒲公英，但蒲公英免费的只能3处，就在家里增加了一个zerotier，这样如何地方都可以互连访问，在外移动状态就手机（移动设备）连zerotier，从我平常使用情况看基本都是直连，很少遇到转发情况（都是电信网络，有时移动网络出现过转发）

wj2***

如果用zerotier这类sd-wan连端口映射都不需要做。用sd-wan(zerotier)就是为了简单，vpn（路由器设置）相对反而复杂些。