Docker搭建headscale和derp异地组网完整教程 目前国家工信部在大力推动三大运营商发展 IPv6，对家用宽带而言，可以使用的 IPv4 公网 IP 会越来越少。有部分地区即使拿到了公网 IPv4 地址，也是个大内网地址，根本不是真正的公网 IP，访问家庭内网的资源将会变得越来越困难。部分小伙伴可能会选择使用 frp 等针对特定协议和端口的内网穿透方案，但这种方案还是不够酸爽，无法访问家庭内网任意设备的任意端口。更佳的选择还是通过 VPN 来组建大内网。至于该选择哪种 VPN，毫无疑问肯定是 WireGuard，WireGuard 就是 VPN 的未来。WireGuard 目前最大的痛点就是上层应用的功能不够健全，因为 WireGuard 推崇的是 Unix 的哲学，WireGuard 本身只是一个内核级别的模块，只是一个数据平面，至于上层的更高级的功能（比如秘钥交换机制，UDP 打洞，ACL 等），需要通过用户空间的应用来实现。Tailscale 是什么？Tailscale 是一种基于 WireGuard 的虚拟组网工具，和 Netmaker 类似，最大的区别在于 Tailscale 是在用户态实现了 WireGuard 协议，而 Netmaker 直接使用了内核态的 WireGuard。所以 Tailscale 相比于内核态 WireGuard 性能会有所损失，但与 OpenVPN 之流相比还是能甩好几十条街的，Tailscale 虽然在性能上做了些许取舍，但在功能和易用性上绝对是完爆其他工具：开箱即用无需配置防火墙没有额外的配置高安全性/私密性自动密钥轮换点对点连接支持用户审查端到端的访问记录在原有的 ICE、STUN 等 UDP 协议外，实现了 DERP TCP 协议来实现 NAT 穿透基于公网的控制服务器下发 ACL 和配置，实现节点动态更新通过第三方（如 Google） SSO 服务生成用户和私钥，实现身份认证简而言之，我们可以将 Tailscale 看成是更为易用、功能更完善的 WireGuard。Tailscale 是一款商业产品，但个人用户是可以白嫖的，个人用户在接入设备不超过 20 台的情况下是可以免费使用的（虽然有一些限制，比如子网网段无法自定义，且无法设置多个子网）。Tailscale 终究是第三方平台，如该平台发生数据泄露、异常崩溃、服务终止等，就无能为力。或许，我们可以自己建一个类似的私有平台？Headscale 是什么？Headscale 旨在实现一个自托管、开源的Tailscale控制服务器替代方案，可以实现较小范围内和实现单个Tailnet的功能，通常可用于设置为单个组织、家庭或个人使用。一、搭建headscale服务端Headscale 部署很简单，推荐直接在 Linux 主机上安装。<!--理论上来说只要你的 Headscale 服务可以暴露到公网出口就行，但最好不要有 NAT，所以推荐将 Headscale 部署在有公网 IP 的云主机上。-->1.创建相关文件并配置这里需要手动创建 db.sqlite，这是根服务器的数据库文件。另外，还需要下载官网给的配置文件示例，然后需要修改一部分。mkdir -p /home/docker/headscale/config && \ mkdir -p /home/docker/headscale/data && \ touch /home/docker/headscale/data/db.sqlite && \ wget https://github.com/juanfont/headscale/raw/main/config-example.yaml -O /home/docker/headscale/config/config.yaml修改相关配置文件，比如配置文件中配置 127.0.0.1 的话，那么就只能本机访问。这里修改为 0.0.0.0 那么就所有的 ip 都能访问。sed -i 's/127.0.0.1/0.0.0.0/g' /home/docker/headscale/config/config.yaml这将修改以下几个地方# 1. server_url: http://0.0.0.0:8080 # 2. listen_addr: 0.0.0.0:8080 # 3. metrics_listen_addr: 0.0.0.0:9090 # 4. grpc_listen_addr: 0.0.0.0:50443<!--/* 修改配置文件两个注意地方：a、hs的监听端口号，要和docker-compose.yaml里定义的端口一致，默认是8080b、没有部署中继服务器，但derp部分不能删除，把enabled项设为fasle即可，否则后面headscale-webui进行overview时会出现服务器错误。-->其中server_url还需要另外修改:server_url是对外访问和登录的地址，如果你需要使用域名并开启https，那么照我如下配置。如果你仅仅使用ip，那么这个地址修改为ip+端口的方式即可。<!--如果是国内服务器，域名必须要备案-->域名填自己的sed -i 's#http://0.0.0.0:8080#https://headscale.yourname.com#g' /home/docker/headscale/config/config.yaml修改 dns 配置文件，如果不进行修改，那么登录时选择接受服务器的 dns 地址就会出现域名无法解析的情况。注意，这里的 dns 地址可以有多个，如果有需要自行添加即可。sed -i 's/1\.1\.1\.1/119.29.29.29/g' /home/docker/headscale/config/config.yaml客户端可以通过 主机名 + 用户 + 基础域名 访问任意一台终端，所以这里修改下基础域名[根域名]，根据自己的实际域名进行填写。域名填自己的sed -i 's/example.com/yourname.com/' /home/docker/headscale/config/config.yaml设置客户端随机端口，这里是听见有说不开机随机端口可能出现只能加入一台客户端的情况，为了保险还是选择开启。sed -i 's/randomize_client_port: false/randomize_client_port: true/' /home/docker/headscale/config/config.yaml可自定义私有网段，也可同时开启 IPv4 和 IPv6：ip_prefixes: # - fd7a:115c:a1e0::/48 - 10.1.0.0/162、启动headscale服务端docker run -d \ --name headscale \ --restart always \ -v /home/docker/headscale/config:/etc/headscale/ \ -v /home/docker/headscale/data:/var/lib/headscale \ -p 8080:8080 \ -p 9090:9090 \ --restart always \ headscale/headscale:0.22.3 \ headscale serve下面是一些相关的命令：以前是 namespace 的概念，现在似乎改为 user 了# 查看用户 docker exec -it headscale headscale users ls # 创建用户 docker exec -it headscale headscale users create hz # 生成apikey docker exec -it headscale headscale apikey create # 查询apikey docker exec -it headscale headscale apikey ls3、搭建web-uidocker run -d \ --name headscale-webui \ --restart always \ -v /home/docker/headscale/config:/etc/headscale/:ro \ -v /home/docker/headscale/web-ui/data:/data \ -u root \ -p 5000:5000 \ -e HS_SERVER=https://headscale.amjun.com \ # -e DOMAIN_NAME=https://headscale.amjun.com \ # 反向代理后的域名，必须要先设置好！ -e SCRIPT_NAME=/admin \ -e AUTH_TYPE=Basic \ -e BASIC_AUTH_USER=admin \ -e BASIC_AUTH_PASS=admin \ -e KEY="2uHP6BSVocX+wcWU5mzuXA7JvnZA70UaTadB8L1heOo=" \ --restart always \ ifargle/headscale-webui:latest其中 /home/docker/headscale/config 为上面服务端的映射目录，这两个目录需要一致。HS_SERVER 和 DOMAIN_NAME 填写自己的域名1。KEY 是用来加密待会需要保存的 apikey 的字符串，使用命令 openssl rand -base64 32 生成。接下来需要创建 headscale 服务器的 api-key，这里设置一个比较久的过期时间。4、配置nginx和web-uiNPM配置nginx在 Nginx Proxy Manager 中配置一下反向代理，并且配置下 SSL。需要注意的是，要把 Websockets Support 打开，否则客户端会无法登录。如果 webui 跟 Headscale 使用了同一个域名，需要配置一下 Custom locations。最后访问下 Headscale 的域名，如果返回了 404，说明部署成功。保存配置后重启 nginx，如果配置正确，那么通过 https://域名/admin 应该可以访问到 web-ui 界面，输入容器启动时配置的用户名密码即可进入。宝塔面板Nginx配置server { listen 443 ssl; listen [::]:443 ssl; server_name headscale.amjun.com; ssl_certificate /etc/nginx/conf.d/cert/amjun.com.cer; ssl_certificate_key /etc/nginx/conf.d/cert/amjun.com.key; location ^~/ { proxy_pass http://localhost:8080/; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; proxy_set_header Host $server_name; proxy_redirect https:// https://; proxy_buffering off; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $http_x_forwarded_proto; } location ^~/admin/ { proxy_pass http://localhost:5000/admin/; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } server { listen 80; server_name headscale.amjun.com; rewrite ^(.*)$ https://$host:443$1 permanent; }配置web-ui上面提示输入 apikey，这个需要 headscale 服务端生成，这里设置一个比较长的时间，根据自己的需要即可。docker exec -it headscale headscale apikeys create -e 10000d运行命令后将生成的 key 输入，点击 save 即可，概览页面如下：5、创建用户和授权密钥headscale 个人理解是用户就是命名空间，进行网络隔离，所以需要先创建用户。# 创建用户 docker exec -it headscale headscale users create hz授权密码的作用是，客户端登陆时不需要再服务端进行确认，阿蛮君总是喜欢使用简单的方式，所以就选择这种方式了。# reusable 参数代表可以重复使用，不加的话密钥只能用来一个客户端加入 docker exec -it headscale headscale preauthkeys create -e 10000d --reusable -u hz # 查看密钥 docker exec -it headscale headscale preauthkeys list -u hz这里记得记录好授权密钥，下面将会用到。二、搭建Derp服务端由于 Tailscale 官方的 DERP 服务在中国大陆地区并没有服务提供，并且使用的人也非常的多，以至于中继的体验并不好，因此可以自建一个中继服务来改善这个问题。1、使用如下命令即可搭建 derp 服务器：docker run -d \ --name derper \ -p 12345:12345 \ -p 3478:3478/udp \ -e DERP_ADDR=:12345 \ -e DERP_DOMAIN=derper.your-domain.com \ -e DERP_VERIFY_CLIENTS=false \ --restart always \ yangchuansheng/derper有几点需要注意：能用 443 端口尽量用 443 端口，实在不行再用别的端口；默认情况下也会开启 STUN 服务，UDP 端口是 3478；防火墙需要放行端口 12345 和 3478；准备好 SSL 证书；derper.your-domain.com 修改为自己的域名。设置环境变量 DERP_VERIFY_CLIENTS 是为了验证域名，这里考虑到有些人不一定需要所以设置为 false，如果真正自己使用还是建议设置为 true。目前 derper 运行一段时间就会崩溃，暂时还没有更好的解决方案，只能通过定时重启来解决，比如通过 crontab 来设置每两小时重启一次容器：0 */2 * * * docker restart derper &> /dev/null2. 配置nginxserver { listen 443 ssl; listen [::]:443 ssl; server_name derper.your-domain.com; ssl_certificate /etc/nginx/conf.d/cert/your-domain.com/your-domain.com.cer; ssl_certificate_key /etc/nginx/conf.d/cert/your-domain.com/your-domain.com.key; location / { proxy_pass http://localhost:12345/; proxy_redirect https:// https://; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; add_header Content-Security-Policy upgrade-insecure-requests; } } server { listen 80; server_name derper.your-domain.com; rewrite ^(.*)$ https://$host:443$1 permanent; }设置了强制跳转 https，如果有需要可以不设置，如果没有域名请不需要配置。配置修改后，记得重启下 nginx，这里需要使用域名或者 ip + 端口能够访问到 derp 页面。在 Nginx Proxy Manager 中配置一下反向代理，这个也需要开启 Websockets Support ，否则客户端中会无法连接 DERP 服务。如果自建了 DERP 服务，可以把 Tailscale 官方的公共服务禁用，只用自己的服务。修改 config.yaml3. 创建derp.yaml需要告诉 headscale 服务器我们创建的 derp 节点的地址，否则客户端不知道地址将无法使用。如果你是按照我之前的教程搭建的 headscale，那么运行如下命令，否则需要自己注意配置文件的位置。cat << EOF > /home/docker/headscale/config/derp.yaml regions: 900: regionid: 900 regioncode: ts regionname: Tencent Shanghai nodes: - name: 900a regionid: 900 hostname: derper.your-domain.com # ipv4: ip stunport: 3478 stunonly: false derpport: 443 EOF这里的域名替换为自己的域名，如果没配置域名就使用 ip。另外需要注意的是，如果你使用域名配置了 https，那么这里的 derpport 一般填写 443，否则应该使用上面启动容器时指定的 12345 端口。记得开放3478端口！！！regions 是 YAML 中的对象，下面的每一个对象表示一个可用区，每个可用区里面可设置多个 DERP 节点，即 nodes。每个可用区的 regionid 不能重复。每个 node 的 name 不能重复。regionname 一般用来描述可用区，regioncode 一般设置成可用区的缩写。ipv4 字段不是必须的，如果你的域名可以通过公网解析到你的 DERP 服务器地址，这里可以不填。如果你使用了一个二级域名，而这个域名你并没有在公共 DNS server 中添加相关的解析记录，那么这里就需要指定 IP（前提是你的证书包含了这个二级域名，这个很好支持，搞个泛域名证书就行了）。stunonly: false 表示除了使用 STUN 服务，还可以使用 DERP 服务。regions: 901: regionid: 901 regioncode: jp regionname: Aliyun Japan nodes: - name: 901a regionid: 901 hostname: 'derper.yourdomain1.com' ipv4: '' stunport: 3478 stunonly: false derpport: 443 902: regionid: 902 regioncode: cn regionname: Aliyun Guangzhou nodes: - name: 902a regionid: 902 hostname: 'derper.youdomain2.com' ipv4: '' stunport: 3478 stunonly: false derpport: 4434. 修改headscale配置文件修改 config.yaml 文件，paths 指定 derp.yaml 文件的位置，urls 下面的链接是官方提供的中继服务器，根据自己判断是否需要注释。# /etc/headscale/config.yaml derp: # List of externally available DERP maps encoded in JSON urls: # - https://controlplane.tailscale.com/derpmap/default # Locally available DERP map files encoded in YAML # # This option is mostly interesting for people hosting # their own DERP servers: # https://tailscale.com/kb/1118/custom-derp-servers/ # # paths: # - /etc/headscale/derp-example.yaml paths: - /etc/headscale/derp.yaml # If enabled, a worker will be set up to periodically # refresh the given sources and update the derpmap # will be set up. auto_update_enabled: true # How often should we check for DERP updates? update_frequency: 24h修改文件后记得重启 headscale。docker restart headscale5、验证再次执行 netcheck 命令，可以看见自己搭建的 derp 节点，如果是使用国内的服务器搭建，那么一般这个服务器是最近的。# docker 运行的客户端 docker exec -it tailscaled tailscale netcheck # 非 docker 运行的客户端 tailscale netcheck三、客户端安装目前除了 iOS 客户端，其他平台的客户端都有办法自定义 Tailscale 的控制服务器。OS是否支持 HeadscaleLinuxYesOpenBSDYesFreeBSDYesmacOSYesWindowsYes 参考 Windows 客户端文档Android支持,参考 这个 PRiOS暂不支持1、Linux1.1脚本安装curl -fsSL https://tailscale.com/install.sh | sh && \ tailscale login --login-server https://headscale.amjun.com --authkey b6a9b4f4e9c3a7c7e7b9b1a3a6b9e6b7a5e7c2a1e3a0a4a1 --accept-dns=false --accept-routes这里仅仅安装方式不同，登录的命令完全一样1.2Docker安装docker run -d \ --name=tailscaled \ -v /home/docker/tailscale/:/var/lib \ -v /dev/net/tun:/dev/net/tun \ -e TS_STATE_DIR=/var/lib/state/ \ --network=host \ --restart always \ --privileged tailscale/tailscale:v1.44.0 \ tailscaled --tun=tailscale0 -debug=:8088 -no-logs-no-support=true这里需要将 TS_STATE_DIR 指定的文件夹持久化，否则删除容器再新建后，在服务端能看见重复的设备。并且需要指定 --tun=tailscale0，不然似乎不能在宿主机创建网卡。然后使用如下命令进行登录：docker exec tailscaled tailscale login --login-server https://headscale.amjun.com --accept-dns=false --accept-routes=false --authkey b6a9b4f4e9c3a7c7e7b9b1a3a6b9e6b7a5e7c2a1e3a0a4a1 --advertise-routes=172.21.9.0/24,172.30.1.0/24,172.26.1.0/24,172.20.2.0/23根据自己网络情况设置 --advertise-routes，我这是需要通过这台内网机器访问公司其他网络。如果出现如下错误：running [/sbin/ip6tables -t filter -N ts-input --wait]: exit status 3: modprobe: can't change directory to '/lib/modules': No such file or directoryip6tables v1.8.8 (legacy): can't initialize ip6tables table `filter': Table does not exist (do you need to insmod?)Perhaps ip6tables or your kernel needs to be upgraded执行以下命令：# 防止探测ip6table sudo modprobe ip6table_filter1.3 手动安装Tailscale 官方提供了各种 Linux 发行版的软件包，但国内的网络你懂得，软件源根本用不了。好在官方还提供了 静态编译的二进制文件，我们可以直接下载。例如：wget https://pkgs.tailscale.com/stable/tailscale_1.22.2_amd64.tgz解压：tar zxvf tailscale_1.22.2_amd64.tgz将二进制文件复制到官方软件包默认的路径下：cp tailscale_1.22.2_amd64/tailscaled /usr/sbin/tailscaled cp tailscale_1.22.2_amd64/tailscale /usr/bin/tailscale将 systemD service 配置文件复制到系统路径下：cp tailscale_1.22.2_amd64/systemd/tailscaled.service /lib/systemd/system/tailscaled.service将环境变量配置文件复制到系统路径下：cp tailscale_1.22.2_amd64/systemd/tailscaled.defaults /etc/default/tailscaled启动 tailscaled.service 并设置开机自启：systemctl enable --now tailscaled查看服务状态：systemctl status tailscaledTailscale 接入 Headscale：# 将 <HEADSCALE_PUB_IP> 换成你的 Headscale 公网 IP 或域名 tailscale up --login-server=http://<HEADSCALE_PUB_IP>:8080 --accept-routes=true --accept-dns=false这里推荐将 DNS 功能关闭，因为它会覆盖系统的默认 DNS。如果你对 DNS 有需求，可自己研究官方文档，这里不再赘述。执行完上面的命令后，会出现下面的信息：To authenticate, visit: http://xxxxxx:8080/register?key=905cf165204800247fbd33989dbc22be95c987286c45aac303393704 1150d8462、其他 Linux 发行版除了常规的 Linux 发行版之外，还有一些特殊场景的 Linux 发行版，比如 OpenWrt、威联通（QNAP）、群晖等，这些发行版的安装方法已经有人写好了，这里就不详细描述了，我只给出相关的 GitHub 仓库，大家如果自己有需求，直接去看相关仓库的文档即可。OpenWrt： https://github.com/adyanth/openwrt-tailscale-enabler群晖： https://github.com/tailscale/tailscale-synology威联通： https://github.com/ivokub/tailscale-qpkg3、AndroidAndroid 客户端从 1.30.0 版本开始支持自定义控制服务器（即 coordination server），你可以通过 Google Play 或者 F-Droid 下载最新版本的客户端。国内本地下载安装完成后打开 Tailscale App，会出现如下的界面：点开右上角的“三个点”，你会看到只有一个 About 选项：接下来就需要一些骚操作了，你需要反复不停地点开再关闭右上角的“三个点”，重复三四次之后，便会出现一个 Change server 选项：点击 Change server，将 headscale 控制服务器的地址填进去：然后点击 Save and restart 重启，点击 Sign in with other，就会跳出这个页面：将其中的命令粘贴到 Headscale 所在主机的终端，将 NAMESPACE 替换为之前创建的 namespace，然后执行命令即可。注册成功后可将该页面关闭，回到 App 主页，效果如图：docker exec -it headscale headscale nodes register --user hz --key nodekey:xxxx4、Windowstailscale 客户端下载地址：https://tailscale.com/download/4.1 安装客户端下载 windows 客户端并进行安装。4.2 安装注册表访问 https://headscale.amjun.com/windows，可以看见配置的教程。提示需要修改注册表，这里可以直接 curl https://headscale.amjun.com/windows/tailscale.reg 下载文件后，双击运行文件进行安装即可。4.3 登录在 tailscale 的安装目录下使用 cmd 打开，输入命令：tailscale login --login-server https://headscale.amjun.com --authkey b6a9b4f4e9c3a7c7e7b9b1a3a6b9e6b7a5e7c2a1e3a0a4a1 --accept-dns=false --accept-routes这里的 authkey 是第四步生成的，然后在服务器使用命令查看。docker exec -it headscale headscale nodes ls总结目前从稳定性来看，Tailscale 比 Netmaker 略胜一筹，基本上不会像 Netmaker 一样时不时出现 ping 不通的情况，这取决于 Tailscale 在用户态对 NAT 穿透所做的种种优化，他们还专门写了一篇文章介绍 NAT 穿透的原理， 中文版翻译自国内的 eBPF 大佬赵亚楠，墙裂推荐大家阅读。放一张图给大家感受一下：

Zerotier搭建私有根服务器及创建虚拟局域网 一、Zerotier 原理概念planet：核心角色，官方不允许自建私有，zerotier 的行星服务器，用于管理全球所有的 zerotier 客户端的地址信息，帮助建立客户端间的直接链接，以及在无法建立直接链接时，作为中继服务器转发设备间的流量。moon：官方允许自建私有，作为离客户端更近的中继服务器存在，可以使转发的效率更高。原理客户端注册在内网机器上启动一个 zerotier 客户端，使用 join 加入一个网络，在控制台对客户端进行授权，此时 planet 上有如下记录：10.0.0.1 - 150.0.0.1/15679 10.0.0.2 - 160.0.0.1/22226​ 2.尝试 p2p 连接当在 10.0.0.1 机器上访问 10.0.0.2，内网机器向 planet 查询到目标地址的公网 160.0.0.1，端口为 22226。10.0.0.1 尝试与 160.0.0.1的 22226 端口进行直接数据交互，这个过程称为 udp 打洞实现 p2p 直连。​ 3.planet 转发由于各种网络限制，p2p 不能直连。此时通过 planet 转发，如果还配置了 moon 节点，此时会通过速度快的 moon 节点进行转发。如上图则大概率从上海的 moon 节点进行数据转发，此时网络取决于 moon 的带宽。二、私有 zerotier-planet 的优势解除官方的设备连接数限制提升手机客户端连接的稳定性三、搭建私有 planet了解了 zerotier 的概念原理，那么大概了解搭建私有 planet 的重要性。1、运行控制器容器docker run -d \ --name zt-ui \ -v /home/docker/zt-ui/zerotier-one:/var/lib/zerotier-one \ -v /home/docker/zt-ui/ztncui/etc:/opt/key-networks/ztncui/etc \ -p 4000:4000 \ -p 9993:9993 \ -p 9993:9993/udp \ -e MYADDR=1.1.1.1 \ -e HTTP_PORT=4000 \ -e HTTP_ALL_INTERFACES=yes \ -e ZTNCUI_PASSWD=admin123 \ --restart=always \ hausen1012/ztncui这里需要注意的是传参需要将 1.1.1.1 修改为公网 ip。2、生成 planet 文件docker exec -it zt-ui bash /tmp/patch.sh && \ docker restart zt-ui如果 linux 内核版本太低，可能报错 FATAL: kernel too old，那么需要升级内核。当然，如果你觉得云服务器不太方便升级内核，那么完全可以用一台测试的虚拟机进行生成文件，文件生成后用 ftp 上传到 /home/docker/zt-ui/zerotier-one 目录，然后再启动容器。3、测试docker exec -it zt-ui zerotier-cli listmoons显示如下内容则表示搭建成功[ { "id": "00000004e3b1b4b0", "roots": [ { "identity": "04e3b1b4b0:0:ea0c548b45efcc701c052305f06568c749a4647b9a5b111e2b372c05f7c3ed56ae1009c29cb1aa51d95057bf1b65b3a2f7b01d129437f6b72efd08f68281fb52", "stableEndpoints": [ "1.1.1.1/9993" ] } ], "signature": "b4f539ef93e198203d9e270c155d091769408ff98489d83bcf6444d2a95112ca7369138b98d42512caa3c878f3eff2c27ecada28f549ea19e3a407e71bbeb008d51f6ba92af17e8b6e4c1b8eacbd4abc42f0f639746ea924cffb99b539f94e2b", "timestamp": 1665642068786, "updatesMustBeSignedBy": "7fcb120079801a1ddde8c1fb6657365351bca7279e8470728f4cf01fb5efc81b57cde03338b4ea76dfd39570f74f2654d8d52a22613e77ed2e4cbb46a648a42d", "waiting": false } ]1.1.1.1 为公网 ip 则搭建 planet 成功。四、创建私有网络访问 http://公网ip:4000，账号密码：admin/admin123。1、创建网络2、初始化网络点击 Easy setup设置网段和子网掩码五、安装 zerotier 客户端docker 安装既然已经搭建了私有的 planet，当然是使用自己的，需要先下载服务器 /home/docker/zt-planet/zerotier-one 目录下的 planet 文件。1、启动 zerotier 客户端docker run -d \ --name=zt-cli \ --device=/dev/net/tun \ --net=host \ --cap-add=NET_ADMIN \ --cap-add=SYS_ADMIN -d \ -v /home/docker/zt-client/zerotier-one:/var/lib/zerotier-one \ --restart unless-stopped \ hausen1012/zerotier2、替换 planet 文件将服务器下载的 planet 文件上传到客户端的 /home/docker/zt-client/zerotier-one 目录。3、重启客户端docker restart zt-cli4、查看 planetdocker exec -it zt-cli zerotier-cli listpeers可以看见 stableEndpoints 的配置是自己的公网 ip。5、加入网络docker exec -it zt-cli zerotier-cli join 8b8b9ed58a10bd456、授权ip 也可以自己设置，不过要在刚刚设置的网段内。Linux安装1、简单快捷，只要执行以下命令一键安装即可。安装完成后会自动在**/var/lib/zerotier-one/**下生成相关文件及目录curl -s https://install.zerotier.com | sudo bash2、替换planet文件需要先下载服务器 /home/docker/zt-planet/zerotier-one 目录下的 planet 文件将服务器下载的 planet 文件上传到客户端的 /var/lib/zerotier-one 目录3、添加开机自启systemctl enable zerotier-one.service4、启动zerotier-one.servicesystemctl start zerotier-one.service5、加入网络zerotier-cli join ################（networkid）6、查看加入的网络的信息，比如networkzerotier-cli listnetworks# 如果连接成功，并且管理页面中勾选此客户端，则会返回以下内容200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks 830xxxxxxxx49 high_wozniak 4a:ce:1d:66:95:9b OK PRIVATE ztqu3hhgt3 10.147.18.122/247、退出加入的network网段zerotier-cli leave ################（networkid）8、卸载zerotieryum remove zerotier-one -y rm -rf /var/lib/zerotier-one/windows 安装1、下载客户端下载地址2、安装客户端双击安装即可3、替换 planet将下载好的 planet 文件复制到 C:\ProgramData\ZeroTier\One 目录下，(这个目录是个隐藏目录，需要运允许查看隐藏目录才行)4、重启服务如果仅仅只是重启 ui 是不行的，需要找到任务管理器 -> 服务 -> ZeroTierOneService，进行重启。5、查看 planet可以看见 planet 地址是自己的公网。6、加入网络点击右下角图标，join new network，输入刚刚创建的虚拟网络 id，我这边是 8b8b9ed58a0baa3d。7、授权和 dokcer 安装一样的操作，不再赘述Android安装有人制作了可以设置planet的版本：https://github.com/kaaass/ZerotierFix更新日志更新 Zerotier 核心更新 Zerotier 核心至 1.12.2改进消息提醒相关的用户体验在 APP 未获得通知权限时弹窗提示用户此弹窗提示可以被永久性关闭MIUI 机型在成功连接网络后无法弹出 Toast 提示更改通知类别名称为更具体的通知类型点击状态栏通知时无法跳转至 APP允许使用通过非官方 Planet ID 生成的 Planet 文件允许使用通过非官方 Planet ID 生成的 Planet 文件该功能应当能修复此前 APP 不识别部分自建 Planet 项目生成的 Planet 文件的问题六、测试通过上述方式将两台机器加入到网络，通过 ping 查看是否能打洞成功。其中 202 本地虚拟机，vps 是有公网 ip 的云服务器ping 检测在 10.0.0.202 机器上 ping 10.0.0.222listpeers 查看到只有自己的私有根服务器，ping 的延迟不到 100ms 和直接 ping 公网 ip 差不多，说明打洞成功。局域网 scp 检测speedtest 测速可以看见速度能达到十几MB，而我的根服务器是腾讯云的 3Mbps 服务器，如果通过根服务器转发肯定不可能达到这个速度，说明打洞成功。如果没有出现以上测试情况，Zerotier也无法保证能打通的，并且打洞成功也有可能有波动，能连接，但可能是根服务器腾讯云的 3Mbps的速度，无法点对点直连<u>参考文章：https://www.nodeseek.com/post-37619-1</u>