V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
flyex
V2EX  ›  NAS

黑群晖用 zerotier 外网访问,有啥风险吗?

  •  
  •   flyex · 2020-11-22 08:13:38 +08:00 via Android · 4990 次点击
    这是一个创建于 1223 天前的主题,其中的信息可能已经有所发展或是发生改变。
    rt
    是否需要一些单独的设置?
    主要为了这折腾方便,把 root 登录 ssh,啥的全开了,密码也为了防忘 设置很简单
    12 条回复    2020-11-23 09:27:48 +08:00
    oneisall8955
        1
    oneisall8955  
       2020-11-22 08:40:46 +08:00 via Android
    关闭密码登录,用公钥
    jfdnet
        2
    jfdnet  
       2020-11-22 08:57:47 +08:00
    zerotier 相当于 VPN 内网,甚至更安全。

    理论上没什么问题。
    wwhc
        3
    wwhc  
       2020-11-22 10:21:22 +08:00
    建议自建 openvpn 。zerotier 和 softether 一样存在中转模式,两者的连接同样由服务器控制
    chole
        4
    chole  
       2020-11-22 10:25:29 +08:00
    理论上很安全。
    nicevar
        5
    nicevar  
       2020-11-22 10:33:45 +08:00
    一般没啥大问题,不过你这样有点太漏了,连自动扫描程序都可能把你主机给推平了
    至少也是限制 root 账号登陆,改个 ssh 端口号,限制一下登陆尝试次数
    cmheia
        6
    cmheia  
       2020-11-22 11:28:06 +08:00
    没有。zt 的中转服务器 PING 延时高丢包多速度慢,SSH 都不一定连得上。
    no1xsyzy
        7
    no1xsyzy  
       2020-11-22 11:49:42 +08:00   ❤️ 1
    网络设私有(需手动允许才能进入,而不是知道网络 ID 就能进入)
    把 sshd 侦听接口设置到 zt 的接口上去,不过就永远只能先建立 zt 再接入了。

    风险相对一般,可用性比较低。为了提升可用性:
    如果两边都有几层 NAT 的话需要给通道保活。
    自建 MOON 和 / 或 Controller,并为它(们)配置好直通信道

    另外,用公钥登录 + ssh-agent 比密码既更方便又更安全……
    ssh-agent 也有工具可以跨 session 共享(比如 oh-my-zsh 带的 ssh-agent 插件)
    bavtoex
        8
    bavtoex  
       2020-11-22 13:36:04 +08:00
    唉,前几天折腾了很久,多层 nat(光猫拨号-路由器-客户端)下的客户端很多穿不透,测试了,win10 可以穿透,openwrt 和群晖都无法穿透,最后改光猫桥接-路由器拨号后,客户端才都正常穿透使用.

    期间为了测试,还把用了多个版本 openwrt,虚拟机安装,N1 安装,小主机安装,都无法穿透,最后才发现改光猫桥接就解决了,瞎折腾了😂😂😂
    Lemeng
        9
    Lemeng  
       2020-11-22 13:48:48 +08:00
    没看出有什么问题
    no1xsyzy
        10
    no1xsyzy  
       2020-11-22 15:11:55 +08:00
    @bavtoex 两层 NAT 难穿呀……
    这个问题其实可以通过不断尝试链接来打通并保活,具体不清楚怎么办到的。
    两遍都开起来了以后循环 curl 某个服务的基础页面,打了大概一小时就通了……
    之后就一直挂着 nextcloud 之类的自建网盘同步,重启就掉了,反正让 nextcloud 自己轮询,上午到中午就打通了。
    laminux29
        11
    laminux29  
       2020-11-22 15:52:34 +08:00
    开源的东西,容易被人天天拿来研究漏洞,这是风险所在,但 Linux 系都有这个问题。

    而且,风险再高,也架不住这玩意方便。

    想要更安全的话,这种通道类的东西不应该安装在与数据和业务有关的设备上,应该装在路由器这种网络设备上。目前没发现哪种路由器直接支持 zerotier,但支持 vpn 的路由器倒是不少,不过 vpn 组网太麻烦了。
    Mai1me
        12
    Mai1me  
       2020-11-23 09:27:48 +08:00 via Android
    可以用 v2ray 内网穿透。

    一种是 直接 v2ray VPN 直接访问内网 IP
    一种是 v2ray 反向代理 群晖
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2867 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 13:49 · PVG 21:49 · LAX 06:49 · JFK 09:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.