Zerotier Mikrotik VPN (ROS 7.X) server-clients all OS

[jkarabas]

Καλό είναι να ανοίξουμε ένα νέο θέμα για το zerotier για να είναι όλα μαζεμένα.

Για ξεκίνημα υπάρχει το παρακάτω link:

https://help.mikrotik.com/docs/display/ROS/ZeroTier

Αργότερα θα ανεβάσω και τις δικές μου ρυθμίσεις.

[Nikiforos]

Καλημερα, δλδ αυτο μπορει να τρεξει και σε hap ac2 ή θελει δυνατη cpu και ram?
το πακετο του πιανει πολυ χωρο?

Αν και να γινεται αμα δεν βγει dude server για την 7αρα ROS δεν την αλλαζω στο δικο μου.

[jkarabas]

Όσο αφορά λοιπόν το δικό μου setup.
Το zerotier είναι εγκατεστημένο σε arm συσκευές της mikrotik.
Εγω στην απέναντι μεριά επειδή ο ρουτερ μου είναι Mikrotik αλλά όχι arm έτυχε να έχω στο δίκτυο ένα AP το οποίο είναι arm συσκευή και εκεί ενεργοποίησα και σετάρισα το zerotier.
Το αναφέρω διότι επειδή δεν είναι στο ρουτερ και πρέπει να γίνει ΝΑΤ από τον ρουτερ προς αυτό.

1o Εγγραφή στο zerotier
https://my.zerotier.com/

2o Το πακέτο δεν είναι προεγκατεστημένο στην ROS 7.1 οπότε την κατεβάζουμε από τα extra packages της mikrotik
και το κάνουμε εγκατάσταση.

3ο Ανοίγουμε terminal και δίνουμε:

Κώδικας:

zerotier/enable zt1
zerotier/interface/add network=(το ID network) instance=zt1

4o Επειδή υπάρχουν bugs ακόμη στο Mikrotik για το zerotier σχετικά με το inetrface δίνουμε τις παρακάτω εντολές (αναφορά στο forum τους):

Κώδικας:

/zerotier disable zt1
/zerotier/interface disable zerotier1
/zerotier/inteface set zerotier1 disable-running-check=yes
/zerotier/interface enable zerotier1
/zerotier enable zt1

5ο Στο ρουτερ προσθέτω κανόνα στον ΝΑΤ για την πόρτα του zerotier στην ip του AP που τρέχει το zerotier

Κώδικας:

/ip firewall nat 
add chain=dstnat action=dst-nat protocol=udp dst-port=9993 in-interface=<your WAN interface> to-addresses=(η IP του mikrotik που έχει το zerotier) to-port=9993

Σε περίπτωση που το zerotier είναι εγκατεστημένο στον ίδιο τον ρουτερ μας τότε κάνουμε accept την πόρτα 9993 στο firewall filter με τον παρακάτω κανόνα και παραλείπουμε το βήμα 5

Κώδικας:

/ip firewall filter
add chain=input action=accept protocol=udp in-interface=<your WAN interface> dst-port=13231

6o Πρόσθεσα τα παρακάτω routes μέσα στο zerotier central:
Destination 192.168.X.0/24 via (την ip του mikrotik που έχει πάρει το LAN του zerotier)
Με τον παραπάνω κανόνα έχω πρόσβαση σε όλο το απέναντι τοπικό δίκτυο.

Destination 0.0.0.0/24 via (την ip του mikrotik που έχει πάρει το LAN του zerotier)

7o Τέλος έβαλα και έναν κανόνα masquerade

Κώδικας:

/ip firewall nat 
add chain=srcnat action=masquerade out-interface=<your WAN interface>  src-address=(ορίζουμε το LAN του Zerotier)

8ο Κατεβάζουμε το zerotier client για windows και κάνουμε σύνδεση.

Το πρόβλημα τώρα που έχω όταν συνδέομαι είναι ότι δεν παίρνει την public ip όταν δίνω πχ. whatismyip που αυτό είναι λάθος κάτι λοιπόν έχω παραλήψει.

Λύθηκε όπως γράφω παρακάτω
https://www.adslgr.com/forum/threads...67#post7177767

- - - Updated - - -

Καλημερα, δλδ αυτο μπορει να τρεξει και σε hap ac2 ή θελει δυνατη cpu και ram?
το πακετο του πιανει πολυ χωρο?

Καλημέρα Νικηφόρε κάπου κάποιος ανέφερε ότι καταναλώνει αρκετούς πόρους και ανεβάζει τη cpu
έψαχνα να βρω το Post του αλλά τα έχουμε κάνει κουλουβάχατα με τα θέματα.
Καλύτερα να περιμένουμε λίγο διότι έχει διάφορα λαθάκια.

[Nikiforos]

κοιτα τι βρηκα https://forum.mikrotik.com/viewtopic.php?t=178063
δεν βλεπω το hap ac2 στα υποστηριζομενα.
Επισης θεωρω οτι θα υπαρχει σιγουρα προβλημα χωρου, εκτος αν εχουμε και αλλο μηχανημα οπως εγω πχ και εχουμε μοιρασει τα πακετα ωστε να εχει λιγα.
Προς το παρον δεν μπορω να τσεκαρω, περιμενω πως και πως να βγει η 7 με υποστηριξη για dude server για να την βαλω, μετα μπορει να το κοιταξω.

[jkarabas]

κοιτα τι βρηκα https://forum.mikrotik.com/viewtopic.php?t=178063

Ναι τα έχω τσεκάρει όλα αυτά. Επειδή είναι καινούργιο ψαχνόμαστε ακόμη.

- - - Updated - - -

Το πρόβλημα τώρα που έχω όταν συνδέομαι είναι ότι δεν παίρνει την public ip όταν δίνω πχ. whatismyip που αυτό είναι λάθος κάτι λοιπόν έχω παραλήψει.

Λύθηκε τελικά και αυτό.
Πρόσθεσα στο route του zerotier Destination 0.0.0.0/0 via (ip mikortik του zerotier)
και στον client των windows επέλεξα allow default route override.



Τώρα με whatismyip παίρνω την public από το απέναντι δίκτυο.

Στον client για android έχει επίσης επιλογή Route Via ZeroTier.



- - - Updated - - -

Σε αυτό το link βρήκα τη λύση και μάλιστα αναφέρεται και για το Raspberry.
https://harivemula.com/2021/09/18/ro...ier-on-travel/

[glf]

Και το πρώτο ελληνικό video επάνω στο θέμα

[jkarabas]

Και το πρώτο ελληνικό video επάνω στο θέμα

Τέλεια.

- - - Updated - - -

Άρα ο οδηγός μου ήταν απόλυτα σωστός!!

[glf]

το δοκιμάζω και γω σε δεύτερο Mikrotik που συνδέεται στο mikrotik router.
ολα καλά εκτός από το local static DNS

που αυτό δε μου παίζει ούτε σε L2TP-IPSEC

για κάποια LAN VM's έχω static ip Και static DNS entries στο DNS του Mikrotik router. Ε αυτά δε μπορώ να τα δουλεύω από VPN μεριά

[jkarabas]

το δοκιμάζω και γω σε δεύτερο Mikrotik που συνδέεται στο mikrotik router.
ολα καλά εκτός από το local static DNS

που αυτό δε μου παίζει ούτε σε L2TP-IPSEC

για κάποια LAN VM's έχω static ip Και static DNS entries στο DNS του Mikrotik router. Ε αυτά δε μπορώ να τα δουλεύω από VPN μεριά

Μπορείς να κάνεις ένα σχεδιάγραμμα για να καταλάβω τι εννοείς;
VM's εννοείς virual machines και έχεις εκεί statics ips και statics DNS?

[glf]

Ναι αυτό ακριβώς. Δε κάθομαι να σηκώσω... bind για το τοπικό δίκτυο για καμιά 10αριά static IP's
πχ λεω 192.168.10.23 είναι το transmission.home κτλ.

[jkarabas]

Σε περίπτωση που το zerotier είναι εγκατεστημένο στον ίδιο τον ρουτερ μας τότε κάνουμε accept την πόρτα 9993 στο firewall filter με τον παρακάτω κανόνα και παραλείπουμε το βήμα 5

Κώδικας:
/ip firewall filter
add chain=input action=accept protocol=udp in-interface=<your WAN interface> dst-port=13231

Να διορθώσω τον παραπάνω κανόνα εκ παραδρομής το dst-port=9993

Επίσης στη περίπτωση όπως είπαμε που ο ρουτερ ο ίδιος τρέχει το interfece του zerotier πρέπει υποχρεωτικά να δηλωθούν και οι 2 παρακάτω κανόνες στο firewall filter για να υπάρχει πρόσβαση στο δίκτυο μας.

Κώδικας:

/ip firewall filter> add action=accept chain=forward in-interface=zerotier1 place-before=0

Κώδικας:

/ip firewall filter> add action=accept chain=input in-interface=zerotier1 place-before=0

Επειδή τρέχω ήδη στο δίκτυό μου adblocker που τον έχω δηλωμένο σας DNS για να κόβει τις διαφημίσεις, διαπιστώνω ότι όταν συνδέομαι με zerotier δεν δουλεύει ο adblocker.

- - - Updated - - -

Επειδή τρέχω ήδη στο δίκτυό μου adblocker που τον έχω δηλωμένο σας DNS για να κόβει τις διαφημίσεις, διαπιστώνω ότι όταν συνδέομαι με zerotier δεν δουλεύει ο adblocker.

Λύθηκε και αυτό.
Στο Zerotier central δηλώνουμε το παρακάτω:


Έτσι περνάνε όλα πλέον από τον DNS του Adblocker. Η λειτουργία αυτή είναι για τους clients των windows.

Για τα κινητά όταν πατάτε το + πατάτε custom dns και εκεί δηλώνετε τον DNS για adblock.



- - - Updated - - -

Σήμερα διαπίστωσα ότι αν κάνεις σύνδεση απο windows και ξεχάσεις να κάνεις αποσύνδεση και ανοίγεις τον υπολογιστή την επόμενη μέρα
η σύνδεση εξακολουθεί να μένει ανοιχτή.

[Nikiforos]

Καλημέρα! καλη εβδουμαδαααααααααα ΑΑΑΑΑΑΑΑΑΑΑΑΑαααααα!

Εχω μερικες αποριες, λεει εδω :
ZeroTier - RouterOS - MikroTik Documentation

• Accessing LAN devices behind NAT directly;
• Accessing LAN devices via SSH without opening port to the Internet;
• Using your local Pi-Hole setup from anywhere via the Internet;

δλδ εγω πχ αν εχω εξοχικο συνδεση πισω απο CGNAT μπορω να δω το εσωτερικο μου δικτυο πχ ενα αλλο μικροτικ? κτλ?
μπορω δλδ να το κανω bypass? δεν θα θελω ssh reverse tuneling ?

η δευτερη απορια πρεπει και στις 2 ακρες να εχω ZeroTier? και να συνδεθουν μεταξυ τους τα δικτυα κατι σαν το wireguard ή μονο εκει που εχει το CGNAT ?

Thanks!

[BillyVan]

Μεσολαβει ο σερβερ της Zerotier που εχει public ip.

Ειναι ενδιαμεσος δηλαδη.

Ετσι αν και τα 2 σημεια ειναι πισω απο cgnat μπορουν να βλεπουν το ενα το αλλο χωρις προβλημα.

Η ταχυτητα βεβαια εξαρταται οπως ειναι λογικο απ το αν εισαι free ή πληρωνεις με το μηνα.

Αν θυμαμαι καλα το ειχα δοκιμασει οταν πρωτοβγηκε στο Μικροτικ και χωρις απαιτησεις μου αφησε νορμαλ εντυπωσεις.

Ειναι υπηρεσια που πρεπει να τρεχει σε windows, Mikrotik κλπ. στα σημεια που θελεις να ενωσεις.

Τα λενε ολα στο site

https://www.zerotier.com/pricing/

[Nikiforos]

Καλημερα, ευχαριστω για την απαντηση.
Οποτε θελω και στα 2 ακρα τοτε καποιο ARM32/64 bit μηχανημα να το τρεχει για να γινει δουλεια, ισως οχι μονο mikrotik ?

Δλδ μπορεις να περασεις πχ συνδεσεις vpn, wireguard, openvpn και voip θα εχεις θεμα με το free?

[BillyVan]

Δλδ μπορεις να περασεις πχ συνδεσεις vpn, wireguard, openvpn και voip θα εχεις θεμα με το free?

Δεν το ξερω.

Δεν το δοκιμασα.

Ειναι ομως τζαμπα να κανεις μια δοκιμη.

Για voip δε ξερω ποση καθυστερηση θα εχεις γιατι οπως ειπα θα μεσολαβει ο σερβερ τους.

Πιστευω οτι ολα τα παραπανω που ειπες θα παιξουν με τις καταλληλες δρομολογησεις.

Λογικα με ακομη ενα ac2 που εχεις μπορεις να το δοκιμασεις ή με raspberry , windows ?

Ψαξε λιγο για σχετικες υλοποιήσεις αλλων χρηστων.