自己的 VPN自己建,用 영층建構自己的虛擬內網

目前全球遭受新冠病毒的威脅,許多企業紛紛開始採用遠端工作模式減少人際接觸,然而對一些小型企業來說,遠端工作難以施行的原因可能是因為它們的 그것環境尚未建置 VPN對這樣的需求來說,我們可以利用 ZeroTier 來建構自己的 제로 레이어 VPN不需要太多的網路技術知識,對一般人而言也可以輕鬆架好架滿.

下載與安裝

영층安裝在本地的客戶端稱為 0 층 1支援多個平台,包括 macOS、Linux、Windows、iOS、Android等等,以 데비안系的 Linux(기본 운영 체제, Debian, Ubuntu)來說,可以透過執行下面這行指令自動幫我們設好 적절했어庫與金鑰:

curl -s https://install.zerotier.com | sudo bash

其它作業系統的安裝方式可以參照 영층網站.

영층 네트워크

영층 네트워크就是虛擬區網,用戶可以自行建立多個 영층 네트워크供不同的目的使用(公司網、親友網、老司機網等等),必須先建立至少一組的 영층 네트워크後再為每台裝置(電腦、手機)加入那個 네트워킹
영층 네트워크的建立與管理是透過 ZeroTier Central 這個網站來操作,註冊的過程我們快速跳過,快轉進入到 ZeroTier Central的 네트워킹頁面:

按左上角的네트워크 설정會幫我們建立一組 영층 네트워크每個 네트워킹由十六碼的 신분증與名稱組成,신분증是 네트워킹的獨立識別碼,建立後就不可被更改,신분증也是之後我們要在本機端加入 네트워킹的依據,名稱則只是便於在 ZeroTier Central操作時識別而已,可隨意命名.
進入剛剛建立的那個 네트워킹裡面看起來很複雜,可是其實以簡單的用戶端能互聯這樣的需求來看,要設定的地方不多.

설정

네트워킹的基礎設定.

네트워크 ID: 네트워크獨立識別碼,用於之後加入該 네트워킹所使用.

이름: 네트워크名稱,可自行取名.

액세스 제어:請選 이등병確保每個加入的裝置都是你認得的.

下面 선진적那邊是一些 지적 재산권.的技術參數,可以不用動.

구성원

加入本 네트워킹的裝置,目前應該是空白,到後面在本機端加入這個 네트워킹後就會有裝置清單與簡單的管理介面出現.

유동 규칙

更細節的流量規則,一樣不用動.

나누다

把本 네트워킹的管理頁面分享給其它 영층帳號.
最單純的情境下,四大區塊其實什麼也不用動.

把裝置加入 네트워킹

前面我們已經建立了一組 영층 네트워크要把一部已經裝好 영급的 Linux加入那個 네트워킹首先把 네트워크 ID記下來,然後搭配 영급的命令工具 zerotier-cli 使用:

sudo zerotier-cli join ################

後面的井字號用 네트워크 ID填上.
因為前面在 제로 타이어 센터的 네트워킹的設定我們用了 개인적的存取控制,所以每當有新裝置加入這個 네트워킹時,我們必須再回到 네트워킹的管理介面去授權這台新裝置加入我們的 네트워킹
回到 ZeroTier Central的 네트워킹管理介面,在 구성원區段下應該可以發現有剛加入的新裝置,在 예?位置打勾對它進行授權即可.另外也可以幫這個裝置命名方便之後的識別.
只要重複上面的步驟把每台裝置都加入 네트워킹後,就可以透過 영층幫我們建構的虛擬區網互連了.

進階應用

橋接網路,可以透過在公司的那台電腦當作跳板存取公司內網的網站,或是身陷中國 GFW內也可以透過家裡的電腦當跳板存取自由的網路.

영층安全嗎？

영층的安全機制是建立在端對端的加密連線上,在 A、 B兩台電腦間是直接連線的,並不透過 영층作為中介,並且這兩端的連線是加密的,僅有彼此能為訊息解密,而端點間的加密與認證機制也是可以信賴的.在某些情況下當兩端無法直接連線時,可能會透過 영층的中介機台作為溝通的媒介,但由於前面提到的端對端的加密連線機制,中介機台是無法看到原始的資料的,所以總的來說,영층是安全的,不過也還是要保有「世界上沒有絕絕對對的安全」的觀念,有疑慮、有芥蒂、覺得沒花錢就是不安心、不爽快、手會癢,那就不要用.
關於詳細的 영층的安全機制,參見 〈Protocol Design Whitepaper〉的 Cryptography 一節 .