黑群晖用 zerotier 外网访问,有啥风险吗?

2020-11-22 08:13:38 +08:00
 flyex
rt
是否需要一些单独的设置?
主要为了这折腾方便,把 root 登录 ssh,啥的全开了,密码也为了防忘 设置很简单
5435 次点击
所在节点    NAS
12 条回复
oneisall8955
2020-11-22 08:40:46 +08:00
关闭密码登录,用公钥
jfdnet
2020-11-22 08:57:47 +08:00
zerotier 相当于 VPN 内网,甚至更安全。

理论上没什么问题。
wwhc
2020-11-22 10:21:22 +08:00
建议自建 openvpn 。zerotier 和 softether 一样存在中转模式,两者的连接同样由服务器控制
chole
2020-11-22 10:25:29 +08:00
理论上很安全。
nicevar
2020-11-22 10:33:45 +08:00
一般没啥大问题,不过你这样有点太漏了,连自动扫描程序都可能把你主机给推平了
至少也是限制 root 账号登陆,改个 ssh 端口号,限制一下登陆尝试次数
cmheia
2020-11-22 11:28:06 +08:00
没有。zt 的中转服务器 PING 延时高丢包多速度慢,SSH 都不一定连得上。
no1xsyzy
2020-11-22 11:49:42 +08:00
网络设私有(需手动允许才能进入,而不是知道网络 ID 就能进入)
把 sshd 侦听接口设置到 zt 的接口上去,不过就永远只能先建立 zt 再接入了。

风险相对一般,可用性比较低。为了提升可用性:
如果两边都有几层 NAT 的话需要给通道保活。
自建 MOON 和 / 或 Controller,并为它(们)配置好直通信道

另外,用公钥登录 + ssh-agent 比密码既更方便又更安全……
ssh-agent 也有工具可以跨 session 共享(比如 oh-my-zsh 带的 ssh-agent 插件)
bavtoex
2020-11-22 13:36:04 +08:00
唉,前几天折腾了很久,多层 nat(光猫拨号-路由器-客户端)下的客户端很多穿不透,测试了,win10 可以穿透,openwrt 和群晖都无法穿透,最后改光猫桥接-路由器拨号后,客户端才都正常穿透使用.

期间为了测试,还把用了多个版本 openwrt,虚拟机安装,N1 安装,小主机安装,都无法穿透,最后才发现改光猫桥接就解决了,瞎折腾了😂😂😂
Lemeng
2020-11-22 13:48:48 +08:00
没看出有什么问题
no1xsyzy
2020-11-22 15:11:55 +08:00
@bavtoex 两层 NAT 难穿呀……
这个问题其实可以通过不断尝试链接来打通并保活,具体不清楚怎么办到的。
两遍都开起来了以后循环 curl 某个服务的基础页面,打了大概一小时就通了……
之后就一直挂着 nextcloud 之类的自建网盘同步,重启就掉了,反正让 nextcloud 自己轮询,上午到中午就打通了。
laminux29
2020-11-22 15:52:34 +08:00
开源的东西,容易被人天天拿来研究漏洞,这是风险所在,但 Linux 系都有这个问题。

而且,风险再高,也架不住这玩意方便。

想要更安全的话,这种通道类的东西不应该安装在与数据和业务有关的设备上,应该装在路由器这种网络设备上。目前没发现哪种路由器直接支持 zerotier,但支持 vpn 的路由器倒是不少,不过 vpn 组网太麻烦了。
Mai1me
2020-11-23 09:27:48 +08:00
可以用 v2ray 内网穿透。

一种是 直接 v2ray VPN 直接访问内网 IP
一种是 v2ray 反向代理 群晖

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/727964

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX