ZeroTier macht Port-Weiterleitungen und DynDNS-Dienste überflüssig: Mit wenigen Kommandos sprechen Rechner über eine verschlüsselte Leitung via Internet miteinander.
Der Raspberry Pi eignet sich schon alleine aufgrund seiner geringen Anschaffungs- und Betriebskosten ideal als Mini-Server. So hostet der RasPi etwa eine kleine Webseite im LAN, dient als Online-Speicher oder fungiert als Minecraft-Server für Freunde. Um die zu Hause gehosteten Dienste allerdings auch aus dem Internet erreichen zu können, müssen Sie DynDNS-Adressen einrichten und Ports vom WLAN-Router auf den Server weiterleiten. Das fällt zum einen vielen Netzwerk-Einsteigern nicht gerade leicht und eröffnet zum anderen Angreifern aus dem Netz Möglichkeiten für Angriffe auf die so angebotenen Dienste.
Sicherer wäre eine VPN-Verbindung. Das vom Raspberry Pi benutzte Raspbian führt zum Beispiel OpenVPN von Haus aus in seinen Paketquellen, und auch moderne Entwicklungen wie Wireguard lassen sich mit relativ geringem Aufwand installieren. Doch auch mit dieser Lösung stehen Sie als Anwender wieder vor demselben Problem: Ohne statische IP-Adresse oder zumindest einen DynDNS-Dienst und Port-Weiterleitungen funktioniert auch OpenVPN nicht.
Ganz ohne solche Einstiegshürden kommt hingegen ZeroTier aus: Der für Privatanwender kostenlose Dienst spannt ein softwaredefiniertes WAN-Netz (kurz SD-WAN) zwischen verteilten Rechnern auf.
Zugang zu ZeroTier
Das kalifornische Unternehmen ZeroTier [1] bietet eine Reihe von Werkzeugen an, mit denen sich Rechner ähnlich wie mit Peer-to-Peer-Programmen vernetzen lassen. Den Quellcode der unterschiedlichen Komponenten stellt das Unternehmen auf seiner Github-Seite öffentlich unter der Business Source License zur Verfügung [2]. Die für Anwender wichtigste Komponente, den “Smart Ethernet Switch for Earth” ZeroTier One, gibt es für alle wichtigen Desktop- und Smartphone-Betriebssysteme [3]. Zudem bietet ZeroTier die Software auch für Nutzer von FreeBSD, OpenWRT und NAS-Geräten von Synology oder QNAP an.
Für die Installation von ZeroTier benötigen Sie zunächst ein Benutzerkonto, dessen Registrierung aktuell allerdings ein wenig versteckt ist: Auf der ZeroTier-Homepage klicken Sie auf Login, in der sich daraufhin öffnenden Seite dann auf Log In to ZeroTier. Es öffnet sich eine weitere Seite, auf der Sie schließlich in der Fußleiste den Link Register zum Erstellen eines Kontos finden. Sie müssen lediglich Ihren Namen, eine gültige E-Mail-Adresse sowie ein Passwort angeben. Nach Bestätigung eines per E-Mail zugesandten Links öffnet sich im Browser dann automatisch das Dashboard des Dienstes.
Auf der Hauptseite des Dashboards [4] finden Sie Ihre Stammdaten sowie eine Upgrade-Option auf die kostenpflichtige Variante des Dienstes (siehe Kasten “Abo-Modell”). Für den Einstieg müssen Sie zunächst einmal ein Netzwerk anlegen. Wechseln Sie dazu in den Reiter Networks und klicken Sie dort auf den Schalter Create a Network. Das System legt daraufhin automatisch ein Netz mit einer zufällig erstellten ID und einem sprechenden Namen an. Im Gegensatz zur nicht veränderbaren ID lässt sich der Name in den Einstellungen (dazu klicken Sie einfach auf das Netz) an die eigenen Wünsche anpassen.
Abo-Modell
ZeroTier bietet seinen Dienst nach dem inzwischen vielerorts anzutreffenden Freemium-Modell an. In der kostenlosen Free-Version kostet ZeroTier nichts, dafür beschränkt das Unternehmen den Zugang auf 100 Geräte. Die meisten Heimanwender dürften wohl gut mit dem Limit auskommen. Mit einem kostenpflichtigen Abo ab 29 US-Dollar pro Monat entfällt die Begrenzung, zudem bieten die Entwickler beschleunigten Support im Problemfall an.
Neben dem Namen sollten Sie auf jeden Fall noch kontrollieren, dass die Zugangsart unter Access Control auf PRIVATE steht (was der Voreinstellung entsprechen sollte). Weiter unten unter IPv4 Auto-Assign haben Sie noch die Möglichkeit, die von ZeroTier vergebenen IP-Adressen zu wählen. Der über Easy aktivierbare Assistent erledigt das per Mausklick, optional tragen Sie unter Advanced den IP-Bereich von Hand ein. Achten Sie an dieser Stelle darauf, dass die IPs nicht mit den vom WLAN-Router vergebenen Adressen kollidieren (Abbildung 1).
Abbildung 1: Die von ZeroTier genutzten IP-Adressen dürfen nicht mit den vom WLAN-Router vergebenen Nummern kollidieren. Hier verwendet die Fritzbox den Bereich 192.168.188.*, ZeroTier 10.147.19.*.
Clients einrichten
Für die Installation des Clients bietet ZeroTier Linux-Nutzern ein Skript an, das Sie wie in Listing 1 gezeigt auf einem aktuellen Raspbian-System ausführen.
Das Installationsskript richtet mit der Datei zerotier.list im Ordner /etc/apt/sources.list.d eine neue Paketquelle ein, aus der es dann das Paket zerotier-one installiert und später aktuell hält. Danach richtet das Skript einen Dienst mit demselben Namen ein.
Mit dem ZeroTier-Dienst legt das System automatisch auch ein neues Netzwerkgerät an. Die Ausgabe von ip a oder ip address listet das Device auf, der Name beginnt immer mit zt für ZeroTier.
Listing 1
$ curl -s https://install.zerotier.com/ | sudo bash [...] *** Waiting for identity generation... *** Success! You are ZeroTier address [ ce83b4063d ]. $ sudo systemctl status zerotier-one * zerotier-one.service - ZeroTier One Loaded: loaded (/lib/systemd/system/zerotier-one.service; enabled; vendor pre Active: active (running) since Thu 2020-01-02 16:03:01 GMT; 1min 17s ago Main PID: 9683 (zerotier-one) Tasks: 3 (limit: 2200) Memory: 2.0M CGroup: /system.slice/zerotier-one.service |-9683 /usr/sbin/zerotier-one Jan 02 16:03:01 raspberrypi systemd[1]: Started ZeroTier One. $ ip address [...] 4: ztugav5ywc: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 2800 qdisc pfifo_fast state UNKNOWN group default qlen 1000 link/ether ae:5e:28:d9:74:c8 brd ff:ff:ff:ff:ff:ff inet 10.147.19.177/24 brd 10.147.19.255 scope global ztugav5ywc valid_lft forever preferred_lft forever inet6 fe80::ac5e:28ff:fed9:74c8/64 scope link valid_lft forever preferred_lft forever
Damit ist die Installation des ZeroTier-Dienstes abgeschlossen; die weitere Konfiguration erfolgt nun mithilfe des Kommandozeilenwerkzeugs zerotier-cli. Für alle Schritte braucht das Programm administrative Rechte, die Sie sich via eines vorangestellten sudo holen.
Im Prinzip genügt es jetzt, dem System die von ZeroTier bereitgestellte Netzwerk-ID zu übermitteln. Führen Sie dazu einfach das erste Kommando aus Listing 2 aus und übergeben Sie dabei die von ZeroTier automatisch generierte Netzwerk-ID als Parameter.
