Listing 2
$ sudo zerotier-cli join Netzwerk-ID 200 join OK $ sudo zerotier-cli info 200 info ce83b4063d 1.4.6 ONLINE $ sudo zerotier-cli listnetworks 200 listnetworks <nwid> <name> <mac> <status> <type> <dev> <ZT assigned ips> 200 listnetworks Network-ID rpg_net ae:5e:28:d9:74:c8 OK PRIVATE ztugav5ywc 10.147.19.177/24 $ sudo zerotier-cli listpeers 200 listpeers <ztaddr> <path> <latency> <version> <role> 200 listpeers 13432b1d05 192.168.188.90/43574;5763;5763 2 1.4.6 LEAF 200 listpeers 34e0a5e174 147.75.92.2/9993;13825;13592 233 - PLANET 200 listpeers 3a46f1bf30 2a02:6ea0:c815::/9993;13826;13662 162 - PLANET 200 listpeers 778cde7190 2605:9880:400:c3:254:f2bc:a1f7:19/9993;13826;8700 119 - PLANET 200 listpeers 992fcf1db7 195.181.173.159/9993;3816;3803 12 - PLANET 200 listpeers d3ecf5726d 34.94.185.87/57090;234;234 150 1.4.1 LEAF
Damit sich nicht jeder in Ihrem ZeroTier-Netzwerk einklinken darf, müssen Sie den Zugriff autorisieren. Dazu wechseln Sie wieder in das webbasierte Dashboard und öffnen die Einstellungen des gewünschten Netzwerks. ZeroTier untergliedert die Einstellungen in Settings, Members, Flow Rules und Sharing.
Die Freigabe erfolgt im Abschnitt Members. Das gerade angemeldete System sollte automatisch in der Liste auftauchen. Sobald Sie den Haken in der ersten Spalte Auth? setzen, ist das Gerät aktiv (Abbildung 2). Außerdem sollten Sie dem Gerät an dieser Stelle unter Name/Description noch einen sprechenden Namen geben.
Abbildung 2: Über das Dashboard müssen Sie neu angelegte ZeroTier-Clients autorisieren. Zur besseren Unterscheidung sollten Sie den Geräten auch für sich sprechende Namen geben.
Mit ZeroTier vernetzt
Danach erreichen Sie das via ZeroTier zugänglich gemachte Gerät von überall aus dem Internet über die unter Managed IPs aufgeführte IP-Adresse – egal, ob Sie gerade an einem anderen PC sitzen oder mit einem Smartphone über das Mobilfunknetz arbeiten.
Als einzige Voraussetzung müssen Sie auch auf dem Client ZeroTier installieren und das System in das eigene Software-Netzwerk einbinden. Die Download-Seite des Projekts erklärt die Installation für Linux, MacOS und Windows sowie weitere Systeme [5]. Das Dashboard zeigt an, welche Systeme gerade online sind und wann sie zuletzt vom System registriert wurden.
Die Installation auf einem ausgewachsenen Linux-System gleicht der von Raspbian vollständig. Das Skript ermittelt automatisch die genutzte Distribution und spielt das Programm passend dazu ein. Auf unseren Testsystemen mit Ubuntu 19.10 und Fedora 31 klappte die Installation und Integration in das ZeroTier-Netz ohne Komplikationen. Abbildung 3 zeigt als Beispiel ein in das Software-Netzwerk eingebundenes Ubuntu-System mit einer von einem Raspberry Pi ausgelieferten Webseite und einem SSH-Login auf denselben RasPi.
Abbildung 3: Dieses Ubuntu-System greift über das ZeroTier-Netz auf einen Raspberry Pi im heimischen LAN zu, ohne dass zuvor Ports weitergeleitet werden mussten.
Firewall
In der Regel genügt es, den ZeroTier-Client über das Installationsskript auf dem gewünschten System einzuspielen. Arbeiten Sie jedoch mit einer Firewall, müssen Sie den Port 9993 für ein- und ausgehende UDP-Verbindungen freigeben. Bei der für Ubuntu typischen Uncomplicated Firewall Ufw erledigen Sie das mit dem Kommando sudo ufw allow 9993/udp oder alternativ über das grafische Frontend Gufw (Abbildung 4).
Abbildung 4: Die meisten Linux-Distributionen verzichten in der Standardkonfiguration auf eine Firewall. Aktivieren Sie eine, wie hier Ufw, müssen Sie Port 9993/UDP für ein- und ausgehende Anfragen freischalten.
Neben den Clients für konventionelle PCs bietet ZeroTier auch Apps für Android und iOS in den entsprechenden App-Stores an. Im Test zeigte die Android-Variante auf einem Smartphone mit Android 9 keine Schwächen. Wie bei der PC-Variante müssen Sie nach der Installation der App das Netzwerk über die Netzwerk-ID anlegen. Über den Schieber unter dem Eintrag starten Sie die VPN-Verbindung. Ein Schlüssel in der Kopfleiste signalisiert die getunnelte Netzwerkleitung (Abbildung 5).
Abbildung 5: Den ZeroTier-Client gibt es fürr Linux, MacOS und Windows. Für unterwegs bietet das Unternehmen auch Smartphone-Varianten für Android und iOS an.
Beachten Sie, dass Sie das Android-Gerät wie zuvor den PC-Client im ZeroTier-Dashboard aktivieren müssen. Damit der Zugang auch aus dem Mobilfunknetz funktioniert, müssen Sie allerdings zuvor in den Einstellungen die Option Use Cellular Data setzen.
Fazit
ZeroTier schlägt gleich zwei Fliegen mit einer Klappe: Der Dienst erspart in vielen Szenarien den Einsatz eines DynDNS-Anbieters sowie das oft umständliche Aufsetzen eines VPN-Servers. Dabei macht ZeroTier in Sachen Sicherheit keine Kompromisse: Der Dienst verschlüsselt die Kommunikation zwischen den Clients von Ende zu Ende und erlaubt den Zugang zum eigenen Netz erst nach manuellem Aktivieren des jeweiligen Geräts (siehe Kasten “Kein Datentunnel”). Details zu den eingesetzten Kryptografieverfahren erklären die Entwickler in der Dokumentation des Projekts [6].
Verbindungsanfragen an Server außerhalb des Software-LANs routet ZeroTier direkt ins Internet. ZeroTier lässt sich somit nicht mit einem herkömmlichen VPN-Angebot oder einem selbst gehosteten OpenVPN im Heimnetz vergleichen, das den kompletten Datenverkehr durch den VPN-Tunnel leitet. Der Dienst eignet sich primär dazu, Webdienste oder Netzwerkfreigaben ohne Konfiguration eines Routers über die Grenzen des eigenen Netzwerks hinaus verfügbar zu machen.
Im Alltag erwies sich das System als besonders nützlich, weil es sich nicht nur auf klassische PCs, Single-Board-Computer wie den Raspberry Pi und mobile Betriebssysteme beschränkt, sondern auch für NAS-Geräte zur Verfügung steht. Das Projekt unterstützt offiziell Systeme von Synology (ab DSM 6+), QNAP und WD MyCloud. Für Entwickler gibt es ein SDK, das sich in eigene Programme integrieren lässt. Zudem liegt der Quellcode von ZeroTier One offen, sodass man die Client-Applikation bei Bedarf auch aus dem Quelltext bauen kann, falls die Installationsroutine die eingesetzte Distribution nicht unterstützt.
