Zerotier one что это
ZeroTier, WireGuard и «LAN» от RuVDS. Сравнение возможностей и области применения
В предыдущих статьях, от RSagittarius, посвящённых ZeroTier было подробно рассмотрено практическое применение данного инструмента и его настройка. Настало время сравнить его с таким, набирающим популярность, решением как WireGuard, что бы понять — в каких случаях лучше выбрать ZeroTier, а в каких WireGuard. Так же, «на закуску», рассмотрим такую штуку как локалка RuVDS.
Wireguard — относительно новый популярный VPN «из коробки»
Существует огромное множество VPN решений, наиболее известными, на сегодняшний день, являются IPSec, WireGuard и до недавнего времени наиболее популярный, OpenVPN. Так почему-же я решил сравнивать ZeroTier, который производителем не позиционируется как классическое VPN решение, именно с WireGuard? На то есть несколько причин:
1. Простота настройки
По сравнению с тем-же OpenVPN настройка WireGuard действительно «тривиальна». Достаточно сгенерировать пары открытый-закрытый ключ и обменяться открытыми ключами, между хостами, поднять WireGuard интерфейсы (правда руками), и руками-же их скоммуницировать. На этом, в принципе базовая настройка завершена.
2. Мультиплатформенность
3. Новизна
WireGuard впервые «вышел в свет» в конце июня 2016-го и сразу в прод маленькой кучки VPN провайдеров:
Earliest snapshots of the code base exist from June 30, 2016. Four early adopters of WireGuard were > the VPN service providers Mullvad, AzireVPN, IVPN and cryptostorm.
ZeroTier — виртуальный коммутатор с функцией VPN и «файрволом»
Скажу сразу и честно. Давно не испытывал такого удовольствия от соединения энного количества хостов в сеть. Простота и логичность работы и настройки ZeroTier просто подкупает. А с учётом того, что RuVDS предоставляет готовый шаблон, для поднятия собственного ZeroTier контроллера, так ещё и сокращает время развёртывания VPN сети. Ни в одном опенсорс проекте, до этого, я ещё не видел такой лёгкости добавления отдельных хостов и целых локальных сетей, в VPN сеть. Да именно сеть, ибо производитель позиционирует свой продукт как виртуальный коммутатор с функцией VPN. Теперь можно пройтись по тем-же пунктам что и в случае WireGuard.
1. Простота настройки
Не буду повторяться, ибо всё уже написано до нас. Отмечу лишь то, что добавление нового хоста это одна команда на клиенте вида zerotier-cli join 7ca3bd9b52f9d96b и… и всё! (ну и плюс поставить галочку авторизации, в веб-интерфейсе контроллера, для свеже-добавленного хоста). Роутинг в локалки, например в локалки филиалов, тоже никаких проблем! Галочка в GUI и статик роуты на маршрутизаторах локалок. Вобщем, как минимум, я рекомендую попробовать!
2. Мультиплатформенность
ZT тоже балует обилием клиентов подо всё что движется, включая практически все популярные NAS и даже OpenWRT.
3. Новизна
ZeroTier уже не мальчик. Всё-таки 10 лет развития, по айтишным меркам, это уже что-то. Но, тем не менее, продукт выглядит свежо, по крайней мере по концепциям. А главное, он работает ровно так, как задумано. Но это всё лирика. Как мне кажется пора переходить к самому главному к сравнению…
Сравниваем наших героев
Выводы
К сожалению ZeroTier, предсказуемо, проиграл по производительности. По крайней мере для систем на ядре Linux. Но, по моему скромному мнению, ZeroTier победил в простоте и удобстве администрирования. Отсюда вывод. Если вам нужна высокая производительность между серверами и рабочими станциями на линукс, выбирайте WireGuard. Если-же у вас клиенты, по большей части на MacOS, Windows, и мобильных платформах, то я-бы выбрал ZeroTier. Особенно если нужно добавлять / удалять новых клиентов, в большом количестве, раздавать права доступа и так далее. Ну и, для клиентов RuVDS, может стать решающим фактором быстрота и удобство развёртывания собственного контроллера, «в один клик». Так-же, для упрощения выбора, приведу сводную таблицу совместимых платформ:
А теперь небольшой сюрприз
На самом деле, для случая соединения между собой серверов размещённых у RuVDS, есть ещё один вариант. Вариант указанный в заголовке статьи. И этот вариант, по производительности, уделывает даже WireGuard, но, при этом, по простоте настройки сравним с ZeroTier. Это «Локальная сеть» в панели управления серверами. Под спойлером — где искать и как всё это настроить:
В панели управления серверами у любого сервера который хотим добавить в локалку идём на вкладку «сеть»(1) и смело жмём на капу «настроить локальные сети»(2).
Далее создаём новую локалку.
Задаём имя локальной сети(1). Выделяем подсеть в любом из частных диапазонов (10.0.0.0/8; 192.168.0.0/16; 172.16.0.0/12 etc), с маской в CIDR нотации(2). Опционально придумываем описание(3). Выбираем сервер который хотим подключить(4), подключаем(5), при необходимости повторяем шаги 4 и 5. Жмём зелёную капу(6).
Выглядит локалка как-то так… Проверяем, жмём «Deploy».
Мы подключены к сети(2), но пока в оффлайне(1). Ждём пару минут.
После чего жмём «обновить список»(1) и убеждаемся что сеть перешла в состояние online(2).
После того как сеть поднялась, заходим на виртуалки и проверяем связность. Локалка видна как обычный сетевой интерфейс, с адресом из той подсети которую мы задали(1). «Соседний» сервер на другом конце страны, прекрасно пингуется(2).
Самое интересное — производительность (сервера те-же что и в тестах WireGuard и ZeroTier):
Очевидные вопросы
1. Что у этого решения под капотом?
VLAN/IPsec, при этом не используются ресурсы виртуалки.
2. Где использовать?
Для соединения серверов в рамках RuVDS.
3. Простота настройки?
Сравнима с настройкой ZeroTier.
Окончательные выводы по областям применения
Powered by ZeroTier. Практическое руководство по строительству виртуальных сетей. Часть 1
Продолжая рассказ о ZeroTier, от теории, изложенной в статье «Интеллектуальный Ethernet-коммутатор для планеты Земля», перехожу к практике, в которой:
Сетевой контроллер
Как уже было сказано ранее, для создания виртуальных сетей, управления ими, а также подключения узлов, пользователю необходим сетевой контроллер, графический интерфейс (GUI) для которого существует в двух ипостасях:
В своей практике я пользовался обеими и в результате всё-таки остановился на второй. Причиной чему послужило предостережения разработчика.
«Сетевые контроллеры служат центрами сертификации для виртуальных сетей ZeroTier. Файлы содержащие секретные ключи контроллера должны тщательно охраняться и надежно архивироваться. Их компрометация позволяет неавторизованным злоумышленникам создавать мошеннические конфигурации сетей., а потеря — приводит к потере способности контролировать и управлять сетью, фактически делая её непригодной для использования»
А также, признаки собственной ИБ-параноидальности 🙂
Первоначальная настройка
После создания сервера из указанного шаблона, доступ к Web-GUI контроллера пользователь получает через браузер, обратившись по адресу httрs:// :3443
По умолчанию сервер уже содержит предварительно созданный самоподписанный TLS/SSL сертификат. Для меня этого достаточно, так как я закрываю доступ к нему извне. Для тех же, кто желает использовать другие типы сертификатов, есть инструкция по установке на GitHab разработчика GUI.
При первом входе пользователя в систему Login с установленными по умолчанию логину и паролю — admin и password:
Она предлагает изменить пароль по умолчанию на пользовательский
Я поступаю чуть иначе — не меняю пароль у существующего пользователя, а создаю нового — Create User.
Задаю имя нового пользователя — Username:
Задаю новый пароль — Enter new password:
Подтверждаю новый пароль — Re-enter password:
Вводимые символы чувствительны к регистру — будьте внимательны!
Чек-бокс подтверждения смены пароля при следующем входе — Change password on next login: не отмечаю.
Для подтверждения введенных данных жму Set password:
Потом: перелогиниваюсь — Logout / Login, уже под учётными данными нового пользователя:
Далее перехожу во вкладку пользователи — Users и удаляю пользователя admin, кликнув на иконку корзины, которая находится слева от его имени.
В дальнейшем изменить пароль пользователя, можно кликнув либо на его имя, либо на set password.
Создание виртуальной сети
Для создания виртуальной сети пользователю необходимо перейти во вкладку Add network. Из пункта User это можно осуществить через страницу Home — главную страницу Web-GUI, на которой отображён ZeroTier-адрес данного сетевого контроллера и присутствует ссылка на страницу списка сетей, через него созданных.
На странице Add network пользователь назначает имя вновь создаваемой им сети.
При применении вводимых данных — Create Network пользователь попадает на страницу со списком сетей, на которой указаны:
Network name — имя сети в виде ссылки, при переходе по которой можно его изменить
Network ID — идентификатор сети
detail — ссылка на страницу с детальными параметрами сети
easy setup — ссылка на страницу для простой настройки
members — ссылка на страницу управления узлами
Для дальнейшей настройки переходим по ссылке easy setup. На открывшейся странице пользователь задаёт диапазон IPv4 — адресов для создаваемой сети. Сделать это можно автоматически, нажатием кнопки Generate network address или вручную, введя в соответствующее поле сетевую маску сети CIDR.
При подтверждении успешного ввода данных необходимо вернуться на страницу со списком сетей с помощью кнопки Back. На этом основную настройку сети можно считать завершённой.
Подключение узлов сети
ZeroTier One — работающий на ноутбуках, настольных компьютерах, серверах, виртуальных машинах и контейнерах сервис, который обеспечивает подключения к виртуальной сети через виртуальный сетевой порт, подобно VPN-клиенту.
После установки и запуска службы к виртуальным сетям можно подключиться, используя их 16-значные адреса. Каждая сеть выглядит как виртуальный сетевой порт в системе, который ведет себя так же, как обычный порт Ethernet.
Ссылки на дистрибутивы, а также команды установки можно найти на странице производителя.
200 info ebf416fac1 1.4.6 ONLINE
GUI:
Windows: кликом правой кнопкой мыши на иконке ZeroTier One в системном трее и выбора пункта — Join Network.
MacOS: Запустить приложение ZeroTier One в bar menu, если ещё не запущен. Клик на значке ⏁ и выбор Join Network.
Android/iOS: + (изображение плюса) в приложении
На этой странице оставляем пока всё как есть и по ссылке IP assignment переходим на страницу назначения узлу IP-адреса:
После назначения адреса, по кнопке Back возвращаемся на страницу списка подключенных узлов и задаём название — Member name и отмечаем чек-бокс для авторизации узла в сети — Authorized. Кстати, этот чек-бокс очень удобная вещь для отключения/подключения от сети узла в дальнейшем.
200 listnetworks
200 listnetworks 2da06088d9f863be My_1st_VLAN be:88:0c:cf:72:a1 OK PRIVATE ethernet_32774 10.10.10.2/24
GUI:
Статус сети должен быть OK
Для подключения остальных узлов повторяем операции 1-5 для каждого из них.
Проверка сетевой связности узлов
Я делаю это с помощью выполнения команды ping на подключённом к сети устройства, которым в данный момент управляю.
На скриншоте Web-GUI контроллера можно увидеть три подключенных к сети узла:
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
Пользователь вправе использовать другие инструменты проверки доступности узлов в сети, как встроенные в ОС, так и такие как NMAP, Advanced IP Scanner и т.д.
Прячем доступ к GUI сетевого контроллера извне.
Вообще, уменьшить вероятность несанкционированного доступа к VDS, на котором находится мой сетевой контроллер, я могу средствами файрвола в личном кабинете RuVDS. Эта тема скорее для отдельной статьи. Поэтому, тут я покажу как обеспечить доступ к GUI контроллера только из сети, которую создал в этой статье.
Для этого необходимо подключившись по SSH к VDS на котором находится контроллер, открыть файл конфигурации с помощью команды:
В открывшемся файле, после строки «HTTPS_PORT=3443», содержащей адрес порта, по которому открывается GUI, нужно добавить дополнительную строку с адресом, по которому GUI будет открываться — в моём случае это HTTPS_HOST=10.10.10.1.
Далее сохраню файл
и выполняю команду:
И всё, теперь GUI моего сетевого контроллера доступен только для узлов сети 10.10.10.0/24.
Вместо заключения
На этом первую часть практического руководства по созданию виртуальных сетей на основе ZeroTier хочу закончить. Жду ваших комментариев.
А пока, чтобы скоротать время до момента публикации следующей части, в которой я расскажу, как объединить виртуальную сеть с физической, как организовать «road warrior» режим и кое-что ещё, предлагаю вам попробовать организовать собственную виртуальную сеть с помощью приватного сетевого контроллера с GUI на основе VDS из маркетплейса на сайте RUVDS. Тем более, что для всех новых клиентов действует бесплатный тестовый период — 3 дня!
Как убивать зомби эффективнее с ZeroTier
У вас есть сервер под кроватью, умный дом на даче, а еще IP-камера в гараже. Как их всех объединить в одну сеть чтобы иметь доступ ко всем устройствам? В таких ситуациях принято использовать VPN, но есть решение эффективнее — ZeroTier. Он создает одноранговую (P2P) сеть между устройствами при этом настраивается сильно проще, чем VPN.
У нас уже выходил цикл статей про организацию P2P сети для удаленной поддержки пользователей. В ней мы рассматривали вариант построение децентрализированной виртуальной сети при помощи ZeroTier. В отличии от традиционных решений VPN в ZeroTier отсутствует центральный управляющий сервер и соединение устанавливается напрямую между устройствами.
Я часто использую ZeroTier для двух кейсов: подключаться к устройствам клиентов, чтобы оказать поддержку и убивать зомби в шутерах. Мне стало интересно сравнить альтернативные способы подключения по локальной сети.
Если вы хотите разобраться в принципе работы ZeroTier, про это мы выпускали подробную статью с разбором.
Подключение по RDP для удаленной поддержки
Почти каждый день мне приходится подключаться к клиенту для подавления восстания машин, чтобы помочь что-то решить. В условиях пандемии это коллеги, работающие из дома.
Для работы с внутренними сервисами компании требуется аутентификация из корпоративной сети и на офисном роутере давно поднят VPN на случай необходимости удаленно что-то где-то сделать.
Для меня подключиться к нему и прописать пару маршрутов в системе не составляет труда, но рядовому пользователю это оказалось трудоемким. Так когда-то сформировалась потребность в простом решении, которое позволит пострадавшему пользователю легко дать доступ к своему компьютеру.
Я даже не рассматривал тогда Teamviewer или Radmin из-за ограничений и стоимости. К тому же я сторонник православного RDP, а не сторонних утилит. Хотелось, чтобы решение было максимально простым в реализации и человеку потребовались минимум действий со своей стороны. А так как я переживаю не только за сотрудников родной, любимой компании и иногда помогают и сторонним персонажам, использовать корпоративный VPN-сервер было бы неправильным.
Что я сравнивал с ZeroTier
В сети можно найти несколько простых решений для реализации виртуальной сети:
Параметры оценки каждой программы
Все решения я оценивал по параметрам:
Hamachi
На момент написания статьи, последняя версия программы «LogMeIn Hamachi for Windows 2.2.0.633» и вышла она в марте 2019-го. В бесплатной версии есть ограничение в 5 одновременных подключений к одной сети. Стоимость полной версии начинается с 49$ в год.
Чтобы начать работу, нужно:
При учете, что все тесты выполняются на двух пк с неизменной конфигурацией (в каждом тесте один и тот же диск, одни и те же настройки системы и прочее) результаты CrystalDiskMark должны давать представление о скорости передачи данных.
Ремарка: уже после написания статьи я засомневался, что выбрал лучшее решение для тестирования. Думаю в комментариях будет предложен лучший подход.
Результат по времени: копирование 9 Gb файла заняло ровно 21 минуту.
Пинг между ПК не превышал 10ms.
Radmin VPN
Последняя версия «Radmin VPN 1.1.3969.3» вышла в декабре 2019-го. Это полностью бесплатное приложение, с минималистичным дизайном и не требует даже регистрации.
Результаты CrystalDiskMark также ниже чем у Hamachi.
Возможно, если бы не съеденный пончик, то результаты были бы другими. При подключении по RDP никаких особых проблем не было.
ZeroTier
Это уникальный в своем роде open source проект:
Мы уже подробно рассматривали принцип его работы в этой статье. Я перечислю лишь главные особенности, которые делают его таким интересным:
1. Так как мы говорим о P2P сети, трафик идет не через поднятый нами узел, а напрямую от устройства к устройству. Узел нужен исключительно для первоначальной установки соединения. Далее, он не участвует в работе. Узел можно и вовсе выключить, связь не будет разорвана. Он потребуется только в случае повторного подключения.
2. Узел нетребователен к ресурсам. Он спокойно работает на нашем самом дешевом VPS за 130 р. в месяц (или 30 рублей, если успели отхватить тот самый тариф).
3. Нет ограничения на количество пользователей и сетей: можно подключать весь свой универский поток и устроить встречу одногруппников в Контрстрайк.
Чтобы создать узел, нам потребуется поднять VPS с серверной частью приложения. Процесс также был описан ранее.
Клиентская часть ZeroTier One обладает минималистичным дизайном и очень скромным набором параметров. Нам потребуется отправить пользователю только ID нашего узла и авторизовать его.
9Gb летело 20 минут. Чуть быстрее чем Hamachi.
CrystalDiskMark также показал чуть более высокие значения.
Ping как и везде прыгал около 10ms.
Кейс второй: как позадротить культурно отдохнуть за офисным слабеньким ПК
ZeroTier дает еще одну возможность — популярный сейчас способ стриминга игры на другое устройство (а-ля GeForce Now). Для этого есть сразу три альтернативы ZeroTier: RDP, Parsec и Moonlighrt. Давайте протестируем их.
К сожалению, не приспособлен для такого. Большинство опробованных мною игр просто отказывались нормально работать. Либо крашились из-за несовместимости видеодрайвера, либо просто не реагировали на управление.
▍ Parsec
Это специализированный бесплатный софт, созданный для проброса видеоряда между ПК с акцентом на сверх низкую задержку. В отличии от Teamviewer или Radmin, Parsec способен в относительном комфорте передавать стабильные 60 FPS при FullHD изображении (чтобы не получать дрейкфейс снова и снова).
Для комфортного использования рекомендуется, чтобы у хоста было кабельное подключение со скоростью не ниже 30 Мбит/с.
В абсолютное большинство игр, можно комфортно играть, не испытывая высокий input lag, но, к сожалению, при этом страдает качество картинки. Из-за методов сжатия, на контрастных элементах изображение разбивается на пиксели и это сильно режет глаза. В FPS-зависимые игры, например шутеры, не удастся поиграть с должным уровнем комфорта. Input lag хоть и низкий, но время от времени заметны некоторые подергивания изображения, что хоть и не мешает меткой стрельбе, но раздражает.
В чем Parsec точно превосходит другие решения, так это в локальный ко-оп. Ввиду того что Parsec просто позволяет делиться изображением монитора, в любую локал ко-оп игру возможно поиграть без проблем. Причем расстояние между вами не играет роли. Я с удовольствием играл в Cuphead с другом из Новосибирска и не испытал каких-либо проблем с реакцией на происходящие.
Parsec также неплох и в повседневном рабочем использовании. Он шустрее, передает более качественное изображение по сравнению с Teamviewer и в нем отсутствуют какие-либо лимиты на количество удаленных рабочих столов. Однако для таких целей всегда я использую RDP, банально за встроенность в ОС и возможность проброса локальных накопителей.
▍ Moonlight
Moonlight (ранее Limelight) — это реализация протокола NVIDIA GameStream с открытым исходным кодом. Мы реализовали протокол, используемый NVIDIA Shield, и написали набор сторонних клиентов.
Самое очевидное и главное достижение Moonlight это возможность транслировать 4K видеоряд при 120 и больше FPS с полным отсутствием каких-либо задержек.
Moonlight работает только при условии, что на хостовой машине установлена карта Nvidia. Связанно это с тем, что проект эмулирует NVIDIA Shield и напрямую работает с драйвером. Именно это и позволяет транслировать 4K 120FPS без задержек в условиях локальной сети.
Помимо этого, второй недостаток Moonlight это отсутствие возможности играть по сети интернет без дополнительных танцев с бубном.
▍ Moonlight + Hamachi
К сожалению, у меня отсутствует карта захвата, а снимать монитор на телефон я просто не могу… Поэтому вам придется либо поверить моим словам либо самостоятельно протестировать каждое решение. Пропускной способности Hamachi хватает для комфортной игры в 2K 60-120FPS. При увеличении разрешения микрофризы становятся ощутимо сильнее.
Играть в FPS-зависимые игры возможно, но то тут, то там игра может зависнуть на четверть секунды. Parsec все же лучше себя показывает, с точки зрения минимизации задержек. Однако проигрывает по качеству изображения. Тут уже решать вам, что важнее: минимальный input lag и артефакты изображения или идеальная картинка, но микро-фризы?
▍ Moonlight + Radmin VPN
Radmin VPN повел себя так же, как и в синтетике. Относительно комфортно поиграть вышло только в FullHD и 60FPS. Разрешение чуть выше приводило к невыносимому слайдшоу. А время от времени картинка и вовсе замирала секунды на 2. К сожалению, эта связка показала себя хуже всего.
▍ Moonlight + ZeroTier
А вот теперь мы подобрались к вкусной парочке. Что и говорить, но официальный репозиторий Moonlight, советует именно ZeroTier для построения P2P соединения. Мне буквально не удалось отличить геймплей запущенной удаленно игры от запуска на локальном ПК. Все заявленные Moonlight фичи работают. Жаль, что у моего друга из Новосибирска карта от AMD и тестировать пришлось в рамках одного города, призвав брата (это север и юг Москвы).
Изображение плавное разрешение вплоть до 4K и идет без каких-либо тормозов. Отклик на нажатия мгновенный, в шутеры так играть можно. Пожалуй, эта связка лучший вариант для cloud гейминга.
Выводы
ZeroTier — пожалуй, лучшее доступное решение для быстрого построения peer-to-peer сетей. Да, его функционал не позволит строить сложные сети и не даст доступ ко всему многообразию настроек классического L2TP/IPsec. Но это далеко не всегда нужно для простых задач.
Parsec — наверное, единственный вариант для удаленной игры в проекты, поддерживающие локальный кооператив или раздельный экран (мне сразу вспомнился Lovers in a Dangerous Spacetime). Он не привязан к конкретной технологии физического оборудования и не требует дополнительной настройки сети. Однако, он может сильно пережимать качество изображения. В отсутствии возможности подключиться к удаленному пк штатными способами, подходит для быстрой компьютерной помощи.
Moonlight — Если на вашем игровом ПК установлена карта Nvidia то Moonlight + ZeroTier идеальная пара для удаленного гейминга. Проблему с настройкой виртуальной сети ZeroTier решает просто и элегантно. Moonlight, благодаря эмуляции Nvidia Shield, позволяет передавать потрясающую картинку без задержек. Он не дает возможности удаленной настройки ПК, но выше я описал другие решения.