Pokud provozujete více počítačů v různých fyzických sítích – třeba doma, u rodičů, zákazníků –, anebo se chcete třeba jen připojit do místní sítě kamarádů kvůli nějaké té LAN party, jistě znáte hromadu k tomu určených technologií na bázi VPN, Hamachi a podobně.
Jednou z nich je i ZeroTier One od stejnojmenné firmy z kalifornského Irvinu, která se specializuje na SDN – softwarově definované sítě. ZeroTier One tedy na bází VXLAN spustí na počítači virtuální ethernetový adaptér.
Jeho komunikace je šifrovaná 256bitovým klíčem, a dokáže navázat spojení s dalšími uzly, se kterými vytvoří virtuální privátní lokální síť napříč internetem.
ZeroTier One v akci: Přihlásím se z domova do práce, probudím si laptop s Windows 11 a zkontroluji kolegy kamerou:
ZeroTier připojí počítače do jedné virtuální LAN
Celý systém pracuje dostatečně nízko, aby se protuneloval i skrze mnohé korporátní a silně segmentované sítě, a tak si můžete vybudovat vlastní a docela komplexní virtuální LAN, jejíž součástí budou jak mašiny s Windows, macOS a Linuxem u vás doma, tak třeba počítač u rodičů, zařízení u zákazníka, anebo konečně třeba laptop v práci.
ZeroTier One se chová jako další ethernetový adaptér
Díky poměrně široké virtualizaci ethernetového protokolu funguje také multicast a další speciality. Klient ale musí být schopen v síti otevírat klíčové porty, které se používají pro základní orchestraci – spojení napříč internetem.
Zkušení zerotieři mohou do systému napojit skrze softwarový bridge celé subnety a připojit třeba i síťovou tiskárnu a další krabičky, které nepodporuje základní klient. Fanoušci routerů od Mikrotiku to mají dokonce ještě jednodušší. A existuje i klient pro OpenWrt (komunitní Linux nejen pro routery).
Lokální management virtuálního síťového adaptéru umožnuje grafická aplikace pro Windows a macOS. Linuxový/unixový klient je textový
Open-source i služba pro 50 zařízení zdarma
ZeroTier je freemium a zároveň open-source. To znamená, že jej můžete provozovat kompletně na své infrastruktuře, anebo se o vše a velmi elegantně postarají servery provozovatele a do osobní sítě v takovém případě připojíte zdarma až 50 zařízení. ZeroTier One jako služba nabízí vlastní webovou administraci na adrese my.zerotier.com.
Správa osobní virtuální sítě. Zařízením mohu přidělovat místní IP, znám jejich stav i skutečnou internetovou adresu NATu, za kterým jsou schované
Nejprve si zde vytvoříte abstraktní síť, která má své jméno a network ID, což je její jedinečný identifikátor napříč celou infrastrukturou služby. Když pak budete chtít do své virtuální LAN připojit nový počítač, na kterém běží klient, jednoduše vyplníte právě toto ID a v administrační konzoli se objeví žádost o autorizaci, kterou jen odklepnete.
Tisíce LAN IP adres
Nový člen sítě získá od virtuálního DHCP místní IP adresu. Stejně tak mu ale můžete přidělit statickou. Pojďme si to ukázat na příkladu. Moje virtuální síť se jmenuje kloboukuvNet a pracuje s lokálním IP rozsahem 172.24.0.0 až 172.24.255.255, k dispozici mám tedy více než 65 tisíc adres v až 256 subnetech.
Pingám z práce nejprve na dva počítače ve stejné síti LAN (172.24.1.x) a pak na jeden z počítačů u mě doma (172.24.1.x)
Díky tomu si mohu síť snadno topologicky rozdělit třeba na počítače v mé skutečné domácí LAN, které budou pracovat na IP rozsahu 172.24.0.x, a na počítače, které se fyzicky nacházejí u nás v redakci. Těm přidělím pro snadné rozlišení třeba IP adresy z rozsahu 172.24.1.x. Každé zařízení má vede adresy opět svůj jedinečný identifikátor a samozřejmě MAC.
Běží i na mobilech
Oficiální klient ZeroTier One je k dispozici také pro telefony a tablety s Androidem a iOS, na kterých použije systémové funkce pro připojení k VPN. Když se na svém telefonu spojíte se svou síti ZeroTier, budete moci snadno přistupovat i z mobilu ke všem ostatním zařízením připojeným do virtuální sítě, i když se budete nacházet na opačné straně planety.
Telefon je připojený do ZeroTier One a momentálně je připojený jen skrze LTE. Mohu pingat na stroje doma i v práci skrze jejich lokální IP adresy a k těm linuxovým se mohu připojit skrze zabezpečený terminál SSH
Já se tak tímto způsobem skrze linuxový vzdálený terminál SSH mohu z mobilu snadno připojit ke svému redakčními linuxovému minipočítači Jetson Nano (obdoba Raspberry Pi) a z něj pak skrze Wake On LAN probudit pracovní laptop s Windows 11 a přihlásit se k němu skrze vzdálenou obrazovku. Vše se bude jevit, jako by byla obě zařízení v jedné síti LAN, ačkoliv já si budu válet šunky kdesi na chorvatské pláži.
A opět, telefon je pouze na LTE, díky připojení do virtuální LAN ale mohu spustit vestavěnou vzdálenou plochu Windows a pracovat na svém redakčním laptopu
Spojení bude rychlé, přímé (P2P) a díky virtuální lokální síti mi bude stačit i základní a vestavěný klient pro práci se vzdálenou plochou.
Běží také na Raspberry Pi, OpenWrt a nasech
Zatímco Windows, macOS a mobilní telefony mají k dispozici grafický klient pro snadné napojení do sítě, na linuxových/unixových systémech je k dispozici klient s textovým rozhraním. Fanoušci Debianu, Ubuntu, Fedory a odvozených linuxových systémů mohou použít instalační balíčky DEB a RPM, ostatní si budou muset vše přeložit sami ze zdrojových kódů. Díky podpoře armových procesorů rozjedete klient i na Raspberry Pi a podobných mikropočítačích.
Textový klient pro linuxové systémy a výpis nodů sítě
Mimochodem, právě britská Malina může fungovat jako zmíněný bridge, který do ZeroTieru napojí celý LAN. To je už ale pro síťové začátečníky přece jen vyšší dívčí, a tak vás odkážu na detailní návod třeba na této adrese.
Nakonec nechybí ani podpora pro vybrané síťové disky QNAP, Western Digital MyCloud a komunitní port pro síťové prvky se systémem OpenWrt. Díky tomu, že se jedná o open-source a vše je vystavené na GitHubu, možná ještě nějaké další přibydou.
Pro začátečníky i pokročilé síťaře
ZeroTier funguje docela dobře, byť samozřejmě v sítích s velmi agresivním firewallem bude problém – zejména kvůli UDP pro základní orchestraci sítě. Technologie potěší svou otevřeností kódu, univerzalitou a šíří využití díky běhu dostatečně nízko na 2. síťové vrstvě, bezešvostí na hlavních platformách, kde se ZeroTier chová jako další síťový adaptér, a tak ten skutečný i virtuální LAN mohou běžet trvale vedle sebe, a také poměrně bohatou konfigurací chování sítě pro pokročilé uživatele.
Ti mohou pomocí textových pravidel podrobně nastavit chování prakticky celého virtuálního ethernetu. Podstatné je ale to, že by měl ZeroTier One v ideálním případě rozchodit i naprostý zelenáč. Takže hurá do toho!