假设无数个成员(移动设备、终端、Docker),需要劫持所有请求,并根据它们请求所访问的域名解析出IPv6或者IPv4地址来进行有效的选择性访问
说的直白一点点就是:分流策略
这里例一下需要做的工作,来看一下:
- 如何为所有成员设备分配IPv6的网络地址及IPv4地址?
- 如何有效的完成DNS解析及地址管理
- 如何有效的管理所有成员
1跟2在技术上看了资料也是可以用iptables来做转发,然后dnsmasq做DNS解析,最后ipset来做地址池,但是问题来了,所有的成员设备如何来有效的管理呢?如何去分配成员IPv6的网络地址呢?
所以ZeroTier one很好的解决了这个问题,它支持IPv4、IPv6的地址分配,并且有管理界面。虽然开源的功能不及官方的闭源版本,但是好在都是基于API的一个操作,后续二次开发新增一些功能以及优化的话也是很方便的
尽管它不支持DNS解析,但是可以找其他的应用比如Clash来替代。这样的话在访问一些网站的时候它会尝试IPv4根IPv6的地址进行访问,优先选择快的!
那选择了ZeroTier所以这篇文章主要还是记录分享一下如何创建IPv6的网络及相关服务搭建
安装ZeroTier控制器
Key-networks开源的zerotier controller,提web管理UI, zntcui,功能与zerotier central官方一致。并且ztncui提供了容器化的部署方式,在实验中,通过容器部署在node上
git clone https://github.com/key-networks/ztncui-containerized
cd ztncui-containerized
sudo docker build -t ztncui .
开始运行它:
sudo docker run --rm --privileged=true -e HTTP_ALL_INTERFACES=yes --volume ztncui:/opt/key-networks/ztncui/etc/ --volume zt1:/var/lib/zerotier-one/ --name=ztcui -dp 9321:3000 --cap-add=NET_ADMIN -t ztncui
访问ztncui服务,服务器地址加9321端口:
创建IPv6网络
首先需要一台服务器用来搭建网关,并且至少需要有/64的IPv6block,像Vultr就行,这边就拿Vultr做示范
ZeroTier本身是一个P2P组网的工具,很多人用它做内网穿透。因其本身支持IPv6自定义路由的功能跟巨多的可以使用的地址空间根本用不完
- 开始安装工具:
apt -y update
apt -y install curl sudo net-tools
apt -y install ndppd
- 修改内核参数,支持ipv6转发:
echo "net.ipv6.conf.default.forwarding = 1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding = 1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.proxy_ndp = 1" >> /etc/sysctl.conf
echo "net.ipv6.conf.all.accept_ra = 2" >> /etc/sysctl.conf
sysctl -p
分配IPv6公网地址
设置地址自动分配池跟IPv6地址设置
选择v6AssignMode
勾选ZT rfc4193 (/128 for each device)和Auto-assign from IP Assignment Pool
设置2001工网地址的分配池,以便为之后的每个加入网络的成员分配一个ipv6公网地址
将Vultr那台网关服务器下的公网/80地址块作为分配池,如下图所示:
配置ipv6路由,设置服务器的zt+接口获得zerotier(RFC2419)地址,作为网关地址
::0/0. fdba:d2ea:2faf:223f:2199:93ec:2cc7:eef7
设置zt+的fd开头地址为ipv6的网关地址
设置2001开头的/80地址路由,只有设置了这个路由项,zt控制器才会给成员分配地址。(同时ipv6自动范围设定,并且从ipv6的地址范围池中自动分配ipv6地址勾选)
设置完毕后,ipv6的路由如下图:
创建ZeroTier-one客户端
如果选择使用官方版本的话,注册账号就能使用了!并不需要自己去搭开源版本的服务,它们的区别有下面两点:
官方版本UI比开源的做得功能全一些,设置网络分配的时候比较直观
开源的版本需要自己搭建服务,而官方的直接注册账号就可以使用
现在服务搭建好了,我这里也测试了自己的机器、Dokcker容器等等加入到网络组中,首先在需要加入网络组成员的本地下载zerotier客户端服务:
curl -s https://install.zerotier.com | sudo bash
使用zerotier-cli的交互命令行模式添加到网络组:
zerotier-cli join 网络组ID
为了方便的话也可以去下载应用程序,这样的话更方便,因为它有一个Join Network点击输入你要添加的网络组ID就可以:
添加到网络组之后,我们在服务的UI管理界面可以看到新增设备成员,选择同意勾选上,这个时候它是不会给成员分配地址的。需要我们打开全局模式
命令行模式如下:
zerotier-cli set 网络组ID allowGlobal=true
应用程序的话直接勾选就行,如下:
这个时候刷新一下ZT服务的管理界面,开源版本显得比较简洁。所有的操作也是基于API,可以看到所有的设备(移动设备、Docker容器、服务器等)加入到ZT的网络组当中会自动给它分配一个内网的IPv4虚拟地址及公网的IPv6地址
IPv4的虚拟地址可以相互通讯,也就是上面所有的成员都可以相互之间通讯。这也是它独具特色之处,实现了虚拟局域网的组建
而IPv6的地址也就是本次要讲得重点,当Docker容器下载了ZT服务之后加入到虚拟网络组内,使用ifconfig查看Docker容器中会出现一块ZT的网卡
可以看到这块ZT的网卡中有inet6的地址,IPv6地址它可以让你的容器访问所有支持IPv6网络的网站
但是如果没有做DNS解析规则的话,通过域名访问还是访问不了的,需要在/etc/hosts文件中加入对应的域名解析规则
这里记录一下比较重要的点,如果在Docker容器中部署的话,要创建IPv6网络及对应的支持有以下几个坑
首先,我们在启动Docker服务之前保证容器支持IPv6地址,打开 /etc/docker/daemon.json文件进行配置:
{
"ipv6": true
}
然后进入到容器内安装ZT客户端服务
#install zerotier server
curl -s https://install.zerotier.com/ | sudo bash
这里有一个问题就是容器内拉完ZT客户端并不是自启动服务,需要手动把服务起来:
zerotier-one -d
这个时候检查一下容器中IPv6状态,默认的话都是关闭的|即为1
sysctl -a | grep ipv6 | grep disable
如果发现是关闭状态则激活:
sysctl net.ipv6.conf.all.disable_ipv6=0
然后加入ZT网络组,并通过zerotier的命令行模式设置allowGlobal
最后查看ifconfig,发现Docker容器中的ZT网卡已成功分配IPv6的地址
好了,到这里又到了跟大家说再见的时候了。创作不易,帮忙点个赞再走吧。你的支持是我创作的动力,希望能带给大家更多优质的文章