ZeroTier可以在無公網IP的情況下提供便捷的虛擬局域網組網和內網穿透方案。簡單來說, ZeroTier就是一個VLAN組建工具，主要有如下的優勢和缺點：

• 配置非常簡單，只需要在官網創建Network。客戶端直接加入Network即可。

• 跨平臺: ZeroTier提供了windows, macOS, linux, Android, iOS...幾乎全平臺的客戶端, 你可以把任意平臺的設備接入VLAN。

• 免費可以支持100個設備組網。
  

• 缺點：官網只提供英文，沒有中文版。

本文中，我將結合WSG上網行為管理網關，介紹如何用ZeroTier來實現遠程辦公撥入和內網穿透。

1. 創建賬號

ZeroTier的配置首先需要在ZeroTier官網上創建賬號，如圖：

2. 創建虛擬網絡

創建虛擬網絡后，就可以讓各個客戶端都加入到該虛擬網絡中，并且實現互通互訪。如下圖，點擊“Networks”中的“Create a Network”，就可以創建一個新的網絡（需要記錄下該Network ID供客戶端加入）

配置該網段的IP段等參數，訪問控制（Access Control）一般推薦為“私有（PRIVATE）”模式。私有（PRIVATE）模式下，每個終端必須經過授權才可以接入；公開（PUBLIC）模式的話，客戶端只需要知道你的Network ID就可以加入，不安全。所以一般推薦用PRIVATE模式。如圖：

3. ZeroTier客戶端配置

ZeroTier支持的客戶端平臺非常多，以我們的WSG上網行為管理網關為例，直接在“ZeroTier”模塊中，開啟ZeroTier并且輸入NetworkID即可加入該網絡。

下圖是用安卓手機的ZeroTier客戶端配置。

4. 客戶端授權

PRIVATE模式下，客戶端加入網絡是需要經過授權的。如下圖，你需要在官網上在對應的客戶端前面打勾才允許該客戶端的接入，也可以在此界面給客戶端配置固定IP，便于后續的管理。

5. 速度和測試

客戶端授權通過后，就可以互聯互通了。雖然ZeroTier的官網服務器在國外，但是它自身的通訊是P2P網絡。從下圖中可以看到ping值還是可以的。

5. 通過zerotier轉發內網

開啟zerotier后，WSG作為zerotier的一個客戶端節點，從zerotier虛擬網絡默認只能訪問到WSG自身，如果想要通過zerotier訪問到整個局域網，還需要添加路由規則和防火墻策略。

在zerotier中，添加到內網的路由表。

WSG的防火墻策略，默認并不轉發zerotier的虛擬網數據包。如果允許zerotier的虛擬網接入內網，還需要把zt+的設備加入到“防火墻策略”的“內網區域”中（內網區域的防火墻策略默認允許轉發）。如下圖：