Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 6 Min.

ZeroTier verknüpft entfernte Rechner per Software-Netz: Leicht vernetzt


Raspberry Pi Geek - epaper ⋅ Ausgabe 4/2020 vom 06.02.2020

ZeroTier macht Port-Weiterleitungen und DynDNS-Dienste überflüssig: Mit wenigen Befehlen sprechen Rechner über eine verschlüsselte Leitung via Internet miteinander.


Artikelbild für den Artikel "ZeroTier verknüpft entfernte Rechner per Software-Netz: Leicht vernetzt" aus der Ausgabe 4/2020 von Raspberry Pi Geek. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Raspberry Pi Geek, Ausgabe 4/2020

README

VPN-Lösungen wie OpenVPN graben Tunnel durch das Internet, allerdings fällt die Konfiguration nicht leicht. Das von ZeroTier aufgespannte Software-WAN erfüllt ähnliche Zwecke, lässt sich jedoch wesentlich leichter einrichten.

Der Raspberry Pi eignet sich schon alleine aufgrund seiner geringen Anschaffungs- und Betriebskosten ideal als Mini- Server. So hostet der RasPi etwa eine kleine Webseite im LAN, dient als Online- Speicher oder ...

Weiterlesen
epaper-Einzelheft 7,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Raspberry Pi Geek. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 4/2020 von Webkonsole. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Webkonsole
Titelbild der Ausgabe 4/2020 von Befehlsjongleur. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Befehlsjongleur
Titelbild der Ausgabe 4/2020 von 3D-Druck-Trends auf der Formnext 2019 in Frankfurt: Die dritte Dimension. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
3D-Druck-Trends auf der Formnext 2019 in Frankfurt: Die dritte Dimension
Titelbild der Ausgabe 4/2020 von Kernel-Maintainer für Broadcom-Chips beendet seine Arbeit: Schweres Los. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Kernel-Maintainer für Broadcom-Chips beendet seine Arbeit: Schweres Los
Titelbild der Ausgabe 4/2020 von Grundlagen der Pulsweitenmodulation: Am Pulsschlag. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Grundlagen der Pulsweitenmodulation: Am Pulsschlag
Titelbild der Ausgabe 4/2020 von Die Android-App RaspController als praktischer RasPi-Helfer: Handy-Steuerung. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Die Android-App RaspController als praktischer RasPi-Helfer: Handy-Steuerung
Vorheriger Artikel
Professionelle Platinen-Layouts mit Eagle erstellen: Auf den Schw…
aus dieser Ausgabe
Nächster Artikel Info-beamer Pi spielt 4K-Auflösung und HEVC-Videos: Besser i…
aus dieser Ausgabe

Der Raspberry Pi eignet sich schon alleine aufgrund seiner geringen Anschaffungs- und Betriebskosten ideal als Mini- Server. So hostet der RasPi etwa eine kleine Webseite im LAN, dient als Online- Speicher oder fungiert als Minecraft-Server für Freunde. Um die zu Hause gehosteten Dienste allerdings auch aus dem Internet erreichen zu können, müssen Sie DynDNS-Adressen einrichten und Ports vom WLAN-Router auf den Server weiterleiten. Das fällt zum einen vielen Netzwerk-Einsteigern nicht gerade leicht und eröffnet zum anderen Angreifern aus dem Netz Möglichkeiten für Angriffe auf die so angebotenen Dienste.

Sicherer wäre eine VPN-Verbindung. Das vom Raspberry Pi benutzte Raspbian führt zum Beispiel OpenVPN von Haus aus in seinen Paketquellen, und auch moderne Entwicklungen wie Wireguard lassen sich mit relativ geringem Aufwand installieren. Doch auch mit dieser Lösung stehen Sie als Anwender wieder vor demselben Problem: Ohne statische IP-Adresse oder zumindest einen DynDNS-Dienst und Port-Weiterleitungen funktioniert auch OpenVPN nicht.

Ganz ohne derartige Einstiegshürden kommt hingegen ZeroTier aus: Der für Privatanwender kostenfreie Dienst spannt ein softwaredefiniertes WANNetz (kurz SD-WAN) zwischen verteilten Rechnern auf.

Das kalifornische Unternehmen Zero- Tier • bietet eine Reihe von Werkzeu- gen an, mit denen sich Rechner ähnlich wie mit Peer-to-Peer-Programmen vernetzen lassen. Den Quellcode der unterschiedlichen Komponenten stellt das Unternehmen auf seiner Github-Seite öffentlich unter der Business Source License zur Verfügung •. Die für Anwender wichtigste Komponente, den „Smart Ethernet Switch for Earth“ ZeroTier One, gibt es für alle wichtigen Desktop- und Smartphone-Betriebssysteme •. Zudem bietet ZeroTier die Software auch für Nutzer von FreeBSD, OpenWRT und NASGeräten von Synology oder QNAP an.

Abo-Modell

ZeroTier bietet seinen Dienst nach dem inzwischen vielerorts anzutreffenden Freemium- Modell an. In der kostenlosen Free- Version kostet ZeroTier nichts, dafür beschränkt das Unternehmen den Zugang auf 100 Geräte. Die meisten Heimanwender dürften wohl gut mit dem Limit auskommen. Mit einem kostenpflichtigen Abo ab 29 US-Dollar pro Monat entfällt die Begrenzung, zudem bieten die Entwickler beschleunigten Support im Problemfall an.

Zugang zu ZeroTier

Für die Installation von ZeroTier benötigen Sie zunächst ein Benutzerkonto, dessen Registrierung aktuell allerdings ein wenig versteckt ist: Auf der ZeroTier- Homepage klicken Sie auf Login, in der sich daraufhin öffnenden Seite dann auf Log In to ZeroTier.

Es öffnet sich eine weitere Seite, auf der Sie schließlich in der Fußleiste den Link Register zum Erstellen eines Kontos finden. Sie müssen lediglich Ihren Namen, eine gültige E-Mail-Adresse sowie ein Passwort angeben. Nach Bestätigung eines per E-Mail zugesandten Links öffnet sich im Browser dann automatisch das Dashboard des Diensts.

Auf der Hauptseite des Dashboards • finden Sie Ihre Stammdaten sowie eine Upgrade-Option auf die kostenpflichtige Variante des Dienstes (siehe Kasten Abo- Modell). Für den Einstieg müssen Sie zunächst einmal ein Netzwerk anlegen.

Wechseln Sie dazu in den Reiter Networks und klicken Sie dort auf den Schalter Create a Network. Das System legt daraufhin automatisch ein Netz mit einer zufällig erstellten ID und einem sprechenden Namen an. Im Gegensatz zur nicht veränderbaren ID lässt sich der Name in den Einstellungen (dazu klicken Sie einfach auf das Netz) an die eigenen Wünsche anpassen.

Neben dem Namen sollten Sie auf jeden Fall noch kontrollieren, dass die Zugangsart unter Access Control auf PRIVATE steht (was der Voreinstellung entsprechen sollte). Weiter unten unter IPv4 Auto-Assign haben Sie noch die Möglichkeit, die von ZeroTier vergebenen IP-Adressen zu wählen. Der über Easy aktivierbare Assistent erledigt das per Mausklick, optional tragen Sie unter Advanced den IP-Bereich von Hand ein. Achten Sie an dieser Stelle darauf, dass die IPs nicht mit den vom WLAN-Router vergebenen Adressen kollidieren 1.

Die von ZeroTier genutzten IP-Adressen dürfen nicht mit den vom WLAN-Router vergebenen Nummern kollidieren. Im hier gezeigten Beispiel verwendet die Fritzbox den Bereich 192.168.188.*, ZeroTier greift auf 10.147.19.* zu.


Listing 1

Über das Dashboard müssen Sie neu angelegte ZeroTier-Clients autorisieren. Zur besseren Unterscheidung sollten Sie den Geräten auch für sich sprechende Namen geben.


Für die Installation des Clients bietet ZeroTier Linux-Nutzern ein Skript an, das Sie wie in Listing 1 gezeigt auf einem aktuellen Raspbian-System ausführen.

Das Installationsskript richtet mit der Datei zerotier.list im Ordner /etc/ apt/sources.list.d eine neue Paketquelle ein, aus der es dann das Paket zerotier- one installiert und später aktuell hält. Danach richtet das Skript einen Dienst mit demselben Namen ein.

Clients einrichten

Mit dem ZeroTier-Dienst legt das System automatisch auch ein neues Netzwerkgerät an. Die Ausgabe von ip a oder ip address listet das Device auf, der Name beginnt immer mit zt für ZeroTier.

Damit ist die Installation des ZeroTier- Dienstes abgeschlossen; die weitere Konfiguration erfolgt mithilfe des Kommandozeilenwerkzeugs zerotier‑cli. Für alle Schritte braucht das Programm administrative Rechte, die Sie sich mittels eines vorangestellten sudo holen.

Im Prinzip genügt es jetzt, dem System die bereitgestellte Netzwerk-ID zu übermitteln. Führen Sie dazu einfach das erste Kommando aus Listing 2 aus und übergeben Sie dabei die automatisch generierte Netzwerk-ID als Parameter.

Listing 2

Firewall

In der Regel genügt es, den ZeroTier-Client über das Installationsskript auf dem gewünschten System einzuspielen. Arbeiten Sie jedoch mit einer Firewall, müssen Sie den Port 9993 für ein- und ausgehende UDP-Verbindungen freigeben. Bei der für Ubuntu typischen Uncomplicated Firewall Ufw erledigen Sie das mit dem Kommando sudo ufw allow 9993/udp oder alternativ über das grafische Frontend Gufw 4.

Dieses Ubuntu-System greift über das ZeroTier-Netz auf einen Raspberry Pi im heimischen LAN zu, ohne dass zuvor Ports weitergeleitet werden mussten.


Damit sich nicht jeder in Ihrem ZeroTier- Netzwerk einklinken darf, müssen Sie den Zugriff autorisieren. Dazu wechseln Sie wieder in das webbasierte Dashboard und öffnen die Einstellungen des gewünschten Netzwerks. ZeroTier untergliedert die Einstellungen in Settings, Members, Flow Rules und Sharing.

Die Freigabe erfolgt im Abschnitt Members. Das gerade angemeldete System sollte automatisch in der Liste auftauchen. Sobald Sie den Haken in der ersten Spalte Auth? setzen, ist das Gerät aktiv 2. Außerdem sollten Sie dem Gerät an dieser Stelle unter Name/Description noch einen sprechenden Namen geben.

Mit ZeroTier vernetzt

Danach erreichen Sie das via ZeroTier zugänglich gemachte Gerät von überall aus dem Internet über die unter Managed IPs aufgeführte IP-Adresse – egal, ob Sie gerade an einem anderen PC sitzen oder mit einem Smartphone über das Mobilfunknetz arbeiten.

Als einzige Voraussetzung müssen Sie auch auf dem Client ZeroTier installieren und das System in das eigene Software- Netzwerk einbinden. Die Download-Seite des Projekts erklärt die Installation für Linux, MacOS und Windows sowie weitere Systeme •. Das Dashboard zeigt Ihnen dann an, welche Systeme gerade online sind und wann sie zuletzt vom System registriert wurden.

Die Installation auf einem ausgewachsenen Linux-System gleicht der von Raspbian vollständig. Das Skript ermittelt automatisch die genutzte Distribution und spielt das Programm passend dazu ein. Auf unseren Testsystemen mit Ubuntu 19.10 und Fedora 31 klappte die Installation und Integration in das Zero- Tier-Netz ohne Komplikationen. Abbildung 3 zeigt als Beispiel ein in das Software- Netzwerk eingebundenes Ubuntu- System mit einer von einem Raspberry Pi ausgelieferten Webseite und einem SSHLogin auf denselben RasPi.

Neben den Clients für konventionelle PCs bietet ZeroTier auch Apps für iOS und Android in den entsprechenden App-Stores an. Im Test zeigte die Android- Variante auf einem Smartphone mit Android 9 keine Schwächen. Wie bei der PC-Variante müssen Sie nach der Installation der App das Netzwerk über die Netzwerk-ID anlegen. Über den Schieber unter dem Eintrag starten Sie die VPNVerbindung. Ein Schlüssel in der Kopfleiste signalisiert Ihnen die getunnelte Netzwerkleitung 5.

Kein Datentunnel

Verbindungsanfragen an Server außerhalb des Software-LANs routet ZeroTier direkt ins Internet. ZeroTier lässt sich somit nicht mit einem herkömmlichen VPN-Angebot oder einem selbst gehosteten OpenVPN im Heimnetz vergleichen, das den kompletten Datenverkehr durch den VPN-Tunnel leitet. Der Dienst eignet sich primär dazu, Webdienste oder Netzwerkfreigaben ohne Konfiguration eines Routers über die Grenzen des eigenen Netzwerks hinaus verfügbar zu machen.

Die meisten Linux-Distributionen verzichten in der Standardkonfiguration auf eine Firewall. Aktivieren Sie eine, wie hier Ufw, müssen Sie Port 9993/ UDP für einund ausgehende Anfragen freischalten.


Beachten Sie, dass Sie das Android- Gerät wie zuvor den PC-Client im Zero- Tier-Dashboard aktivieren müssen. Damit der Zugang auch aus dem Mobilfunknetz funktioniert, müssen Sie allerdings zuvor in den Einstellungen die Option Use Cellular Data setzen.

Fazit

ZeroTier schlägt gleich zwei Fliegen mit einer Klappe: Der Dienst erspart in vielen Szenarien den Einsatz eines DynDNS-Anbieters sowie das oft umständliche Aufsetzen eines VPN-Servers. Dabei macht ZeroTier in Sachen Sicherheit keine Kompromisse: Der Dienst verschlüsselt die Kommunikation zwischen den Clients von Ende zu Ende und erlaubt den Zugang zum eigenen Netz erst nach manuellem Aktivieren des jeweiligen Geräts (siehe Kasten Kein Datentunnel). Details zu den eingesetzten Kryptografieverfahren erklären die Entwickler in der Dokumentation des Projekts •.

Im Alltag erweist sich das System als besonders nützlich, weil es sich nicht nur auf klassische PCs, Single-Board-Computer wie den RasPi und mobile Betriebssysteme beschränkt, sondern auch für NAS-Geräte zur Verfügung steht. Das Projekt unterstützt offiziell Systeme von Synology (ab DSM 6+), QNAP und WD MyCloud. Für Entwickler gibt es ein SDK, das sich in eigene Programme integrieren lässt. Zudem liegt der Quellcode von ZeroTier One offen, sodass man die Client- Applikation aus dem Quelltext bauen kann, falls das Setup eine Distribution nicht unterstützt. (cla)

Den ZeroTier-Client gibt es für Linux, MacOS und Windows. Für unterwegs bietet das Unternehmen auch Smartphone-Varianten für Android und iOS an.


© Gustavo Frazao, 123RF