Как настроить Zerotier на ZyXEL Keenetic II?

Question

[ElxkoT]

В связи с недавними событиями в рунете мной в качестве роутера для освобождения интернета был установлен старый роутер Zyxel Keenetic II, на который установлен Entware с NFQWS и как бы всё работает потрясающе и появилась у меня идея установить сверху ещё и Zerotier, чтобы чтобы с мобильных устройств использовать его в качестве этакого VPN. Зарегистрировался в сервисе, создал сеть, пока с дефолтными настройками, установил на роутер через opkg нужный пакет, делаю zerotier-cli join %id%, авторизую устройство а панели сайта, выдаю IP, на роутере появляется новый виртуальный интерфейс с выданным ему адресом, но с другого клиента (мобильный телефон) пинга до него нет. Так же рядом есть машина на Arch Linux, куда для теста тоже был установлен Zerotier, теми же командами так же создаётся интерфейс, получает адрес и пинг между ним и телефоном проходит сразу и без проблем. Дело в фаерволле? Как объяснить кинетику, что этот трафик доверенный?
Пробовал вводить команды, которые нашел на форуме кинетик по поводу настройки Zerotier, но результата не дало.
Команды:
iptables -I INPUT -i %имя интерфейса% -j ACCEPT
iptables -t nat -A PREROUTING -d %IP интерфейса % -p tcp --dport 80 -j DNAT --to-destination %IP интерфейса LAN%:80

Comments

[Drno]

Последняя версия стоит? 4.1… ?
Можете в тг стукнуться кину инструкцию

Но вообще - в фаерволле разрашите tcp, udp, ip , ip-ip
Входящие на интерфейс зеротиер

И высьавьте public зону на этот интерфейс, если надо инет через него пускать. И нат

[ElxkoT]

Drno, прошивка 2.16 из Delta-ветки. Роутер древний, официально уже сто лет, как не поддерживается. Про то, что в новых Zerotier поддерживается самой прошивкой, я в курсе. Вопрос в том, как заставить работать в виде стороннего пакета из Entware.

[Drno]

ElxkoT, так... ну если зеротиер вообще запустился и получил IP на интерфейс то -
попробуйте сделать то что я више написал.
только зону поставьте private, и в фаерволе разрешите то что указал - это как раз для работы ZT

Вам нужно разрешить входящие на интерфейс, в первую очередь

[ElxkoT]

Drno, я так понимаю, речь о стандартном кинетиковском cli? Загвоздка в том, что интерфейс Zerotier видно только в линуксовой части, так как пакет сторонний. Немного покопавшись на форумах, нашёл похожую проблему с тем, что не проходит arp, посмотрел в tcpdump со стороны роутера и ПК - и действительно, при попытке пинговать друг друга они сыпят arp-запросами, но роутер не отвечает, соответственно ПК просто не знает, куда пинговать. После добавления статических arp-записей на оба устройства в tcpdump на роутере вижу, что пинг на интерфейс приходит, но в ответ тишина, а понять, почему пакеты отбрасываются, ума не хватает. Подозреваю, что мешает что-то в стандартных правилах iptables, но они там такие сложные и запутанные, что ужас просто

[Drno]

ElxkoT, даже если там линуксовое... надо с помощью iptables тогда разрешить входящие на нужный интерфейс
есть возможность выложить iptables , что там?

[ElxkoT]

Drno,

iptables-save

# Generated by iptables-save v1.4.21 on Tue Sep 3 11:16:39 2024
*rawpost
:POSTROUTING ACCEPT [247954:62577918]
COMMIT
# Completed on Tue Sep 3 11:16:39 2024
# Generated by iptables-save v1.4.21 on Tue Sep 3 11:16:39 2024
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:_IPSEC_L2TPSERVER_NAT - [0:0]
:_NDM_DNAT - [0:0]
:_NDM_DNS_REDIRECT - [0:0]
:_NDM_EZ_BYPASS - [0:0]
:_NDM_EZ_DNAT - [0:0]
:_NDM_HOTSPOT_DNSREDIR - [0:0]
:_NDM_IPSEC_POSTROUTING_NAT - [0:0]
:_NDM_MASQ - [0:0]
:_NDM_MASQ_BYPASS - [0:0]
:_NDM_NAT_UDP - [0:0]
:_NDM_SL_PRIVATE - [0:0]
:_NDM_SNAT - [0:0]
:_NDM_STATIC_DNAT - [0:0]
:_NDM_STATIC_LOOP - [0:0]
:_NDM_STATIC_SNAT - [0:0]
:_NDM_UPNP_REDIRECT - [0:0]
-A PREROUTING -j _NDM_DNAT
-A PREROUTING -j _NDM_DNS_REDIRECT
-A PREROUTING -j _NDM_EZ_BYPASS
-A PREROUTING -j _NDM_UPNP_REDIRECT
-A PREROUTING -d 78.47.125.180/32 -p tcp -m tcp --dport 80 -j _NDM_SL_PRIVATE
-A OUTPUT -j _NDM_DNAT
-A POSTROUTING -o br0 -j MASQUERADE
-A POSTROUTING -j _NDM_IPSEC_POSTROUTING_NAT
-A POSTROUTING -j _NDM_SNAT
-A POSTROUTING -j _NDM_MASQ
-A POSTROUTING -o eth2.2 -j MASQUERADE
-A _NDM_DNAT -j _NDM_STATIC_DNAT
-A _NDM_DNS_REDIRECT -j _NDM_HOTSPOT_DNSREDIR
-A _NDM_EZ_BYPASS -d 192.168.1.1/32 -j ACCEPT
-A _NDM_EZ_DNAT -p tcp -j DNAT --to-destination 78.47.125.180:8081
-A _NDM_MASQ -j _NDM_MASQ_BYPASS
-A _NDM_MASQ -s 192.168.1.0/24 -p udp -m udp -m ndmmark --ndmmark 0x4/0x4 -j _NDM_NAT_UDP
-A _NDM_MASQ -s 192.168.1.0/24 -m ndmmark --ndmmark 0x4/0x4 -j MASQUERADE
-A _NDM_MASQ_BYPASS -s 224.0.0.0/4 -j ACCEPT
-A _NDM_MASQ_BYPASS -d 224.0.0.0/4 -j ACCEPT
-A _NDM_NAT_UDP -p udp -m udp --sport 35000:65535 -j MASQUERADE --to-ports 1024-34999
-A _NDM_NAT_UDP -p udp -m udp --sport 1024:34999 -j MASQUERADE --to-ports 35000-65535
-A _NDM_NAT_UDP -p udp -m udp --sport 1:411 -j MASQUERADE --to-ports 412-1023
-A _NDM_NAT_UDP -p udp -m udp --sport 412:1023 -j MASQUERADE --to-ports 1-411
-A _NDM_SL_PRIVATE -i br0 -j _NDM_EZ_DNAT
-A _NDM_SNAT -j _NDM_STATIC_LOOP
-A _NDM_SNAT -j _IPSEC_L2TPSERVER_NAT
-A _NDM_SNAT -o eth2.2 -j _NDM_STATIC_SNAT
-A _NDM_STATIC_LOOP -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j SNAT --to-source 192.168.1.1
-A _NDM_UPNP_REDIRECT -i eth2.2 -p udp -m udp --dport 44604 -j DNAT --to-destination 192.168.1.107:44604
COMMIT
# Completed on Tue Sep 3 11:16:39 2024
# Generated by iptables-save v1.4.21 on Tue Sep 3 11:16:39 2024
*mangle
:PREROUTING ACCEPT [86696:23143134]
:INPUT ACCEPT [43773:7955661]
:FORWARD ACCEPT [38039:14585243]
:OUTPUT ACCEPT [89488:18602240]
:POSTROUTING ACCEPT [110914:31499710]
:_IPSEC_L2TPSERVER_MARK - [0:0]
:_NDM_BACKUP_DNAT - [0:0]
:_NDM_BACKUP_FORWARD - [0:0]
:_NDM_HOTSPOT_PRERT - [0:0]
:_NDM_IPSEC_FORWARD_MANGLE - [0:0]
:_NDM_IPSEC_OUTPUT_MANGLE - [0:0]
:_NDM_IPSEC_POSTR_MANGLE - [0:0]
:_NDM_IPSEC_POSTR_MANGLE_BPS - [0:0]
:_NDM_IPSEC_PREROUTING - [0:0]
:_NDM_PREROUTING_MC - [0:0]
-A PREROUTING -d 224.0.0.0/4 -j _NDM_PREROUTING_MC
-A PREROUTING -j _NDM_IPSEC_PREROUTING
-A PREROUTING -j _NDM_HOTSPOT_PRERT
-A FORWARD -j NDMMARK --set-xndmmark 0x4/0x4
-A FORWARD -j _NDM_BACKUP_FORWARD
-A FORWARD -j _NDM_IPSEC_FORWARD_MANGLE
-A OUTPUT -j _NDM_IPSEC_OUTPUT_MANGLE
-A POSTROUTING -o eth2.2 -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
-A POSTROUTING -o eth2.2 -p tcp -m tcp --dport 443 -m connbytes --connbytes 1:8 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
-A POSTROUTING -j _NDM_IPSEC_POSTR_MANGLE
-A _IPSEC_L2TPSERVER_MARK -i l2tp+ -j NDMMARK --set-xndmmark 0x10/0x10
-A _NDM_BACKUP_DNAT -m conntrack --ctstate DNAT -j CONNNDMMARK --set-xmark 0x80/0x80
-A _NDM_BACKUP_DNAT -m conntrack --ctstate DNAT -j NDMMARK --set-xndmmark 0x80/0x80
-A _NDM_BACKUP_FORWARD -m connndmmark --mark 0x80/0x80 -j CONNNDMMARK --restore-mark --nfmask 0x80 --ctmask 0x80
-A _NDM_BACKUP_FORWARD -m connndmmark --mark 0x80/0x80 -j RETURN
-A _NDM_IPSEC_PREROUTING -j NDMMARK --set-xndmmark 0x0/0xff
-A _NDM_PREROUTING_MC -p udp -j TTL --ttl-inc 1
COMMIT
# Completed on Tue Sep 3 11:16:39 2024
# Generated by iptables-save v1.4.21 on Tue Sep 3 11:16:39 2024
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [21:6112]
:@IPSEC_VPNL2TPServer - [0:0]
:@IPSEC_VirtualIPServer - [0:0]
:NDM_FORWARD_ACL - [0:0]
:_IPSEC_L2TPSERVER_FWD - [0:0]
:_IPSEC_L2TPSERVER_IN - [0:0]
:_IPSEC_L2TPSERVER_OUT - [0:0]
:_NDM_ACL_IN - [0:0]
:_NDM_ACL_IN_EXCEPTIONS - [0:0]
:_NDM_ACL_OUT - [0:0]
:_NDM_BFD_INPUT - [0:0]
:_NDM_BFD_OUTPUT - [0:0]
:_NDM_FORWARD - [0:0]
:_NDM_HOTSPOT_FWD - [0:0]
:_NDM_HTTP_INPUT_IN - [0:0]
:_NDM_HTTP_INPUT_OUT - [0:0]
:_NDM_INPUT - [0:0]
:_NDM_IPSEC_FORWARD - [0:0]
:_NDM_IPSEC_INPUT - [0:0]
:_NDM_IPSEC_INPUT_FILTER - [0:0]
:_NDM_IPSEC_INPUT_FLT_BPS - [0:0]
:_NDM_IPSEC_OUTPUT_FILTER - [0:0]
:_NDM_IPSEC_OUTPUT_FLT_BPS - [0:0]
:_NDM_MULTICAST_INPUT - [0:0]
:_NDM_NBNS_OUTPUT_FILTER - [0:0]
:_NDM_OUTPUT - [0:0]
:_NDM_SL_FORWARD - [0:0]
:_NDM_SL_PRIVATE - [0:0]
:_NDM_SL_PROTECT - [0:0]
:_NDM_TELNET_INPUT_IN - [0:0]
:_NDM_TELNET_INPUT_OUT - [0:0]
:_NDM_TUNNELS_INPUT - [0:0]
:_NDM_UPNP_FORWARD - [0:0]
-A INPUT -i ztly5trkyu -j ACCEPT
-A INPUT -d 224.0.0.0/4 -j _NDM_MULTICAST_INPUT
-A INPUT -p igmp -j ACCEPT
-A INPUT -j _NDM_ACL_IN_EXCEPTIONS
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j _NDM_BFD_INPUT
-A INPUT -j _NDM_ACL_IN
-A INPUT -j _NDM_IPSEC_INPUT_FILTER
-A INPUT -j _NDM_IPSEC_INPUT
-A INPUT -j _NDM_TUNNELS_INPUT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m conntrack --ctstate DNAT -j ACCEPT
-A INPUT -j _NDM_INPUT
-A INPUT -j _NDM_SL_PRIVATE
-A FORWARD -i ztly5trkyu -j ACCEPT
-A FORWARD -d 224.0.0.0/4 -j _NDM_MULTICAST_INPUT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j _NDM_ACL_IN
-A FORWARD -j _NDM_ACL_OUT
-A FORWARD -j _NDM_IPSEC_FORWARD
-A FORWARD -j _NDM_FORWARD
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -j _NDM_SL_FORWARD
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A OUTPUT -j _NDM_BFD_OUTPUT
-A OUTPUT -j _NDM_ACL_OUT
-A OUTPUT -j _NDM_IPSEC_OUTPUT_FILTER
-A OUTPUT -j _NDM_OUTPUT
-A OUTPUT -j _IPSEC_L2TPSERVER_OUT
-A @IPSEC_VPNL2TPServer -p udp -m udp --sport 1701 -j ACCEPT
-A @IPSEC_VirtualIPServer -j ACCEPT
-A _NDM_BFD_INPUT -j _NDM_TELNET_INPUT_IN
-A _NDM_BFD_INPUT -j _NDM_HTTP_INPUT_IN
-A _NDM_BFD_OUTPUT -j _NDM_TELNET_INPUT_OUT
-A _NDM_BFD_OUTPUT -j _NDM_HTTP_INPUT_OUT
-A _NDM_FORWARD -j _NDM_HOTSPOT_FWD
-A _NDM_FORWARD -j _IPSEC_L2TPSERVER_FWD
-A _NDM_FORWARD -j _NDM_UPNP_FORWARD
-A _NDM_HOTSPOT_FWD -i eth2.1 -j RETURN
-A _NDM_HOTSPOT_FWD -o eth2.1 -j RETURN
-A _NDM_HOTSPOT_FWD -i br0 -j RETURN
-A _NDM_HOTSPOT_FWD -o br0 -j RETURN
-A _NDM_HTTP_INPUT_IN -p tcp -m tcp --dport 80 -m set --match-set _NDM_BFD_Http src -j DROP
-A _NDM_HTTP_INPUT_IN -p tcp -m tcp --dport 443 -m set --match-set _NDM_BFD_Http src -j DROP
-A _NDM_HTTP_INPUT_OUT -p tcp -m tcp --sport 80 -m set --match-set _NDM_BFD_Http dst -j DROP
-A _NDM_HTTP_INPUT_OUT -p tcp -m tcp --sport 443 -m set --match-set _NDM_BFD_Http dst -j DROP
-A _NDM_INPUT -p udp -m udp --dport 53 -j _NDM_SL_PROTECT
-A _NDM_INPUT -p tcp -m tcp --dport 53 -j _NDM_SL_PROTECT
-A _NDM_INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A _NDM_INPUT -p udp -m udp --sport 67:68 --dport 67:68 -j _NDM_SL_PROTECT
-A _NDM_INPUT -p udp -m udp --dport 500 -j ACCEPT
-A _NDM_INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A _NDM_INPUT -j _IPSEC_L2TPSERVER_IN
-A _NDM_INPUT -p udp -m udp --dport 1701 -j ACCEPT
-A _NDM_MULTICAST_INPUT -d 224.0.0.252/32 -i eth2.2 -p udp -m udp --dport 5355 -j DROP
-A _NDM_MULTICAST_INPUT -j ACCEPT
-A _NDM_NBNS_OUTPUT_FILTER -o ppp+ -p udp -m udp --sport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -o ppp+ -p udp -m udp --dport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -o ovpn_br+ -p udp -m udp --sport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -o ovpn_br+ -p udp -m udp --dport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -d 172.24.213.255/32 -o eth2.2 -p udp -m udp --sport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -d 172.24.213.255/32 -o eth2.2 -p udp -m udp --dport 137:138 -j DROP
-A _NDM_NBNS_OUTPUT_FILTER -d 172.24.213.128/25 -o eth2.2 -p udp -m udp --sport 5355 -j DROP
-A _NDM_OUTPUT -p udp -j _NDM_NBNS_OUTPUT_FILTER
-A _NDM_SL_FORWARD -o eth2.2 -m state --state NEW -j _NDM_SL_PROTECT
-A _NDM_SL_PRIVATE -i br0 -m state --state NEW -j ACCEPT
-A _NDM_SL_PROTECT -j _NDM_SL_PRIVATE
-A _NDM_TELNET_INPUT_IN -p tcp -m tcp --dport 23 -m set --match-set _NDM_BFD_Telnet src -j DROP
-A _NDM_TELNET_INPUT_OUT -p tcp -m tcp --sport 23 -m set --match-set _NDM_BFD_Telnet dst -j DROP
-A _NDM_TUNNELS_INPUT -p gre -j ACCEPT
-A _NDM_TUNNELS_INPUT -p ipencap -j ACCEPT
-A _NDM_UPNP_FORWARD -d 192.168.1.107/32 -i eth2.2 -p udp -m udp --dport 44604 -j ACCEPT
COMMIT
# Completed on Tue Sep 3 11:16:39 2024

[Drno]

ElxkoT, ну теоретически что то типа
# Разрешить входящие пакеты от интерфейса ZeroTier
-A INPUT -i zt0 -j ACCEPT

# Разрешить пересылку пакетов от интерфейса ZeroTier
-A FORWARD -i zt0 -j ACCEPT

# Разрешить исходящие пакеты от интерфейса ZeroTier
-A OUTPUT -o zt0 -j ACCEPT

Answer 1

[ElxkoT]

Ответ очень прозаичен, но это должно было быть ожидаемо.
После долгих раскопок на гитхабе проекта была найдена тема: https://github.com/zerotier/ZeroTierOne/issues/1524, где былым по чёрному написано, что версии выше 1.4.6 на прошивках со старым ядром не работают. Решением оказалась установка более старой версии пакета из архива Entware. Там же приложен патч для самостоятельной сборки актуальной версии на старых ядрах, но это как-нибудь в другой раз...