零信任网关部署指南
部署在内网服务器,作为 EasyTier 网关节点,实现安全的远程访问
一、部署概述
| 项目 | 值 |
|---|---|
| 部署位置 | 内网服务器/PVE 虚拟机 |
| 网络 | 192.168.1.0/24 (内网) + 10.0.0.0/24 (EasyTier) |
| 虚拟 IP | 10.0.0.1 |
| 角色 | 内网代理网关 |
二、EasyTier 网关配置
2.1 安装 EasyTier
bash
# 创建目录
sudo mkdir -p /opt/easytier/{bin,config,logs}
# 下载最新版本
cd /tmp
wget https://github.com/EasyTier/EasyTier/releases/latest/download/easytier-linux-x86_64.zip
# 解压并安装
sudo unzip -o easytier-linux-x86_64.zip -d /opt/easytier/bin/
sudo chmod +x /opt/easytier/bin/easytier-*
# 验证版本
/opt/easytier/bin/easytier-core --version2.2 网关配置
bash
sudo tee /opt/easytier/config/gateway.conf << 'EOF'
# ========== 节点标识 ==========
instance_name = "my-gateway"
hostname = "easytier-gateway"
enable_ipv6 = true
# ========== 网络标识 ==========
[network_identity]
network_name = "my-network" # 替换为你的网络名
network_secret = "your-secret" # 替换为你的密码
# ========== 虚拟 IP ==========
ipv4 = "10.0.0.1" # 替换为你的虚拟 IP
# ========== 核心配置 ==========
[flags]
enable_encryption = true
multi_thread = true
multi_thread_count = 4
enable_ipv6 = true
default_protocol = "udp"
latency_first = true
mtu = 1360
# 启用 P2P
disable_p2p = false
# 魔法 DNS
accept_dns = true
tld_dns_zone = "home.local" # 替换为你的内网域名
# 日志
[file_logger]
level = "info"
dir = "/opt/easytier/logs/"
EOF
sudo chmod 600 /opt/easytier/config/gateway.conf三、Systemd 服务
bash
# 创建服务文件
sudo tee /etc/systemd/system/easytier@.service << 'EOF'
[Unit]
Description=EasyTier %i
After=network.target
[Service]
Type=simple
WorkingDirectory=/opt/easytier
ExecStart=/opt/easytier/bin/easytier-core -c /opt/easytier/config/%i.conf
Restart=always
RestartSec=1
StandardOutput=journal
StandardError=journal
[Install]
WantedBy=multi-user.target
EOF
# 启动服务
sudo systemctl daemon-reload
sudo systemctl enable --now easytier@gateway
# 查看状态
sudo systemctl status easytier@gateway四、防火墙配置
4.1 只允许内网访问 SSH
bash
# 允许内网网段 SSH
sudo ufw allow from 192.168.1.0/24 to any port 22
# 允许 EasyTier 虚拟网 SSH
sudo ufw allow from 10.0.0.0/24 to any port 22
# 禁止其他所有 SSH 访问
sudo ufw deny 22/tcp
# 启用防火墙
sudo ufw enable
# 查看状态
sudo ufw status4.2 Fail2Ban 配置(可选)
安装 Fail2Ban 防止暴力破解:
bash
# 安装
sudo apt install -y fail2ban
# 启动
sudo systemctl enable --now fail2ban
# 查看状态
sudo fail2ban-client status五、常用命令
bash
# 启动
sudo systemctl start easytier@gateway
# 停止
sudo systemctl stop easytier@gateway
# 重启
sudo systemctl restart easytier@gateway
# 查看日志
journalctl -u easytier@gateway -f --no-pager
# 查看状态
sudo systemctl status easytier@gateway六、客户端配置
6.1 Windows/macOS/Linux 客户端
从官网下载客户端,配置:
toml
# 客户端配置示例
network_name = "my-network"
network_secret = "your-secret"6.2 移动端
在手机应用商店下载 EasyTier,扫码或手动配置。
七、验证
bash
# 检查服务状态
sudo systemctl status easytier@gateway
# 检查端口监听
sudo lsof -i :51820
# 测试内网访问
ping 192.168.1.1
# 测试 EasyTier 网络
ip addr show | grep 10.0.0