В чем разница между ZeroTier и Tailscale для TrueNAS?

ZeroTier и Tailscale решают одну задачу — создание mesh-VPN. ZeroTier дает больше ручного контроля над сетью и IP-адресацией, имеет встроенного клиента в TrueNAS SCALE. Tailscale проще в настройке "из коробки" (использует WireGuard), но требует установки через Docker или сторонние скрипты на TrueNAS. Выбор зависит от предпочтений: полный контроль (ZeroTier) или максимальная простота (Tailscale).

Нужно ли открывать порты на роутере для ZeroTier?

Нет, это главное преимущество. ZeroTier использует технику UDP hole punching для установки прямого P2P-соединения через NAT. Если прямое соединение не удается, трафик идет через публичные ретрансляторы ZeroTier (Root Servers), но проброс портов на твоем роутере не требуется. Должен быть открыт только исходящий UDP-трафик на порт 9993.

Безопасно ли использовать бесплатный план ZeroTier Central?

Да, для личного использования и малого бизнеса бесплатного плана (до 50 устройств) достаточно. Шифрование (AES-256) и аутентификация работают на всех планах. Платные тарифы добавляют функции управления для больших команд: RBAC, SCIM, собственные корневые серверы. Твои данные не проходят через серверы ZeroTier при установленном прямом P2P-соединении.

Можно ли настроить автоматическую авторизацию новых устройств?

Да, в ZeroTier Central есть функция "Rules" (правила сети). С помощью простого скриптового языка можно настроить автоматическую авторизацию устройств по их ID или имени, а также присвоение статических IP. Например, правило `authorize true` для всех устройств сделает сеть публичной (осторожно!). Лучше использовать правила с условиями.

Сохранится ли настройка ZeroTier после обновления TrueNAS?

На TrueNAS SCALE — да, так как это настройка сервиса в системе. На TrueNAS CORE, если ты устанавливал пакет через `pkg`, есть риск, что пакет "слетит" при мажорном обновлении. Рекомендуется для CORE устанавливать ZeroTier в отдельный jail и настраивать оттуда, либо переустанавливать клиент после каждого обновления системы.

ZeroTier TrueNAS: Настройка VPN для удаленного доступа к NAS

Представь, что твой TrueNAS сервер стоит в одной локации, а тебе нужен безопасный доступ к его данным из любой точки мира, как будто ты в локальной сети. Проброс портов на роутере — это рискованно. Давай разберем, как решить эту задачу элегантно с помощью ZeroTier — программно-определяемой сети (SD-WAN).

Что такое ZeroTier и зачем он нужен для TrueNAS?

ZeroTier — это децентрализованная VPN-сеть, которая создает безопасный туннель между твоими устройствами, объединяя их в единый виртуальный сегмент сети (VLAN), независимо от их физического расположения и NAT. Для TrueNAS это идеальное решение, потому что оно:

Не требует проброса портов на роутере, что повышает безопасность.
Работает поверх существующего интернет-соединения без сложной настройки маршрутизации.
Позволяет обращаться к сервисам TrueNAS (SMB, NFS, WebUI) по статическому IP-адресу из виртуальной сети.
Имеет встроенный клиент в TrueNAS SCALE и легко ставится на CORE.

Важно: ZeroTier не заменяет полноценный файрволл. Это инструмент для создания защищенного канала связи. Основная безопасность данных по-прежнему лежит на настройках доступа в самом TrueNAS.

Подготовка: Создание сети в ZeroTier Central

Перед настройкой TrueNAS тебе нужно создать виртуальную сеть в панели управления ZeroTier.

Зарегистрируйся на my.zerotier.com.
В разделе "Networks" нажми "Create a Network".
Скопируй Network ID (16-значный код, например, a0b1c2d3e4f5g6h7) — это главный идентификатор твоей виртуальной сети.
В настройках созданной сети (Settings) проверь:
- Access Control: "Private" (устройства требуют авторизации).
- IPv4 Auto-Assign: Выбери диапазон (например, 192.168.195.0/24). ZeroTier автоматически выдаст адреса.

Настройка ZeroTier на TrueNAS SCALE

В TrueNAS SCALE (на базе Linux) клиент ZeroTier встроен как сервис. Настройка выполняется через веб-интерфейс.

Шаг 1: Активация и базовая конфигурация

Зайди в System Settings → Services.
Найди сервис "ZeroTier" и включи тумблер. Нажми на шестеренку для конфигурации.
В поле Network ID вставь тот самый 16-значный ID из ZeroTier Central.
Нажми "Save".

config

# Пример конфигурации сервиса в TrueNAS SCALE (через UI)
Network ID: a0b1c2d3e4f5g6h7
Enable: True
# Дополнительные параметры (через "Extra Arguments"):
# - например, для указания скрипта авторизации:
# --orbit a0b1c2d3e4f5g6h7/1234567890123456

Шаг 2: Авторизация устройства в ZeroTier Central

После запуска сервиса TrueNAS появится как "неавторизованное" устройство в списке "Members" твоей сети на my.zerotier.com.

Найди новое устройство по имени (обычно hostname TrueNAS) или части MAC-адреса.
Поставь галочку в колонке "Auth?" (Authorize).
Устройству автоматически будет назначен IP-адрес из выбранного пула (например, 192.168.195.42). Запиши его.

Настройка ZeroTier на TrueNAS CORE

В TrueNAS CORE (на базе FreeBSD) клиента нет в UI, но его легко установить через Shell.

Внимание! Установка пакетов в CORE через pkg может не сохраняться после обновления системы. Рассмотри вариант установки в jail для персистентности.

Установка через командную строку (Shell)

bash

# 1. Подключись к TrueNAS CORE через SSH или веб-интерфейс (меню Shell).
# 2. Установи пакет ZeroTier:
pkg update
pkg install zerotier

# 3. Вступи в свою сеть (используй свой Network ID):
zerotier-cli join a0b1c2d3e4f5g6h7

# 4. Запусти сервис и добавь в автозагрузку:
sysrc zerotier_enable="YES"
service zerotier start

# 5. Проверь статус:
zerotier-cli status
# Должно быть: 200 info a0b1c2d3e4f5g6h7 ONLINE

После этого, как и в случае со SCALE, авторизуй устройство в панели ZeroTier Central и получи его виртуальный IP.

Настройка сетевых служб TrueNAS для работы в ZeroTier

Теперь, когда у твоего TrueNAS есть IP-адрес в виртуальной сети ZeroTier (192.168.195.42), нужно настроить сервисы на прослушивание этого интерфейса.

1. Веб-интерфейс TrueNAS (GUI)

Перейди в System Settings → General.
В поле "GUI IPv4 Address" добавь виртуальный IP ZeroTier через запятую к существующим настройкам. Например: 0.0.0.0, 192.168.195.42.
Нажми "Save". Теперь к веб-интерфейсу можно обращаться по адресу https://192.168.195.42.

2. Общие ресурсы (SMB / NFS)

Для SMB (Windows) и NFS (Linux/Mac) нужно добавить виртуальный IP в список разрешенных интерфейсов или настроить ACL.

bash

# Для SMB в TrueNAS SCALE можно использовать дополнительные параметры:
# Перейди в Services → SMB → Advanced Options → Auxiliary Parameters
# Добавь строку:
interfaces = 192.168.1.0/24; 192.168.195.42
bind interfaces only = yes

# Для NFS: в Services → NFS → Bind IP Addresses
# Добавь IP ZeroTier (192.168.195.42) в список.

Подключение клиентских устройств к сети ZeroTier

Чтобы получить доступ к TrueNAS, установи клиент ZeroTier на свои устройства (ПК, ноутбук, телефон) и добавь их в ту же сеть (Network ID).

Устройство	Действие	Результат
Windows / macOS / Linux ПК	Скачай клиент с zerotier.com, установи, введи Network ID.	Авторизуй в ZeroTier Central. Получи IP (напр., 192.168.195.100).
Android / iOS	Установи приложение ZeroTier из магазина, добавь сеть.	Теперь можешь обращаться к SMB-шарам с телефона из любой сети.

Продвинутая настройка: маршрутизация и Moon-сервер

Если прямое соединение между устройствами не устанавливается (из-за симметричного NAT), ZeroTier использует свои публичные ретрансляторы (Root Servers). Для большей скорости и независимости можно развернуть свой ретранслятор — Moon.

bash

# Создание Moon-сервера на VPS или другом всегда-онлайн устройстве
# 1. Установи ZeroTier.
# 2. Сгенерируй конфигурацию Moon:
cd /var/lib/zerotier-one
zerotier-idtool initmoon identity.public > moon.json

# 3. Отредактируй moon.json, укажи публичный IP VPS в "stableEndpoints".
# 4. Собери подписанный конфиг:
zerotier-idtool genmoon moon.json
# Создаст файл .moon в текущей директории.

# 5. Помести его в поддиректорию moons.d и перезапусти zerotier-one.
# 6. На TrueNAS и клиентах добавь этот Moon:
zerotier-cli orbit

Частые проблемы и их решение

Устройство не появляется в ZeroTier Central: Проверь, что сервис запущен (service zerotier status), и нет блокировки на фаерволе (порт 9993 UDP).
Нет пинга между устройствами: Убедись, что оба устройства авторизованы в сети и им назначены IP из одного пула.
Недоступны сервисы TrueNAS по ZeroTier IP: Проверь настройки привязки (bind) для каждого сервиса (SMB, NFS, GUI).
Медленная скорость: Скорее всего, трафик идет через публичный ретранслятор. Настрой свой Moon-сервер на VPS с хорошим каналом.

Итог: Что ты получил?

Настроив ZeroTier на TrueNAS, ты создал безопасный, шифрованный туннель к своему NAS. Теперь ты можешь:

Удаленно управлять TrueNAS через веб-интерфейс без проброса портов 80/443.
Монтировать сетевые диски (SMB/NFS) из дома, офиса или кафе, как будто ты в локальной сети.
Безопасно получать доступ к медиатеке, бэкапам и личным файлам.
Объединить несколько удаленных NAS в одну виртуальную сеть для репликации.

Это решение уровня enterprise, но простое в настройке. Дальше можно углубляться в настройку статических маршрутов (Routes) в ZeroTier Central для доступа ко всей локальной сети за TrueNAS.