Zerotier 如何才能暴露整个网段内的所有设备？

N1 开启 ipv4.forward
Zerotier 控制台添加路由表 192.168.123.0/24 via N1
N1 添加两条 iptables 命令转发（配置 VPN 那种，具体命令你查一下）
Mac 端可能也要添加一条路由表 192.168.123.0/24 via N1

#1 MAC 端应该不用添加，控制台配置过就行了

用 bridge 也可以，在 n1 建个 bridge 把，eth0 加到 bridge 里去，连上 zerotier 后把也加到 bridge 里去，这其他设备可用 dhcp 直接获得 123.0/24 的 ip

如果你的 N1 是做路由，基本做一下转发就可以了，如果 N1 不是路由，则需要路由上添加路由表指向 N1，同时 zerotier 上也要设置路由表和允许 N1 转发。

我自己的操作： https://blog.boxks.com/archives/zerotier-0ffsite-networking/

@saluton 感谢大佬的回复，我试着操作了下，但还是没法找到其他设备
1、ZT 分配的 IP 端为 192.168.192.0/24，现实网段为 192.168.123.0/24
2、ZT 控制台路由表我是这么设置的：
192.168.123.0/24 via 192.168.192.66 （这个为 N1 的 ZT 地址）
3、iptables 我添加了下面两条：
iptables -A FORWARD -d 192.168.192.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
4、直接访问 192.168.192.2 （ NAS 地址，对应 192.168.123.2 ）并不行，用了下扫描工具扫了下 192.168.192.0/24 网段，也只知道 N1


@qinghon 这个好高级，一时竟然没有理解

@Kaiyuan 感谢提供这么详细的教程，我操作下试试

建议做端口转发会比暴露整个内网好

@tyhunter #5 楼上 Kaiyuan 已经说了，我再说直白一些。
我猜你没有在路由器上配静态路由。
你做完这几步后，去程 Mac > N1 > NAS 的路由是通的，返程预期的路由是 NAS > 路由器 > N1 > Mac，但实际上 NAS > 路由器 > 默认 WAN 网关（丢包）。
你需要在路由器（而不仅仅是 N1 ）上，配置一条 192.168.192.0/24 via 192.168.123.xxx (N1 地址) 的静态路由。
以及，推荐使用 ping、tcpdump 等工具，来能调试这种网络问题。

刚才说的有点歧义，最后第二句改为：
你不仅仅需要在 N1 上配置防火墙，允许讲 ZT 流量转发到 192.168.192.0/24 ；还需要在路由器上，配置一条 192.168.192.0/24 via 192.168.123.xx (N1 地址) 的静态路由，来修正返程路由。

哭，我的网络基础全部还给老师了…允许我再修正一下说法，如果我猜想的大前提错了的话，还请原谅我的频繁发帖。
你不仅需要在 N1 上配置防火墙，允许将 ZT 流量转发到 192.168.123.0/24 ；还需要在路由器上，配置一条 192.168.192.0/24 via 192.168.123.xx (N1 地址) 的静态路由，来修正返程路由。

楼上所说的主路由上的静态路由应该是不用做的

因为 zt 控制端配好了之后各个节点都会知道的

@hawhaw zt 是会帮忙加路由规则，但只有加入 /运行 zt 的设备才会自动配置；如果要在非路由器上用 zt 来路由两个网段，就需要手工在路由器上配静态路由了。

@yzwduck 你说的这两点是对的

@tyhunter #5
3、第二条后面可能要加一个 -o eth0，不大确定
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0
4、你试试在 mac 上 ping 192.168.123.2 呢？

@yzwduck #10
我理解的是 iptables forward 之后会修改 src IP 地址，路由器那一条静态路由应该是不用配的

@saluton 原来如此，是在 ZT 节点上配置 DNAT。我 iptables 用得太少，没有看出来。

又说错了…是配置 SNAT。

所以说这类组网应用，不支持服务器直接推送路由表下去是多么的不方便啊！

这种问题，其实自己画画图，包根据路由从哪儿到哪儿，源地址目标地址源 Mac 地址目标 Mac 地址是怎么变的，先自己弄清楚了，再去几个关键的地方听下包验证下，自然就知道问题在哪里了