黑群晖用 zerotier 外网访问，有啥风险吗？

关闭密码登录，用公钥

zerotier 相当于 VPN 内网，甚至更安全。

理论上没什么问题。

建议自建 openvpn 。zerotier 和 softether 一样存在中转模式，两者的连接同样由服务器控制

理论上很安全。

一般没啥大问题，不过你这样有点太漏了，连自动扫描程序都可能把你主机给推平了
至少也是限制 root 账号登陆，改个 ssh 端口号，限制一下登陆尝试次数

没有。zt 的中转服务器 PING 延时高丢包多速度慢，SSH 都不一定连得上。

网络设私有（需手动允许才能进入，而不是知道网络 ID 就能进入）
把 sshd 侦听接口设置到 zt 的接口上去，不过就永远只能先建立 zt 再接入了。

风险相对一般，可用性比较低。为了提升可用性：
如果两边都有几层 NAT 的话需要给通道保活。
自建 MOON 和 / 或 Controller，并为它（们）配置好直通信道

另外，用公钥登录 + ssh-agent 比密码既更方便又更安全……
ssh-agent 也有工具可以跨 session 共享（比如 oh-my-zsh 带的 ssh-agent 插件）

唉,前几天折腾了很久,多层 nat(光猫拨号-路由器-客户端)下的客户端很多穿不透,测试了,win10 可以穿透,openwrt 和群晖都无法穿透,最后改光猫桥接-路由器拨号后,客户端才都正常穿透使用.

期间为了测试,还把用了多个版本 openwrt,虚拟机安装,N1 安装,小主机安装,都无法穿透,最后才发现改光猫桥接就解决了,瞎折腾了😂😂😂

没看出有什么问题

@bavtoex 两层 NAT 难穿呀……
这个问题其实可以通过不断尝试链接来打通并保活，具体不清楚怎么办到的。
两遍都开起来了以后循环 curl 某个服务的基础页面，打了大概一小时就通了……
之后就一直挂着 nextcloud 之类的自建网盘同步，重启就掉了，反正让 nextcloud 自己轮询，上午到中午就打通了。

开源的东西，容易被人天天拿来研究漏洞，这是风险所在，但 Linux 系都有这个问题。

而且，风险再高，也架不住这玩意方便。

想要更安全的话，这种通道类的东西不应该安装在与数据和业务有关的设备上，应该装在路由器这种网络设备上。目前没发现哪种路由器直接支持 zerotier，但支持 vpn 的路由器倒是不少，不过 vpn 组网太麻烦了。

可以用 v2ray 内网穿透。

一种是 直接 v2ray VPN 直接访问内网 IP
一种是 v2ray 反向代理 群晖