保姆级教程：用闲置服务器自建ZeroTier Planet根服务器，打通安卓/iOS/Mac/路由器/群晖全平台内网穿透

全平台内网穿透实战：用闲置设备构建ZeroTier私有根服务器

引言

在数字化生活日益普及的今天，远程访问家庭网络设备的需求与日俱增。无论是想在外查看NAS中的文件，还是需要远程管理智能家居设备，传统的内网穿透方案往往受限于公网IP、端口映射等复杂配置。ZeroTier作为一款优秀的虚拟局域网工具，其官方服务虽然便捷，但自建Planet服务器能带来更稳定的连接速度和完全自主的控制权。

本文将手把手教你如何利用闲置的旧电脑、服务器或小型设备（如NUC、树莓派等），构建专属的ZeroTier Planet根服务器。不同于常见的Moon节点搭建，Planet服务器能完全替代ZeroTier官方基础设施，实现真正意义上的私有化部署。方案覆盖Windows、macOS、Linux、Android、iOS、路由器及群晖NAS等全平台接入，特别针对各平台常见配置难点提供解决方案。

1. 基础环境准备与Planet服务器部署

1.1 硬件选择与系统配置

闲置设备再利用是本方案的核心优势之一。适合作为Planet服务器的设备包括：

• 老旧笔记本/台式机：至少双核CPU，2GB内存
• 微型主机：如Intel NUC、树莓派4B及以上型号
• 退役服务器：企业级硬件稳定性更佳
• 云服务器：适合有公网IP需求的场景

推荐操作系统选择：

提示：如果设备性能有限，建议选择轻量级系统如Debian或Alpine Linux

1.2 一键部署Planet服务

使用开源社区维护的自动化脚本可快速完成Planet服务器部署：

# 下载部署脚本 wget https://gitee.com/opopop880/zerotier_planet/raw/master/zerotier_planet.sh # 添加执行权限 chmod +x zerotier_planet.sh # 运行安装（需要root权限） sudo ./zerotier_planet.sh

安装过程会自动完成以下工作：

1. 安装ZeroTier依赖环境
2. 编译生成planet配置文件
3. 配置系统服务自动启动
4. 开放必要端口（3443/TCP, 9993/TCP+UDP）

常见问题解决方案：

• 端口冲突：修改脚本中的ZT_PORT变量值
• 证书生成失败：检查系统时间是否准确
• 网络不可达：确认防火墙放行相关端口

1.3 网络配置优化

为获得最佳连接效果，建议进行以下网络优化：

1. 多线路接入（如有条件）：

   • 同时接入电信、联通等不同运营商线路
   • 使用策略路由实现智能选路

2. NAT穿透增强：

   # 启用IP转发 echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf sysctl -p # 配置MASQUERADE（根据实际网卡修改eth0） iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

3. QoS保障：

   # 对ZeroTier流量进行优先级标记 iptables -t mangle -A OUTPUT -p udp --dport 9993 -j DSCP --set-dscp-class ef

2. 全平台客户端配置指南

2.1 移动端配置（Android/iOS）

Android设备配置步骤：

1. 下载修改版客户端（支持自定义Planet）
2. 将生成的planet文件放入手机存储根目录
3. 在应用设置中加载本地planet文件
4. 加入网络时需要同时提供：
   • 网络ID（16位字符）
   • Planet服务器公网地址

注意：部分国产手机需在电池优化设置中排除ZeroTier应用

iOS设备特殊配置：

由于系统限制，iOS配置较为复杂：

1. 通过TestFlight安装开发版客户端
2. 使用Filza等工具替换系统目录中的planet文件

   # 文件路径示例 /var/containers/Bundle/Application/[APP_UUID]/Documents/planet

3. 重启ZeroTier服务：

   launchctl unload /Library/LaunchDaemons/com.zerotier.one.plist launchctl load /Library/LaunchDaemons/com.zerotier.one.plist

2.2 桌面系统配置（Windows/macOS）

macOS详细配置流程：

1. 官网下载标准版客户端并安装
2. 替换planet文件：

   sudo cp ~/Downloads/planet /Library/Application\ Support/ZeroTier/One/

3. 重启服务：

   sudo launchctl unload /Library/LaunchDaemons/com.zerotier.one.plist sudo launchctl load /Library/LaunchDaemons/com.zerotier.one.plist

4. 权限修复（如遇问题）：

   sudo chown -R root:wheel /Library/Application\ Support/ZeroTier/One

Windows系统注意事项：

• 需关闭Windows Defender实时防护临时替换文件
• 服务文件位于：

  C:\ProgramData\ZeroTier\One\planet

• 替换后需要重启ZeroTier服务：

  Restart-Service ZeroTierOneService

2.3 路由器与NAS接入

OpenWRT路由器配置：

1. 安装ZeroTier插件：

   opkg update opkg install zerotier

2. 配置planet文件：

   # 文件路径 /etc/zerotier/planet

3. 启动服务并加入网络：

   /etc/init.d/zerotier start zerotier-cli join [NETWORK_ID]

群晖NAS特殊配置：

针对DSM7.x的新权限系统需要额外步骤：

1. 通过套件中心安装ZeroTier
2. 修复权限问题：

   sudo sed -i 's/package/root/g' /var/packages/zerotier/conf/privilege

3. 替换planet文件：

   sudo chmod 777 -R /var/packages/zerotier/target/etc/zerotier cp planet /var/packages/zerotier/target/etc/zerotier/

4. 重启服务：

   synopkg restart zerotier

3. 高级配置与性能优化

3.1 多Planet服务器部署

为提高可用性，可部署多个Planet服务器形成集群：

1. 在所有节点上生成相同的planet文件
2. 配置DNS轮询或负载均衡：

   upstream zt_servers { server planet1.example.com:9993; server planet2.example.com:9993; server planet3.example.com:9993; }

3. 客户端配置多个Planet地址：

   // planet文件中的roots配置 "roots": [ { "identity": "planet1...", "endpoints": ["1.2.3.4/9993"] }, { "identity": "planet2...", "endpoints": ["5.6.7.8/9993"] } ]

3.2 安全加固措施

1. 访问控制：

   # 只允许特定IP访问管理端口 iptables -A INPUT -p tcp --dport 3443 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 3443 -j DROP

2. 证书轮换：

   # 重新生成planet文件（保留相同identity） ./zerotier-idtool generate-secrets identity.secret ./zerotier-idtool getpublic identity.secret >identity.public

3. 流量监控：

   # 实时查看连接状态 zerotier-cli listpeers

3.3 性能调优参数

在/var/lib/zerotier-one/local.conf中添加：

{ "settings": { "primaryPort": 9993, "allowTcpFallbackRelay": true, "multipathMode": 2, "interfacePrefixBlacklist": ["vmnet","vboxnet"], "portMappingEnabled": true } }

关键参数说明：

• multipathMode：启用多路径传输（需内核支持）
• allowTcpFallbackRelay：UDP不通时自动切换TCP
• interfacePrefixBlacklist：排除虚拟网卡干扰

4. 典型应用场景实现

4.1 远程办公解决方案

安全访问企业内网资源：

1. 在Planet服务器设置静态路由：

   zerotier-cli set [NETWORK_ID] allowGlobal=true

2. 配置企业防火墙规则：

   # 允许ZeroTier网络访问特定服务 iptables -A INPUT -s 192.168.192.0/24 -p tcp --dport 3389 -j ACCEPT

跨平台文件共享：

• Windows：直接映射网络驱动器
• macOS：连接smb://[ZT_IP]
• 移动端：使用ES文件浏览器等工具访问

4.2 智能家居远程控制

设备接入方案：

1. 路由器刷OpenWRT作为家庭网关
2. 为IoT设备分配固定IP：

   zerotier-cli set [NETWORK_ID] [DEVICE_ID] ip=192.168.192.100

3. 配置端口转发规则：

   iptables -t nat -A PREROUTING -d [ZT_IP] -p tcp --dport 8123 -j DNAT --to-destination 192.168.1.100:8123

安全隔离措施：

# 创建独立的IoT网络 zerotier-cli create-network zerotier-cli set [IoT_NETWORK_ID] private=true

4.3 混合云组网实践

连接多个云服务器：

1. 在各云平台部署Planet节点
2. 配置VPC对等连接：

   # AWS示例 aws ec2 create-vpc-peering-connection --vpc-id vpc-123456 --peer-vpc-id vpc-789012

3. 设置路由表：

   ip route add 10.0.0.0/16 via [ZT_GATEWAY_IP] dev zt0

流量分流策略：

# 国内流量直连，国际流量走ZT ip rule add from [ZT_IP] table 100 ip route add default via [ZT_GATEWAY] table 100

在实际部署中，遇到安卓设备连接不稳定的情况，通过修改MTU值解决了问题：

ifconfig zt0 mtu 1400