搭建moon節點，讓你的zerotier網路更安全高效

在上一篇搭建zerotier網路的教程，我們成功地搭建了zerotier網路，達成了遠端辦公的目的，你甚至還可以坐在星巴克咖啡廳裡，跟生意夥伴商務活動的同時，隨時呼叫公司內部的共享資料資料，這也是科技進步給我們帶來的種種便利之一。

在zerotier網路體系中，根伺服器（root server）被稱為星球（planet），而每一臺聯網裝置都被稱為葉子（leaf），兩臺星球之間是透過星球節點握手建立隧道連線的，而zerotier作為一家總部位於加州的美國公司並沒有在中國設有根伺服器，因此在兩臺裝置連線時受制於星球節點的連線質量，不免要產生高延遲，因此我們可以按照官方指引來搭建月亮（moon）節點，讓裝置相互連線時透過我們自己搭建的月亮節點來握手建立隧道，從而降低握手時的網路延遲、也提高聯網穩定性和安全性。

首先要說明的是，搭建月亮節點的伺服器對硬體要求不高，但是必須有公網IP地址，如果公司的網路環境不具備條件，可以透過購買雲計算伺服器來實現。現在國內的雲計算服務商主要有阿里雲、華為雲、騰訊雲、天翼雲等，都可以滿足你的需要，這些供應商時常有打到骨折的優惠活動，每年一兩百元人民幣的成本也不是什麼壓力，再者說來，這一臺雲計算伺服器還可以同時為你搭建網站或者其他的應用。如果對於搭建moon節點還沒有信心，可以到這些雲計算供應商的國際站點註冊，薅一臺免費試用2-3個月的伺服器來測試，其實這些雲計算的香港節點與大陸站點相比延遲也差不了多少；當然國際大廠也有羊毛可以薅，谷歌雲、甲骨文雲、亞馬遜雲、微軟雲都提供免費試用的雲主機，甲骨文雲還提供終身免費的選項。

下面我就用一臺全新的甲骨文雲伺服器教大家如何搭建自己的moon節點。

新建一臺1核CPU1G記憶體的伺服器，系統ubuntu20。04LTS，

分配IP地址，

新增ipv6路由表，

新增網路安全列表，增加出入站規則，放行出入站流量，

先測一下ping值，

用SSH客戶端應用程式連線主機，

獲取root許可權，

sudo -i

更新可安裝軟體包的列表，

apt update

更新可升級軟體包，

apt upgrade

檢視伺服器防火牆狀態，

如果防火牆處於活動狀態，需要執行以下步驟，

新增伺服器防火牆規則，放行9993埠，

ufw allow 9993/udp

重啟防火牆，讓規則生效

ufw reload

檢視埠是否放行。

ufw status

安裝zerotier，

curl -s https：//install。zerotier。com | sudo bash

加入ZeroTier網路，

zerotier-cli join

返回 200 join OK

（離開zerotier網路的命令：zerotier-cli leave ）

驗證是否聯網，

zerotier-cli listnetworks

生成moon模板，

cd /var/lib/zerotier-one

zerotier-idtool initmoon identity。public > moon。json

修改moon。json，

vi /var/lib/zerotier-one/moon。json

進入編輯狀態，

i

修改“stableEndpoints”為伺服器公網IP，

“stableEndpoints”： ［“152。67。193。30/9993”，“2603：c024：b：a100：：30/9993”］

退出編輯狀態，

Esc

儲存。

：wq

這是命令列修改模式，也可以利用finalshell自帶的文字編輯模式，需要注意的是，文字編輯模式需要直接用root登入，否則，會因為許可權不夠而失敗，

透過檔案管理器進入zerotier安裝目錄並找到moon。json，

/var/lib/zerotier-one/moon。json

點選滑鼠右鍵，開啟檔案，

在文字編輯器中修改“stableEndpoints”為伺服器公網IP，

點選選單儲存，等待右上角檔案狀態顯示“已完成”表示修改成功，

點選右上角【X】關閉文字編輯器回到命令列頁面。

生成簽名檔案，

zerotier-idtool genmoon moon。json

執行之後會生產一個000000xxxxxxxxxx。moon（前六位是零，後十位是節點ID）的簽名檔案，下載moon簽名檔案備用，

透過檔案管理器進入zerotier安裝目錄並找到000000xxxxxxxxxx。moon，

/var/lib/zerotier-one/000000xxxxxxxxxx。moon

點選滑鼠右鍵，選擇下載，等待右上角檔案狀態顯示“已完成”表示下載成功，預設的儲存位置在電腦桌面上的一個名為“fsdownload”的資料夾裡，備用。

將moon節點加入網路，

mkdir moons。d

mv 。/*。moon 。/moons。d/

這一步驟也可以使用文字編輯模式，首先建立moons。d目錄，然後把下載的000000xxxxxxxxxx。moon上傳到目錄中就OK，

重啟zerotier，

service zerotier-one restart

驗證moon節點是否正常聯網，

zerotier-cli listmoons

至此，moon節點搭建完成。

接下來，將聯網裝置加入moon節點，有命令列模式和文字編輯模式，我分別用windows客戶端和openwrt路由器來介紹，

開啟已連線zerotier的電腦的命令列，先測個沒有加入moon節點的ping值，

進入zerotier客戶端應用程式的安裝目錄，

C：\Program Files （x86）\ZeroTier\One>zerotier-cli orbit xxxxxxxxxxx xxxxxxxxxxx（moon節點ID兩次，中間帶空格）

返回 200 orbit OK

（離開moon節點的命令：zerotier-cli orbit xxxxxxxxxxx xxxxxxxxxxx）

驗證是否加入moon節點，

C：\Program Files （x86）\ZeroTier\One>zerotier-cli listpeers

列表中有“MOON”表示已成功加入moon節點，

檢視moon節點資訊，

C：\Program Files （x86）\ZeroTier\One>zerotier-cli listmoons

用文字編輯模式將另一個區域網已經加入zerotier網路的路由器加入moon節點，

透過檔案管理器進入zerotier目錄，

/etc/config/zero

或者軟連線：/var/lib/zerotier-one

點選滑鼠右鍵新建資料夾moons。d，

進入moons。d目錄，點選滑鼠右鍵上傳檔案，

進入fsdownload目錄，找到剛剛下載的000000xxxxxxxxxx。moon檔案，確認，等待右上角檔案狀態顯示“已完成”表示上傳成功，重新整理頁面，可以顯示檔案，

重啟zerotier，

service zerotier restart

驗證是否加入moon節點，

列表中有“MOON”表示已成功加入moon節點，

至此，openwrt路由器已成功加入moon節點。

兩臺聯網裝置都開啟ipv6，測個ping值，在兩臺裝置同城並且是同一個寬頻接入商（中國移動）的條件下，ping值6毫秒左右，這個級別的ping值，在感覺上基本與區域網內裝置的相互連線沒有區別。這是由於zerotier在兩個具有公網ipv6裝置之間直接建立了隧道連線，不再需要多層NAT地址轉換。

需要說明的是，搭建moon節點是為了替代planet節點在聯網裝置握手時的作用，降低裝置之間握手時的延遲，也提高你的zerotier網路的穩定性和安全性，並不能直接降低聯網裝置相互訪問時的ping值。也許有人會質疑，既然有了公網ipv6，直接用ipv6不就可以了嗎？在實際應用場景中絕大多數ipv6都是動態的，並且ipv6的地址都很難記住，不適合日常應用的場景，當然你設定了ddns除外。

好了，這期教程就到這兒了，如果教程對你有用，歡迎關注學驛站，可以學習更多的電腦、網路和數碼使用技巧。