VPN & SD WAN ZeroTier

ZeroTier – SD WAN / P2P VPN-Lösung für jedermann

Während meiner Suche nach einfachen und alltagstauglichen Lösungen fürs Management unserer Netzwerke bin ich auf ZeroTier gestoßen. Das Projekt ist inzwischen in seinem 5. Jahr und m. E. absolut unterschätzt. Mit einigen Großkunden und mehreren Zehntausend Usern kann das Produkt schon als praxistauglich bezeichnet werden.

Als eine Mischung aus einem Hamachi-ähnlichen P2P VPN und einer SD WAN Lösung mit einem Management Plane im ZeroTier Cloud ist das Produkt weitgehend geeignet für kleinere Unternehmen „Software Defined WAN“ alltags- und „Budget-tauglich zu machen. Sogar die kostenlose Variante beinhaltet ja 100 Nodes die aus den buntesten Hardwarekomponenten bestehen können.

Neben Windows, Linux, BSD, IOS, Android werden auch noch OpenWRT, Synology und QNAP Packages gepflegt. Für die nativ nicht unterstütze Hardware, wie Netzwerkdrucker gibt es einen eigenen ZeroTier Gateway „Edge“ wovon inzwischen schon einige Hundert Exemplare durch Indigogo finanziert worden sind. Die Lieferungen verspäten sich allerdings seit Monaten, die erste Lieferungen werden aktuell versendet. Wie weit der Gateway praxistauglich ist lässt sich also noch nicht feststellen. „Auf Papier“ geht es aber um ein Hardware-Gateway, die in der Lage sein soll mit verschlüsseltem VPN Traffic die Gbit Schnittstelle zu „sättigen“.

Praxistest

In meinem Testaccount sind jetzt drei VLANs im Einsatz (inkl. DS111 Synology NAS).

Die Windows Treiber laufen absolut stabil. Je nach Szenario haben die Windows 10 PC auch zwei oder drei virtuellen Netzwerkadapter. Durch die Aktivierung der IP Forwarding ist es möglich durch den Windows10 Gateway auch nicht ZeroTier-fähige NAS-Laufwerke oder Druckern anzusprechen. Diese Lösungen haben natürlich den Nachteil, dass der PC stets laufen muss. Ein dedizierter Gateway wie Edge ist hier auf jeden Fall die sparsamere Lösung.

Das VPN Performance ist mit IP SEC vergleichbar. Auf dem uralten DS111 habe ich 1 MB/Sec.  erreicht, was natürlich nicht wirklich alltagstauglich war.

Die Windows Treiber starten zuverlässig mit dem Betriebssystem. Das einzige Problem besteht darin, dass Windows 10 mit mehreren Default-Gateway nicht wirklich zuverlässig umgehen kann. Tracert zeigt mir ab und zu, dass Anfragen zu VPN IPs durch den normalen WIFI-NIC geroutet werden wollen, was natürlich nicht geht. Dies ist m. E. aber eher ein Windows Problem.

Netzwerkverwaltung

Nach der Anmeldung sieht man in sehr überschaubarer Form die verwalteten Netzwerke:

zerotier_netzwerke

Bei dem jeweiligen Netzwerk werden sehr transparent die virtuelle und die tatsächliche IP, Name, Netzwerk-ID und das Status des Nodes dargestellt.

nodes

Das eigentliche SD WAN Feature sind aber die Flow Rules, die granuliert genug sein sollen auch eine Firewall zu ersetzen. Dies zu testen konnte ich leider noch nicht.

flow_rules

Die Möglichkeiten sind also sehr vielseitig, aktuellen Entwicklungen sind auf Github verwaltet. Das Projekt ist Open Source, bestimmte Komponente sind aber lizenzpflichtig.

Support

Support ist via Community Chat und Mail – auch bei dem kostenlosen Paket – verhältnismäßig schnell. Die Fragen werden von den ZeroTier Entwicklern selbst – wegen Zeitverschiebung – in 10-12 Stunden meistens beantwortet.

Sicherheit

Sicherheitsbewusste Admin können ZeroTier berechtigterweise vorwerfen den VPN Zertifikat und damit den Schlüssel selbst zu generieren. Durch die m. E. genügend sichere Node-Identifizierung und VPN Verschlüsselung hat das ZeroTier Team einen guten Zwischenweg gefunden einen einfachen und trotzdem sicheren Ansatz anzubieten der den Anforderungen des Alltags 99,9 % genügt und damit die weitere Verbreitung sicherer und zukunftsfähiger Internettechnologien weiter fördert.

Zukunft

In der aktuellen Entwicklung kommen aktuell Support für Multipath WAN und durchgehendes Quality of Service dazu. Gerade durch QoS kommen die bisher nur bei sehr teuren MPLS Netzen bekannten Qualitätsmerkmale in erreichbare und bezahlbare Nähe. Wir sind gespannt, was alles das kleine und kreative ZeroTier-Team in den folgenden Monaten umsetzt. Wir wünschen schon mal viel Erfolg.

Praxiserfahrungen aus unserem ZeroTier-Testalltag werden natürlich in Folgeartikeln beschrieben.

Avatar

über

Als jemand der sich seit gefühlten Ewigkeiten für IT-Themen wie VoIP, Netzwerke, Firewalls und sichere Kommunikation interessiert lade ich Dich hier herzlich ein mich auf meinem Weg zu begleiten.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .

%d Bloggern gefällt das: