用ZeroTier自建虚拟局域网干掉 EasyConnect

为什么不用 EasyConnect ？

• 自动提权到 root 级别：后台常驻进程 EasyMonitor 和 ECAgentProxy，且都以 root 权限运行；

• 自动安装根证书：包括系统根证书与 FireFox 的根证书，且在删除后会重新安装。

• 没有 Apple silicon 版本的客户端，在 arm 架构处理器的 Mac 上运行需要转译（arm 洁癖烦了
• 注：形如 docker-easyconnect 的方案基于 EasyConnect 官方“Linux”版的 deb 包实现了不需要转译运行的案例，但我个人没有跑起来。
docker-easyconnect
docker-easyconnect • Updated Nov 13, 2023

• 登陆页面不支持密码自动填充……

• 不胜枚举的吐槽参见
EasyConnect 是流氓软件吗 - V2EX
程序员 - @ljiaming19 - 现在课题组在用曙光 6000 超算 必须用 EasyConnect 才能进他们的内网用 SSH 但是好像网上说 EasyConnect 是流氓软件 是和 qq 一样会暗地里扫描硬盘然后上传服务器吗

https://www.v2ex.com/t/761277

需求分析

• 不使用 EasyConnect 实现虚拟组网，保证安全性的前提下降低延迟。

• 自动在客户机上进行规则分流，时刻连接到校园网，不额外使用其他路由软件。

方案设想

硬件要求

• Host: 一台在校园网内部 7*24h 开机的设备，即为图中的 Host，这里假定其在虚拟网络中的 IP 地址为 172.30.0.1，这里笔者是有一直开着的主机，而且已经配置好免密登陆到数据中心服务器，其实更好的解决方案是树莓派等低功耗设备，奈何树莓派现在实在是太贵了。

• Desktop: 客户机，没有要求，能上网和安装 ZeroTier 就行，手机都行。

• VPN: 如果不喜欢在客户机上组网，也可以在路由器上组网，那么 Desktop 是不需要进行配置的，例如我在家里，用旁路由组了虚拟网络，就更方便了（但也更不安全）。原理类似，不是本篇重点，

软件方案

• 虚拟组网：在校园网环境下可以是内网穿透，之前有使用过 ngrok、natapp 等内网穿透软件，稳定性并不是很理想，还要收费，而且代理特定端口有泄露风险，这里选择 ZeroTier 进行虚拟组网，虽然有组网设备上限，但个人使用完全不必担心，权限管理甚至内网 IP 都在掌控之中。

• 透明代理：我的便携设备是一台 MacBook Air，macOS 上能完成路由分流功能的软件很多，这里就选择常见的 Clash X Pro ，在 clash 的配置文件中写入 ZeroTier 分配到的校内设备 IP 地址和端口和对应规则即可完成规则分流工作。

解决方案

软件安装

ZeroTier 的安装与组网

Welcome | ZeroTier Documentation

Welcome to the ZeroTier Documentation site.

https://docs.zerotier.com/

ZeroTier - 无配置，零基础「内网穿透」随时随地连回家/学校/办公室 [跨平台] - 小众软件

ZeroTier 是一款非常简单易用的内网穿透工具，不需要配置，就能实现虚拟局域网的组建，让你可以在外也能连回家中、学校、办公室的电脑获取资料，数据。配置与使用都非常简单，堪称「 无配置，零基础」，小白也能用。@Appinn

https://www.appinn.com/zerotier-one/

规则分流与透明代理

Troubleshooting & TODO

目前的问题

• 有时候 ZeroTier 的延迟很高，取决于 Desktop 遇到的网络环境有多复杂，目前大概有 1/20 的概率遇到延迟高达 200ms 的情况，只能说堪堪可用，相比起 EasyConnect 带来的隐患可以接受。

• macOS 的 Clash X Pro 增强模式似乎有点问题，有时候会导致完全上不了网，但不开增强模式又会连不上 Host 看起来是哪里有冲突了，还没有稳定复现过，持续观察。

TODO

• 自建 ZeroTier 的中转服务器，似乎有 moon planet 的区分，未做深入了解

• 持续观察 Clash X Pro 的稳定性，似乎 Clash for Windows macOS 版没有这个问题，但那个软件跨平台地不够 macOS（洁癖又发作了。

总结