ZeroTier связывает ноутбук, домашний сервер, телефон, NAS, офисный ПК или облачную машину в одну закрытую виртуальную сеть без отдельного VPS. Устройства получают внутренние адреса и обмениваются данными так, будто стоят в одной локальной сети. Через такую схему удобно работать с файлами, заходить на сервер, подключаться к тестовому стенду и держать служебные панели подальше от публичного интернета.
Акцент у ZeroTier – не «простой VPN ради VPN», а контролируемый доступ к данным. NAS, SSH, RDP или внутренняя веб-панель не открываются наружу через проброс портов на роутере. Каждый узел сначала входит в private-сеть, а администратор вручную решает, кому доверять. Но шифрование не спасёт от слабого пароля, старой прошивки NAS, заражённого ноутбука или забытых учётных записей.
Как ZeroTier защищает данные и почему работает без VPS
ZeroTier One создаёт на устройстве виртуальный сетевой интерфейс. Приложения обращаются к удалённым узлам по внутренним IP-адресам, а не по внешним адресам провайдера. В документации протокола ZeroTier описывает платформу как программируемый виртуальный Ethernet-коммутатор. Проще говоря, ZeroTier работает на уровне L2, то есть на уровне Ethernet.
Уровень L2 даёт важный практический плюс. Через ZeroTier можно связать не только обычные IP-сервисы вроде SSH, SMB или веб-панели, но и старые игры, устаревшие корпоративные клиенты, специфическое промышленное ПО и другие приложения, которым нужна «почти локальная» сеть. Обычный L3-VPN строит маршруты между подсетями, а ZeroTier ближе к виртуальному коммутатору. За удобство иногда приходится платить скоростью и более внимательными правилами доступа.
ZeroTier использует end-to-end encryption, или сквозное шифрование. В разделе ZeroTier Security компания пишет, что приватные ключи остаются на конечных устройствах, а инфраструктура сервиса не видит и не меняет пользовательские пакеты. Такой подход хорошо ложится на Zero Trust: не считать сеть безопасной по умолчанию, проверять устройства, ограничивать доступ и регулярно убирать лишние узлы.
Связь между устройствами строится не всегда одинаково. Сначала ZeroTier пытается найти прямой путь через UDP и «пробить» NAT. В документации о корпоративных файрволах ZeroTier сравнивает такой процесс с подходом STUN/TURN в VoIP. Если UDP режет провайдер, корпоративный файрвол или строгий NAT, агент ZeroTier One откатывается на TCP Relay. Трафик тогда идёт через relay-сервис ZeroTier, а не напрямую между двумя вашими устройствами. Поэтому пинг может внезапно вырасти до 150–200 мс, а скорость передачи файлов упасть.
Как настроить ZeroTier: подготовка, клиент, авторизация и проверка
Готовимся в Central. Откройте ZeroTier Central, создайте сеть и дайте ей понятное имя: home-nas, lab-secure, office-admin или похожее. Скопируйте Network ID. В настройках выберите Private, чтобы новые устройства попадали внутрь только после ручного допуска. Для первого запуска пусть адреса раздаются автоматически. Стандартного диапазона Managed IP хватает, если вы не строите сложные маршруты.
Устанавливаем клиент. Скачайте ZeroTier One с официальной страницы Download ZeroTier и поставьте клиент на каждое доверенное устройство. На Windows и macOS войдите в сеть через значок ZeroTier в трее или строке меню: Join New Network, затем Network ID. На Linux или сервере без графики выполните команду:
sudo zerotier-cli join NETWORK_ID
Авторизуемся и проверяем. Вернитесь в Central, найдите новый узел и разрешите его. Сразу подпишите устройство понятным именем: alex-laptop, home-nas, office-mini-pc или monitoring-node. Посмотрите Managed IP Address и проверьте доступ по внутреннему адресу. Начните с ping MANAGED_IP, затем проверьте SSH, RDP, SMB или внутреннюю веб-панель.
Если устройство вошло в сеть, но сервис не открывается, проверьте четыре вещи: узел разрешён в Central, Managed IP выдан, локальный файрвол не режет порт, сервис слушает нужный интерфейс. Частая ошибка выглядит так: ZeroTier работает, ping проходит, но веб-панель привязана только к 127.0.0.1, поэтому другие устройства её не видят.
Старые устройства удаляйте сразу. Проданный ноутбук, тестовая виртуальная машина, старый телефон или временный контейнер не должны сохранять путь к частной сети. Для аккаунта администратора включите двухфакторную аутентификацию. Для важных узлов используйте разные учётные записи, ключи SSH, сложные пароли и регулярные обновления.
Скорость, маршруты, файрвол и выбор между ZeroTier, Tailscale и OpenVPN
Не считайте private-сеть полностью доверенной. Ноутбук может видеть NAS, но не обязан видеть камеры, принтеры и служебные панели. Рабочий ноутбук может ходить к тестовому серверу, но не должен автоматически видеть все домашние устройства. Файрвол должен работать на каждом важном узле: на сервере разрешите SSH только с адресов ZeroTier-сети, на NAS откройте только нужные файловые протоколы, на Windows ограничьте RDP конкретными внутренними адресами.
Маршрут в физическую локальную сеть требует аккуратности. Например, на мини-сервере стоит ZeroTier, а через него нужно попасть к NAS или принтеру в домашней LAN. Тогда один узел станет маршрутизатором между ZeroTier-сетью и физической подсетью. В Central добавляют Managed Route, а на Linux-узле включают IP forwarding. Официальное руководство Route between ZeroTier and Physical Networks приводит временную команду:
sudo sysctl -w net.ipv4.ip_forward=1
После перезагрузки такая настройка пропадёт. Чтобы Linux включал маршрутизацию при старте, откройте /etc/sysctl.conf и добавьте или раскомментируйте строку:
net.ipv4.ip_forward=1Затем примените настройки командой:
sudo sysctl -pОдна команда не делает схему безопасной. Нарисуйте маршрут, укажите, какие устройства из ZeroTier-сети должны видеть LAN, и закройте остальное файрволом. Ошибка в Managed Route или NAT может открыть больше устройств, чем вы планировали.
| Технология | Когда удобнее | Слабое место |
|---|---|---|
| ZeroTier | L2-сеть, старые игры, специфическое ПО, NAS, домашняя лаборатория, устройства за NAT | При TCP Relay растёт задержка, а правила доступа нужно чистить вручную |
| Tailscale | Zero Trust для команд, быстрая mesh-сеть на WireGuard, удобная привязка к пользователям и устройствам | По умолчанию работает как L3-сеть, поэтому не все L2-сценарии подходят без дополнительных решений |
| OpenVPN | Классическая VPN-инфраструктура, свой сервер, привычные сертификаты, поддержка TUN и TAP | L2-режим через TAP сложнее сопровождать, а сервер становится центральной точкой нагрузки |
Проверьте лимиты до постоянной работы. В старой инструкции Create your first ZeroTier network указана бесплатная работа до 25 устройств по всем сетям, а публичная страница Pricing на апрель 2026 года показывает для Personal Free 10 устройств и одну сеть. Из-за расхождения в официальных страницах смотрите фактический лимит в своём аккаунте ZeroTier Central.
ZeroTier помогает безопасно связать доверенные устройства, но не заменяет обновления, надёжные пароли, двухфакторную аутентификацию, резервные копии и контроль прав. Используйте виртуальные сети только для законного доступа к своим ресурсам или ресурсам, где у вас есть разрешение. При работе в России учитывайте законодательство РФ, требования работодателя и правила работы с персональными данными.
FAQ
Нужен ли белый IP-адрес для ZeroTier?
Для обычного доступа белый IP-адрес не нужен. Устройства могут находиться за NAT. ZeroTier сначала пробует прямой UDP-путь между узлами, а при неудаче может перейти на TCP Relay. В режиме Relay задержка и скорость обычно хуже.
Почему пинг вырос до 200 мс?
Чаще всего прямой UDP-путь не сложился, и ZeroTier пустил трафик через TCP Relay. Такое бывает в сетях со строгим NAT, корпоративным файрволом или запретом UDP. Проверьте правила файрвола, UDP-трафик и физический маршрут между узлами.
Безопасно ли давать доступ к NAS через ZeroTier?
Да, если сеть закрыта, новые устройства проходят ручной допуск, аккаунт администратора защищён двухфакторной аутентификацией, NAS обновлён, а файрвол разрешает только нужные службы. Не давайте всей виртуальной сети доступ ко всем сервисам NAS.
Что выбрать: ZeroTier, Tailscale или OpenVPN?
ZeroTier удобнее, когда нужен L2 и «почти локальная» сеть. Tailscale чаще выбирают для Zero Trust-доступа пользователей и устройств на базе WireGuard. OpenVPN подходит, когда нужна классическая схема со своим сервером, сертификатами и полным контролем над инфраструктурой.
ZeroTier стоит брать, когда нужно безопасно связать свои устройства без отдельного сервера и без открытых сервисов в интернете. Начните с private-сети, допускайте только известные узлы, включите двухфакторную аутентификацию, закройте лишние порты и регулярно удаляйте старые устройства. Если сеть хранит важные данные, стройте доступ по принципу Zero Trust: никому не доверять автоматически, проверять каждый узел и давать только нужные права.
