在进行以下操作之前，要确保已经在 Zerotier Portal 上注册了 Zerotier 并在门户网站上创建了一个网络，以便此网络节点能加入到创建的 Zerotier 网络。该网络为私有网络，默认情况下，授权节点之间可以互相通信，通信都是加密的。由于分配的 IP 地址是 RFC1918 地址，在 Internet 上不可路由。

测试平台信息：

节点1：LEDE软路由，LAN网关地址：192.168.101.1，已搭建好ZeroTier网络，参见 LEDE 配置ZeroTier网络教程。

节点2：OPNsense防火墙，LAN网关地址：192.168.100.253。

ZeroTier管理的路由见下图：

安装 Zerotier

导航到 系统>固件>插件 菜单，找到 os-zerotier 插件并安装，见下图：

LAN接口设置

导航到接口>LAN，选中 “防止接口删除” 选项。以避免在启用Zerotier网络以后，出现不能访问防火墙的问题。

Zerotier配置

导航到 VPN>Zerotier 菜单，在 “设置” 选项卡，选中启用。其他选项可不填写。

转到网络选项卡，点击右下角的 “+” 号，添加网络 ID。在此处添加的网络 ID 会将 OPNsense 防火墙加入指定的 Zerotier 网络。

添加网络以后，并不会自动将 OPNsense 加入该网络，只有选中启用后，才会加入该网络，如上图所示。这里注意，如果启用网络以后不能访问防火墙，那么可能是你没有修改 LAN 接口的 “防止接口删除” 选项。

为了让节点相互通信，还必须登录门户网站，选择网络，找到节点地址，然后单击 “Auth（认证）” 对其进行授权。节点旁边的复选框从 “红色” 变为 “绿色” 就表示已被授权。这里可以自动或手动输入一个 IP 地址。

ZeroTier概况

导航到 VPN>ZeroTier>概况，这里可以查看 Zerotier 网络的一些信息。仅在启用 Zerotier 插件的情况下才能查看。

分配接口

分配接口不是必须的，如果只是节点之间互相访问，只需启用网络即可。如果你需要更高阶的应用，如使用 OSPF 等，则可以分配 Zerotier 虚拟接口，以充分利用防火墙的路由功能。例如要访问防火墙后面的子网，就必须分配接口并添加规则。

注意：要给该节点分配接口，必须在 Zerotier门户网站 上将该节点 IP 地址的自动分配改为手动分配，如下图所示：

然后导航到到 “接口” 菜单项，单击分配。这里可以找到一个以 zt 开头的新接口。单击 + 符号进行分配。打开新接口 OPT1。选中 “启用” 和 “防止接口删除” 选项，这是因为 Zerotier 是虚拟接口，不能保证在系统引导时将其设为已启用链接。

启用新接口后，可以将接口的 “描述” 更改为 ZT，以方便记忆。其他选项根据自己网络情况进行设置。IPv4 地址填写在前一步分配的 IP 地址。

添加规则

导航到防火墙>规则，找到 ZT 接口，添加一个 any to any 的规则，如下图所示：

测试连接

在 OPNsense 防火墙后的客户端上 Ping 远程 LEDE 软路由网关：

Ping LEDE 软路由后面的客户端：

在 LEDE 软路由上面 Ping OPNsense 防火墙网关：

在 LEDE 软路由上面 Ping OPNsense 防火墙后面的客户端：

顺便测了一下连接速度（300M 上下同等带宽）：

至此，ZeroTier 网络配置完成。

注意：在多 WAN 网络环境中，如果出站做了负载平衡策略，那么客户端可能不能连接远程网络。可以新建一个别名 ZTNET，包含 RFC1918 网络或 ZeroTier 所使用的远程网络，指定某一个网关出站 (或默认网关) 并放在规则列表的前面。如下图所示：