UDP 打洞的玄学问题

<img src="https://i.qingmuhy.com/i/2022/05/07/w98ich_4.webp" alt="简单图床 - EasyImage" />

即使连上也是这个 ping 值，连 SSH 都卡的很。

你不跑个 MTR 看看哪一跳路由导致的延迟高？

zerotier 这种玩意儿我都没听说过。一直是自建服务器走 FRP ～～～ 也用过爱快的 SDWAN 。

不花点费用速度起不来。

首先 PO 主需要的 NAT 型是否是 Full Cone 或者 Address Restrict NAT ，如果任意一低於上述等，那“打洞”是肯定不成功的。
除此之外可以修改一下 Listen Port 能否正常直。上述程式的默 PORT 修改默以外的值。

Tailscale 的 DERP 伺服器的 JP 和 SIN 地域均在中大被屏蔽，因此致各不正常。PO 主可以前往控制剔除後再看。（定 ACL ）

修改：

{
"acls": [
{ "action": "accept", "users": ["*"], "ports": ["*:*"] },
],
"derpMap": { "Regions": { "3": null ,"7": null }} // Add This Line In Your config
}

@jousca Zerotier MTR 会直接显示就 1 跳，所以不是很好测，如果从 ZeroTier 外部看的话，延迟来自于中转服务器。

因此不同于 FRP 穿透，ZeroTier 和 Tailscale 用 MTR 测试可能没什么意义的。

@viberconnection 感谢你的建议，我会尝试这些步骤。

udp2raw 试试

自建 Headscale ，使用 Headscale 内置的 DERP ，江苏移动 20ms ，和打洞成功后差不太多

用命令 zerotier-cli peers 可以列出当前连上的 peer 编号、版本、IP 、延迟。
需要 admin (Windows) 或 root (Linux) 权限。

我学校的电信宽带有公网 v4 ，用了 2 年，最近外网 TCP 入站被掐了，尝试用 zerotier ，流量连接很稳定，但是校园网内 zerotier 会被阻断，用 10s 之后连接就会断（而且还是按照连接建立时间顺序断开，先是鼠标输入失效，然后画面才卡死），但是直连又没问题（主要是使用 NVIDIA 的串流，大部分都是 UDP 流量）

我这边移动直接给 fullcone NAT ，打洞还没失败过。同城和电信打洞之后延迟大概在 6ms - 9ms 。

任何一方有 nat1 或者公网即可穿透。nat1 差不多也算是公网型了。虽然只要少数 udp 应用定向支持。

@yzwduck
C:\Windows\system32>zerotier-cli peers
200 peers
<ztaddr> <ver> <role> <lat> <link> <lastTX> <lastRX> <path>
35326b513e 1.6.5 LEAF -1 RELAY
62f865ae71 - PLANET -190 DIRECT 718 908 50.7.252.138/9993
778cde7190 - PLANET -426 DIRECT 6492 1872 103.195.103.66/9993
8bd5124fd6 1.8.9 LEAF 502 DIRECT 2312 1808 34.136.112.255/52227
cafe04eba9 - PLANET 434 DIRECT 2062 1012 84.17.53.155/9993
cafe9efeb9 - PLANET -1 DIRECT 11830 1988 104.194.8.134/9993

C:\Windows\system32>ping 192.168.8.2 /t

正在 Ping 192.168.8.2 具有 32 字节的数据:
来自 192.168.8.2 的回复: 字节=32 时间=427ms TTL=63
请求超时。
来自 192.168.8.2 的回复: 字节=32 时间=418ms TTL=63
来自 192.168.8.2 的回复: 字节=32 时间=424ms TTL=63
来自 192.168.8.2 的回复: 字节=32 时间=418ms TTL=63
来自 192.168.8.2 的回复: 字节=32 时间=426ms TTL=63
来自 192.168.8.2 的回复: 字节=32 时间=424ms TTL=63

192.168.8.2 的 Ping 统计信息:
数据包: 已发送 = 7 ，已接收 = 6 ，丢失 = 1 (14% 丢失)，
往返行程的估计时间(以毫秒为单位):
最短 = 418ms ，最长 = 427ms ，平均 = 422ms

今天测试了一下，依然无法打洞成功。

@i3x 因为疫情我暂时没办法回去，暂时不是很方便测试家里的 NAT 类型，但学校的是最次的 Symmetric 型。

没自建 controller 前，zerotier 想打通真是太难了，即使有 moon 也不行，因为他就连不上 networkpeer

@superchijinpeng 如果不是万恶的 IOS ，这的确是个完美的方案。

可能是在同一个 CGNAT 网络下已经有人在使用 TailScale 占用了默认的 41641 端口，可以尝试参考文档 https://tailscale.com/kb/1018/acls/
在 ACL 里加入 randomizeClientPort 随机化端口试试

@jousca #2 我和楼主一样是江苏移动+zerotier ，同城连家里设备延迟 30~50ms ，带宽 5~10Mbps ，能达到这种效果的付费方案你给推荐个顺便报个价呗？

@qingmuhy0 #13 重启 zerotier one 服务
我就在刚刚发现我 ping 家里设备也是这个鬼样保底 400+ms ，然后我熟练得让人心疼地进任务管理器右键重启 zerotier one 服务，现在再 ping：
ping 10.1.0.103

正在 Ping 10.1.0.103 具有 32 字节的数据:
来自 10.1.0.103 的回复: 字节=32 时间=26ms TTL=128
来自 10.1.0.103 的回复: 字节=32 时间=25ms TTL=128
来自 10.1.0.103 的回复: 字节=32 时间=63ms TTL=128
来自 10.1.0.103 的回复: 字节=32 时间=29ms TTL=128

10.1.0.103 的 Ping 统计信息:
数据包: 已发送 = 4 ，已接收 = 4 ，丢失 = 0 (0% 丢失)，
往返行程的估计时间(以毫秒为单位):
最短 = 25ms ，最长 = 63ms ，平均 = 35m

NAT1 也需要端口内外一致，CGNAT 大部分类似 Symmetric 的 Full Cone ，总是有各种各样的问题。

建议 zerotier 自建 planet 节点，抛开官方的 planet ，完全走国内，使用快一年了，一直很稳定。

@yuantianwei 非常同意，我是前几个月才自建的 PLANET ，目前唯一缺陷就是 IOS 端因为无法替换 PLANET 文件所以连不上以外，其余的各个成员连起来都非常流畅。广东广州佛山这边的移动基本都是辣鸡 Symmetric ，我看了一下基本都是通过服务器转发流量的，但是我电信 PING 过去延迟也就 10ms 上下。这个方案也就只需要搞一台腾讯云或者阿里云的轻量服务器而已，费用大概 40 一个月

@yuantianwei #21 自建的 planet 是只能私用不会加入整个 zt 的节点网中吗

@ungrown 自建的不加入官方的根服务器，完全解除设备和网络限制，就是自己想带多少客户端都可以，建几个网络也可以。终端也不在去找官方的根服务器进行连接了。

这个 zerotier 相对 N2N 有什么优势，有没有大佬说说，我一直在用 N2N 自建 superNode

@sorapsyga 我采用的是用 IOS 用 vpn 拨入一个节点

@863 用了这个方法几乎从看脸到每次秒打洞成功！感谢。

@863 “在 ACL 里加入 randomizeClientPort 随机化端口试试”用了这个方法几乎从看脸到每次秒打洞成功！感谢。

@rayray314 randomizeClientPort 这个选项似乎会让每个 tailscale 客户端忽略其本身启动时指定的--port 参数，因此我觉得是一种不太好的选择，对于网络中某些处于防火墙之后的客户端来说

@imlk 对啊，字面意思就是随机客户端端口。至于好处或坏处，我理解这种打洞并不是非法 BYPASS 防火墙，而是合理利用了防火墙允许的机制。

@863 #17 随机化端口确实解决了问题

@863 感谢