跳至主要內容

Netbird

SecCMD2025/9/9大约 4 分钟

Netbird

基于Netbird开源平台独立部署

资讯:全球CFO遭钓鱼攻击,黑客利用合法工具NetBird实施精准打击

鱼叉式钓鱼警报:NetBird 远程访问木马借虚假招聘传播

告别复杂配置!NetBird助你轻松构建安全私有网络

15.1k star!告别复杂网络配置!NetBird让企业异地组网变得超简单

以下是一套基于Netbird开源平台的独立部署实施方案,适用于搭建私有网络实验环境。方案结合官方文档和社区实践,涵盖环境准备、服务端部署、客户端接入、网络配置及维护全流程,确保高效安全。

一、环境准备

  1. 服务器要求

    • 配置:Linux VM(推荐Debian/Ubuntu/CentOS),最低1核CPU、2GB内存、10GB存储。

    • 网络

      • 开放 TCP端口:80(HTTP)、443(HTTPS)、33073(管理)、10000(信令服务)。
      • 开放 UDP端口:3478(STUN/TURN)、49152-65535(P2P通信)。

    • 域名:需准备一个指向服务器公网IP的域名(如netbird.example.com),并提前配置DNS解析。

  2. 依赖软件

    • 安装Docker与Docker Compose(推荐最新版):
curl -fsSL https://get.docker.com | sh
curl -L "https://github.com/docker/compose/releases/latest/download/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
- 安装工具包:`jq`(JSON处理)、`curl`(网络请求):
sudo apt install -y jq curl  # Debian/Ubuntu
sudo yum install -y jq curl  # CentOS/RHEL

二、服务端部署

步骤1:一键安装NetBird

export NETBIRD_DOMAIN=netbird.example.com  # 替换为你的域名
curl -fsSL https://github.com/netbirdio/netbird/releases/latest/download/getting-started-with-zitadel.sh | bash

  • 输出结果:脚本自动生成管理员账号(如[email protected])和随机密码,保存至终端。

  • 自动完成

    • 部署NetBird管理服务、Signal服务、STUN/TURN服务(Coturn)、Zitadel身份认证服务。
    • 申请Let's Encrypt SSL证书,启用HTTPS加密。

步骤2:访问管理控制台

  1. 登录URL:https://<你的域名>(如https://netbird.example.com)。

  2. 初始配置

    • 修改默认密码,启用双因素认证(2FA)。
    • 添加新用户(支持本地账号或集成OIDC提供商如Google/Azure AD)。

自定义配置(可选)

  • 禁用单账户模式:编辑docker-compose.yml,在management服务中添加--disable-single-account-mode参数。
  • 反向代理:若需与Nginx Proxy Manager集成,修改docker-compose.yml中的端口映射(如将Dashboard端口从443改为8011)。

三、客户端接入

安装客户端

  • Linux/macOS
curl -fsSL https://pkgs.netbird.io/install.sh | sh
sudo netbird up --setup-key=<管理控制台生成的Setup Key>
  • Windows
    • 下载安装包:访问https://pkgs.netbird.io/windows,安装后输入Setup Key。
  • 移动端
    • Android/iOS应用商店搜索“NetBird”,扫码管理控制台的二维码加入网络。

验证连接

netbird status --detail  # 查看设备状态、分配的IP(如100.64.0.2)
ping 100.64.0.3         # 测试与其他客户端的连通性

四、网络实验环境配置

1. 访问控制策略

  • 创建策略组:按部门/项目分组(如dev-groupprod-group)。

  • 配置规则

    • 允许dev-group访问测试服务器IP(如100.64.1.0/24)。
    • 禁止非工作时间访问生产环境。

2. 站点间互联(SD-WAN)

  • 路由配置
    • 在管理控制台的 Network Routes 中添加静态路由(如192.168.1.0/24 → 目标Peer IP)。
  • 防火墙设置
# 启用IP伪装(Masquerade)确保跨网段通信
firewall-cmd --add-masquerade --permanent
firewall-cmd --reload

3. 中继模式优化

  • 严格NAT环境:在客户端设置中启用 Relay Mode,强制流量经TURN服务器中转。
  • 自建中继节点:在多地部署NetBird Relay服务,提升跨区域速度。

五、维护与监控

  1. 备份数据

    • 配置文件:复制安装目录下的docker-compose.ymlmanagement.json等文件。
    • 数据库:备份Zitadel(PostgreSQL)和管理服务(CockroachDB)数据。

  2. 升级版本

cd /netbird-install-dir
docker-compose pull  # 拉取新镜像
docker-compose up -d  # 重启服务
**注意**:需先检查[https://github.com/netbirdio/netbird/releases是否含破坏性变更。](https://github.com/netbirdio/netbird/releases是否含破坏性变更。)

  1. 故障排查

    • 查看日志:docker-compose logs -f signal(信令服务)或management(管理服务)。
    • 监控仪表盘:实时查看设备状态、流量拓扑、连接延迟。

六、高级功能扩展

总结

此方案可在15分钟内完成NetBird私有网络部署,具备以下优势:

零配置组网:自动NAT穿透,无需手动开放端口或配置路由。

企业级安全:端到端WireGuard加密 + SSO/MFA集成。

跨平台支持:全设备(包括OpenWRT路由器)无缝接入。

成本优化:自托管避免云服务费用,资源占用低于传统VPN。

遇到问题可查阅https://docs.netbird.io/或加入https://join.slack.com/t/netbirdio/shared_invite/zt-31rofwmxc-27akKd0Le0vyRpBcwXkP0g获取支持。

默认页脚
Copyright © 2025 SecCMD