🧭 一、目標場景說明
想從安卓移動端遠程到Windows電腦
實現如下效果:
- 家中 Windows 電腦開機聯網;
- 安卓手機/平板在外地,只要聯網就能遠程控制電腦桌面;
- 不需要公網 IP,不用設置端口映射;
- 免費、安全、穩定。
使用工具:ZeroTier + RDP 客戶端
二、ZeroTier 操作步驟詳解
1. 注冊 ZeroTier 賬號
- 打開官網:https://my.zerotier.com
- 免費注冊并登錄
- 點擊【Create A Network】創建虛擬網絡
- 記下生成的 Network ID(例如:
8056c2e21c000001)
新注冊用戶會先讓你注冊網絡,并至少要給 2 臺設備安裝 ZeroTier 客戶端并連接上才允許管理網絡。
? 2. 安裝客戶端
📱 安卓手機/平板
- 應用商店搜索「ZeroTier One」,下載安裝
- 打開后點擊“Add Network”,輸入 Network ID(掃碼也行)
- 勾選 Route all traffic through …(所有流量都走這里的 ZeroTier 的意思)
- 勾選 Network DNS
- 點擊
Add并點選 “開關” 連接
iPhone/iPad操作也差不多
🖥? Windows 電腦
- 下載地址:https://www.zerotier.com/download/
- 安裝好后在托盤圖標右鍵 → Join New Network → 輸入 Network ID
- 點擊 Connect 連接,并且給這個網絡勾選 Allow DNS Configuration
3. 授權設備加入網絡
登錄 https://my.zerotier.com,找到你的網絡:
- 在設備列表中找到手機和電腦
- 勾選左側「Auth」授權它們加入網絡 “Authorize”
- 稍等幾秒,ZeroTier 會給每臺設備分配虛擬 IP(如
10.x.x.x)
4. 測試
在 Windows 和 安卓(termux)上,互 Ping 對方的 ZeroTier 分配的網絡地址,看是否通了。
注:客戶端要配 DNS,否則無法訪問該網絡下其他設備,最簡單的方法就是使用 ZeroTier 的 DNS。
5. 配置 Windows 遠程桌面(RDP)
- 設置 → 系統 → 遠程桌面 → 啟用遠程桌面,并選擇那個用戶可用于遠程
- 記住電腦用戶名,并設置強密碼
- 確認 Windows 防火墻允許 3389 端口(遠程桌面默認端口)
我 Windows 默認是不設密碼的,用戶重置密碼后 RDP 一直無法連上,最后發現是要重啟才能生效。
6. 安卓設備連接電腦
推薦 App:Microsoft Remote Desktop(微軟官方,免費)
操作步驟:
- 打開 App → 添加新連接
- 主機地址:填寫 ZeroTier 分配給電腦的虛擬 IP(如
10.147.17.5) - 賬號密碼填寫 Windows 本地賬號即可
- 點擊連接,成功訪問 Windows 桌面!
任何設備都一樣,只要加入到 ZeroTier 網絡就可以實現互通。
三、ZeroTier 原理解釋
可以把 ZeroTier 想象成“看不見的網線”,把手機和電腦連接在一個虛擬局域網中。
ZeroTier 背后主要做了三件事:
| 步驟 | 描述 |
|---|---|
| 注冊連接 | 每臺設備連接 ZeroTier 控制器,注冊身份與位置 |
| 分配虛擬 IP | 控制器為設備分配虛擬內網地址(如 10.x.x.x) |
| 嘗試 P2P 直連 | ZeroTier 嘗試“打洞”,讓兩臺設備實現點對點(P2P)連接,失敗則中繼轉發 |
什么是“打洞”?為什么它很關鍵?
- 家用路由器或運營商的 NAT 會“擋住”外部訪問;
- 但設備自己主動往外發一個包,NAT 會記住這個路徑;
- 如果雙方同時主動發包,就能“在 NAT 上打個洞”,允許互相訪問;
- 這叫做 NAT 穿透,能實現高效低延遲的點對點通信。
為什么國內網絡環境下很難成功打洞?
雖然 ZeroTier 很努力,但在中國 P2P 失敗率較高,原因如下:
| 問題 | 描述 |
|---|---|
| CGNAT | 很多運營商不給你公網 IP,多個用戶共享 NAT,打洞失敗 |
| 對稱 NAT | 出口端口隨機,不允許打洞重用,幾乎無法建立點對點連接 |
| UDP 被封 | 部分校園、公司或家庭網絡禁止 UDP,ZeroTier/Tailscale 無法通信 |
| IPv6 不普及 | IPv6 可避開 NAT,但大多數國內網絡并未啟用 IPv6 |
這時候,ZeroTier 會自動改為“中繼模式”,流量走官方中轉服務器,雖然速度略慢但依然穩定可用。
說白了國內網絡,就是設備出口出去時映射出去了,但回來卻不能映射回相同的 IP 和 端口,并且跟據訪問不同的網絡,出口還可能回不一樣。
五、進階:路由器加入 ZeroTier,實現全網互通
如果你把 ZeroTier 安裝在家里的路由器(OpenWrt、軟路由等),并成功加入網絡:
- 那么 局域網中所有設備(如 NAS、打印機、電視盒子)都能訪問 ZeroTier 虛擬網絡內的設備;
- 也就是說:手機遠程訪問家中任意設備變得輕而易舉,無需每臺設備單獨配置。
六、ZeroTier 的安全性和免費政策
免費賬戶限制(截至目前 20250805)
- 每個賬號最多可免費創建 3 個網絡
- 每個網絡最多可授權 10 臺設備
- 所有連接都通過加密隧道(ZeroTier 自研加密)
- 對小型團隊或個人用戶已經綽綽有余
安全性說明
-
通信全程加密(類似 VPN 隧道);
-
控制面托管在 ZeroTier 官方,適合普通用戶但不適合高度敏感場景;
-
如果你特別在意控制權,可以選擇:
- 自建 ZeroTier 控制器(難度較高)
- 或切換到 WireGuard(詳見下一節)
七、說說缺點(重要)
前面技術原理、實現方式、功能以及有點都說完了,這里我講講缺點:
速度很慢
速度很慢,這一點是其他人沒分享或者沒說的。
兩臺設備連接無法做到 P2P ,并不是 ZeroTier 不支持,而是國內網絡不可以,所以流量都必須經過 ZeroTier 服務器再出去。
安全:即使端對端是加密的(證書之類),但證書以及頒發機構都是 ZeroTier 頒發的,并且流量也是由它中轉,對外部的來說是加密的,但對 ZeroTier 服務器來說,卻可以是明文解密,所以有一定的安全風險(企業不建議使用)
并且 ZeroTier 是美國的,國內可能沒有節點,即使有也會限制用戶的流量速度,延遲比較高。
操作不人性化
如果是簡單操作,對專業性和使用功能不那么強個人用戶來說,那還是很容易的操作的。
但是,我在操作過程中發現了一個問題:
就是刪掉一個 ZeroTier 網絡設備后,就再也加不進來這個網絡了。
刪除這個設備的 C:\\ProgramData\\zerotier 和 C:\\Program Files (x86)\\zerotier 都不行,刪掉重裝也不行。
ZeroTier 控制臺就是識別不了這個設備。
說是 ZeroTier 加進來的設備都會有個 ID,因為這個ID相同就判斷為刪除了,已刪除設備沒這個選項,刷新也沒看到未注冊設備有它,研究了半天就是加不進來。
另外就是功能非常非常少(可能商業版本多?),頁面十分簡單簡潔,好像是 2011 還是 2015 年的項目,后面閉源了。
總體來說,感受下來不太像 25 年還在維護的產品,只能說能用,但肯定用得不會太爽。
但如果設備之間 從國內打通國外 或者 國外打通國內 來看,這就是一個很好的免費方案了。
七、下一篇預告:WireGuard vs ZeroTier 簡略對比
| 對比項 | ZeroTier | WireGuard |
|---|---|---|
| 部署難度 | 零配置,無需服務器 | 需配置服務器、公私鑰、路由表 |
| 打洞能力 | 有,國內成功率低 | 無,需自己解決穿透(如 FRP、TUN) |
| 協議性能 | 較好,自研協議 | 非常高效,現代極簡加密架構 |
| 控制權 | 控制面托管在 ZeroTier 官方 | 完全自建,100% 本地控制 |
| 中繼依賴 | 自動中繼(失敗走 relay) | 無 relay,靠你自己配置 |
| 是否適合國內 | 一般,打洞受限多 | 配合 Tailscale/headscale 效果極佳 |
后面搞下 WireGuard 內網穿透并更新過程,ZeroTier 是美國的,WireGuard 是俄羅斯的,說不定 WireGuard 會帶來意想不到的用戶體驗。
總結
| 步驟 | 說明 |
|---|---|
| 安裝配置 ZeroTier | 簡單,跨平臺支持安卓/Windows/Mac/Linux |
| 配置遠程桌面 + RDP 客戶端 | 常規 Windows 操作 |
| 設置 DNS | 關鍵,影響連通性 |
| 國內打洞是否成功 | 失敗幾率高,通常走中繼 |
| 安全性與控制權 | 對普通用戶安全足夠,核心控制權歸官方 |
| 推薦人群 | 個人用戶、小團隊、遠程控制場景皆適用 |
ZeroTier 提供了一種“極低門檻 + 多平臺兼容 + 安全加密”的遠程連接方式,是很多用戶首選的內網穿透工具。
——PowerShell與命令提示符)
- 使用 GitHub Actions 工作流自動部署)
的方法)
)
