在配置zerotier时，发现在一定情况下，开启iptables的masquerade转发后，zerotier会报告出此错误：ZeroTier One service listening 9993 but not replying to anything，并在关闭masquerade后问题会得到解决。这是因为iptables对于loopback的masquerade规则问题造成的。欲解决此问题，只需要再次执行以下代码后保存并重新加载iptables规则即可：

iptables -t nat -I POSTROUTING -o lo -j ACCEPT
service iptables save

Ref: https://github.com/zerotier/ZeroTierOne/issues/1102

Enjoy~

Zerotier是一个非常卓越的组网软件。它可以以最简单的方式构成一张虚拟网络。目前有很多OpenWrt路由器固件已经附带了该功能。但是大部分路由器不带有此功能。因此，可以通过在内网内搭建跳板机的方式，来解决这一问题。

在本次测试中，跳板机采用带有Zerotier插件的OpenWrt x86系统，基于Proxmox和KVM架构。并举例要访问的目标内网网段为2.2.2.0/24。

1. 在OpenWrt中配置Zerotier，并使Zerotier能正常获取IP地址。
2. 在防火墙中，建立一个新的区域（这里举例：zerotier），并使其能转发至wan。
3. 在接口中，创建一个新的虚拟接口。创建时，请选择名称以zt开头的物理接口。并将本虚拟接口加入之前创建好的zerotier区域。
4. 在防火墙–自定义规则中，添加以下规则后重启防火墙：

iptables -A FORWARD -d 2.2.2.0/24 -j ACCEPT
iptables -A FORWARD -s 2.2.2.0/24 -j ACCEPT

5. 编辑/etc/sysctl.conf文件，加入以下内容，并执行sysctl -p使其生效。（可选）

net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0

6. 在Zerotier后台加入相应的静态路由。

到这里，一切完成。

Enjoy~