Přeskočit na obsah
Blog

Správa vašeho Mikrotiku pomocí ZeroTieru

Shrnutí
ZeroTier vytváří zabezpečenou peer-to-peer virtuální LAN, díky níž jsou vzdálená zařízení MikroTik dostupná bez veřejných IP nebo složitých VPN. Tento návod pokrývá instalaci, integraci MikroTik, směrování podsítí a provozní tipy.

Vzdálená správa MikroTik pomocí ZeroTieru

ZeroTier působí jako LAN roztažená po celém světě.

Vytváří šifrovaná peer-to-peer spojení a každému členovi přiřazuje interní IP.

Žádné veřejné IP.
Žádné složité přesměrování portů.
Žádné složité PKI.

Tento návod ukazuje praktické kroky, jak připojit MikroTik do sítě ZeroTier a bezpečně vystavit lokální služby.

Co je ZeroTier?

ZeroTier je platforma virtuálních sítí — kombinace VPN, P2P a SD‑WAN.

Na každém uzlu vytvoří virtuální rozhraní (obvykle zt0).

Uzly se připojují do sítě pomocí Network ID.

Členové získávají privátní IP a komunikují bezpečně.

Servery Planet/moon pomáhají jen s objevováním.

Provoz je peer-to-peer, kdy je to možné.

Jak ZeroTier funguje (stručně)

  • Řadič (síť): vytváříte a spravujete sítě na my.zerotier.com nebo vlastním řadiči.
  • Peerové: zařízení běžící s klientem ZeroTier a připojená do sítě.
  • Planety/Měsíce: pomocníci pro objevování/přesměrování (veřejné nebo vlastní).

ZeroTier umožňuje automatické průchody NATem.

Autentizace: administrátor schvaluje nové peery ve webovém rozhraní.

Model bezpečnosti

ZeroTier používá moderní kryptografii (Curve25519, autentizované efemérní klíče).

Každý uzel má klíčový pár a 40bitovou hardwarovou adresu.

Administrátoři kontrolují, kdo se smí připojit.

ZeroTier nesleduje obsah provozu na veřejných řadičích.

Poznámka: Pro plnou nezávislost provozu hostujte vlastní řadič a měsíce.

Rychlé nastavení (server, desktop)

  1. Založte účet a síť na https://my.zerotier.com.

  2. Poznamenejte si Network ID (např. 8056c2e21c000001).

  3. Nainstalujte klienta na Linux server nebo VPS:

Terminal window
curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

  1. Ve webové konzoli autorizujte nového uzla (zapněte Auth?).

  2. Ověřte interní IP příkazem zerotier-cli listnetworks.

Jednoduché.

Instalace ZeroTier na MikroTik (RouterOS 7.5+)

MikroTik nabízí oficiální balíček ZeroTier pro RouterOS 7.x.

Postup:

  1. Stáhněte vyhovující zerotier-7.x-<arch>.npk z mikrotik.com.
  2. Nahrajte .npk do souborů routeru a restartujte zařízení.
  3. Vytvořte rozhraní ZeroTier a připojte se do sítě:
/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print
  1. Schvalte MikroTik ve webové konzoli ZeroTier.

Když je status connected, router je v Tailnetu.

Tip: Po aktualizacích RouterOS udržujte balíček ZeroTier aktuální.

Inzerce a směrování lokálních podsítí

Pokud chcete, aby zařízení v routerové LAN byla dostupná přes ZeroTier, přidejte směrování nebo pravidla NAT.

Varianta A — Směrování LAN (preferované, pokud možné)

Na MikroTiku oznamte lokální podsíť přidáním trasy a povolením přeposílání:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Pak zajistěte, aby ZeroTier peerové znali tuto trasu (oznamováno přes řadič nebo přijato v nastavení).

Varianta B — dst-nat pro konkrétní službu (úzká a bezpečná)

Namapujte IP/port ZeroTier na interní hostitele:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Přistupte k ní z jiného peeru přes http://<zerotier-ip>:8081.

Varování: Vystavujte jen nezbytné služby. Vyhněte se širokému vystavování tras, pokud nemáte přísnou kontrolu přístupu.

Užitečné provozní rady

  • Vyberte nekolizní privátní podsítě na lokalitách, aby nedocházelo ke konfliktům směrování.
  • Používejte popisné názvy v ZeroTier konzoli pro snadnou identifikaci routerů.
  • Skupinujte uzly pomocí tagů a ACL pro jednodušší správu přístupů.
  • Sledujte výstupy zerotier-cli a logy RouterOS kvůli problémům s připojením.

Řešení častých problémů

  • Uzel uvízl na REQUESTING_CONFIGURATION: Zkontrolujte dostupnost řadiče a autorizaci uzlu.
  • Chybějící peer-to-peer cesta: DERP relé proxy provoz; ověřte výkon a uvažujte o vlastních měsících.
  • IP kolize s lokální LAN: Změňte rozsah přidělený ZeroTier nebo lokální LAN.

Srovnání s jinými řešeními

ŘešeníPotřebná veřejná IPJednoduchostNejlepší pro
ZeroTierNeVelmi snadnéRychlá mesh, vzdálená zařízení za NATem
TailscaleNeVelmi snadnéIdentitní řídící plány, týmy
WireGuard (ručně)NěkdyStředníVýkonné DIY
OpenVPN / IPSecNěkdySložitějšíKompatibilita, PKI kontrola

Kdy zvolit ZeroTier

  • Potřebujete rychlou, snadnou mesh sít přes mnoho zařízení.
  • Musíte dosáhnout na zařízení za CGNAT bez veřejných IP.
  • Chcete hybrid — P2P s relé a uživatelsky přívětivým UI.

Pokud potřebujete přísná ACL vázaná na firemní SSO, zvažte Tailscale.

Kde pomáhá MKController: Pro týmy spravující velké flotily MikroTik nabízí MKController NATCloud, které centralizuje vzdálený přístup a monitoring — snižuje práci na zařízení a zároveň zachovává správu a dohled.

Závěr

ZeroTier zásadně snižuje překážky vzdálené správy.

Je rychlý, bezpečný a hodí se do smíšeného prostředí.

Pomocí pár příkazů RouterOS připojíte MikroTik a bezpečně zpřístupníte interní služby.

Začněte pomalu: autorizujte router, vystavte jednu službu, pak přidávejte trasy a ACL.

O MKController

Doufáme, že vám tyto poznatky pomohly lépe orientovat se ve vašem MikroTiku a internetovém světě! 🚀
Ať už dolaďujete konfigurace nebo přinášíte pořádek do síťového chaosu, MKController je tu, aby vám život usnadnil.

S centralizovanou cloudovou správou, automatickými bezpečnostními aktualizacemi a přehledným dashboardem jsme připraveni pozvednout vaši provozní efektivitu.

👉 Vyzkoušejte na 3 dny zdarma na mkcontroller.com — a zažijte, jak jednoduchá může být správa sítě.