Administrer din MikroTik med ZeroTier

Resumé
ZeroTier opretter et sikkert peer-to-peer virtuelt LAN, der gør fjerntliggende MikroTik-enheder tilgængelige uden offentlige IP’er eller komplekse VPN’er. Denne guide dækker installation, MikroTik-integration, subnet routing og driftstips.

Fjernstyring af MikroTik med ZeroTier

ZeroTier føles som et LAN, der strækker sig over hele kloden.

Det bygger krypterede peer-to-peer-forbindelser og giver hvert medlem en intern IP.

Ingen offentlige IP’er.
Ingen besværlig port-forwarding.
Ingen tungvint PKI.

Denne guide viser praktiske trin til at bringe MikroTiks ind i et ZeroTier-netværk og sikkert eksponere lokale tjenester.

Hvad er ZeroTier?

ZeroTier er en virtuel netværksplatform — en blanding af VPN, P2P og SD‑WAN.

Det opretter en virtuel grænseflade (typisk zt0) på hver node.

Noder tilsluttes et netværk via en Netværks-ID.

Medlemmer får private IP-adresser og kommunikerer sikkert.

Planet/moon-servere hjælper kun med opdagelse.

Trafikken er peer-to-peer, når det er muligt.

Sådan fungerer ZeroTier (kort)

Controller (netværk): du opretter og administrerer netværk på my.zerotier.com eller din egen controller.
Peers: enheder, der kører ZeroTier-klienten og tilslutter netværket.
Planet/Moons: opdagelses-/relay-hjælpere (offentlige eller selv-hostede).

ZeroTier håndterer NAT-traversal automatisk.

Autentifikation: administrator godkender nye peers i webkonsollen.

Sikkerhedsmodel

ZeroTier bruger moderne kryptografi (Curve25519, autentificerede ephemeral keys).

Hver node har et nøglepar og en 40-bit hardware-lignende adresse.

Administratorer kontrollerer hvilke peers, der må tilslutte.

ZeroTier dekrypterer ikke din trafik på offentlige controllere.

Bemærk: Host din egen controller/moons, hvis du har brug for fuld uafhængighed.

Hurtig opsætning (server, desktop)

Opret konto og netværk på https://my.zerotier.com.
Noter Netværks-ID (f.eks. 8056c2e21c000001).
Installer klient på Linux-server eller VPS:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

Godkend den nye node i webkonsollen (slå Auth? til).
Bekræft interne IP’er med zerotier-cli listnetworks.

Nem procedure.

Installer ZeroTier på MikroTik (RouterOS 7.5+)

MikroTik leverer en officiel ZeroTier-pakke til RouterOS 7.x.

Fremgangsmåde:

Download den matchende zerotier-7.x-<arch>.npk fra mikrotik.com.
Upload .npk til routerens filer og genstart enheden.
Opret en ZeroTier-interface og tilslut netværket:

/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print

Godkend MikroTik i ZeroTier webkonsollen.

Når status viser connected, er routeren på Tailnet.

Tip: Hold ZeroTier-pakken opdateret efter RouterOS-opgraderinger.

Annoncér og rout lokale undernet

Vil du gøre enheder på routerens LAN tilgængelige via ZeroTier, tilføj routing eller NAT-regler.

Mulighed A — Ruter LAN (foretrukket, når muligt)

På MikroTik annonceres det lokale subnet ved at tilføje en rute og tillade forwarding:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Sørg derefter for, at ZeroTier-peers kender ruten (annonceres via controlleren eller accepteres i indstillinger).

Mulighed B — dst-nat til en specifik tjeneste (snævert og sikkert)

Kortlæg en ZeroTier IP/port til en intern vært:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Adgang fra en anden peer via http://<zerotier-ip>:8081.

Advarsel: Eksponér kun nødvendige tjenester. Undgå bred ruteeksponering, medmindre du har stram adgangskontrol.

Nyttige driftstips

Vælg ikke-overlappende private subnet for stedets LAN for at undgå routingkonflikter.
Brug beskrivende navne i ZeroTier-konsollen for at holde styr på routere.
Gruppér noder med tags og ACL’er for enklere adgangskontrol.
Overvåg zerotier-cli output og RouterOS logs for forbindelsesproblemer.

Fejlfinding af typiske problemer

Node sidder fast i REQUESTING_CONFIGURATION: Kontrollér controllerens tilgængelighed og at noden er godkendt.
Ingen peer-to-peer sti: DERP-relæer proxer trafikken; kontroller ydelse og overvej selv-hostede moons.
IP-konflikt med lokalt LAN: Skift ZeroTier-tildelt rækkevidde eller det lokale LAN.

Sammenligning med andre løsninger

Løsning	Kræver offentlig IP	Nemhed	Bedst til
ZeroTier	Nej	Meget nem	Hurtigt mesh, fjernudstyr bag NAT
Tailscale	Nej	Meget nem	Identitetsbaseret kontrol, teams
WireGuard (manuelt)	Nogle gange	Mellem	Høj ydelse, DIY-setup
OpenVPN / IPSec	Nogle gange	Kompleks	Legacy-kompatibilitet, PKI-kontrol

Hvornår vælge ZeroTier

Når du har brug for et hurtigt, let mesh på mange enheder.
Når du skal nå enheder bag CGNAT uden at skaffe offentlige IP’er.
Når du vil have en hybrid — peer-to-peer med valgfrie relæer og brugervenligt UI.

Hvis du har brug for streng identitetsbaseret ACL bundet til virksomhedens SSO, bør du overveje Tailscale.

Hvor MKController hjælper: For teams, der styrer store MikroTik-flåder, centraliserer MKController’s NATCloud fjernadgang og overvågning — hvilket mindsker netværksarbejdet pr. enhed samtidig med styring og indsigt.

Konklusion

ZeroTier reducerer markant kompleksiteten ved fjernstyring.

Det er hurtigt, sikkert og velegnet til miksede miljøer.

Med få RouterOS-kommandoer kan du forbinde en MikroTik og sikkert tilgå interne tjenester.

Start småt: godkend en router, eksponér en tjeneste, og udvid så ruter og ACL’er.

Om MKController

Vi håber ovenstående indsigter har hjulpet dig med at navigere bedre i dit MikroTik- og internetunivers! 🚀
Uanset om du finjusterer konfigurationer eller prøver at skabe orden i netværkskaosset, er MKController her for at gøre dit liv nemmere.

Med centraliseret cloud-management, automatiserede sikkerhedsopdateringer og et dashboard, alle kan mestre, har vi det, der skal til for at opgradere din drift.

👉 Start din gratis 3-dages prøveperiode nu på mkcontroller.com — og oplev, hvordan ubesværet netværkskontrol virkelig ser ud.