Verwaltung Ihres Mikrotik mit ZeroTier

Zusammenfassung
ZeroTier erzeugt ein sicheres, Peer-to-Peer-VLAN, das entfernte MikroTik-Geräte ohne öffentliche IPs oder komplexe VPNs erreichbar macht. Diese Anleitung behandelt Installation, MikroTik-Integration, Subnetz-Routing und Betriebstipps.

Fernverwaltung von MikroTik mit ZeroTier

ZeroTier fühlt sich an wie ein LAN, das sich über den Planeten erstreckt.

Es baut verschlüsselte Peer-to-Peer-Verbindungen auf und vergibt für jedes Mitglied eine interne IP.

Keine öffentlichen IPs.
Kein lästiges Portforwarding.
Keine schwere PKI.

Diese Anleitung zeigt praktische Schritte, um MikroTiks in ein ZeroTier-Netzwerk einzubinden und lokale Dienste sicher freizugeben.

Was ist ZeroTier?

ZeroTier ist eine virtuelle Netzwerkplattform – eine Mischung aus VPN, P2P und SD-WAN.

Es erzeugt auf jedem Knoten eine virtuelle Schnittstelle (meist zt0).

Die Knoten treten mit einer Netzwerk-ID einem Netzwerk bei.

Mitglieder erhalten private IPs und kommunizieren sicher.

Planet/Mond-Server helfen nur bei der Entdeckung.

Der Datenverkehr ist Peer-to-Peer, wenn möglich.

Funktionsweise von ZeroTier (kurz)

• Controller (Netzwerk): Sie erstellen und verwalten Netzwerke unter my.zerotier.com oder Ihrem eigenen Controller.
• Peers: Geräte, die den ZeroTier-Client ausführen und dem Netzwerk beitreten.
• Planet/Moons: Helfer für Discovery/Relay (öffentlich oder selbst gehostet).

ZeroTier erledigt NAT-Traversal automatisch.

Authentifizierung: Admins genehmigen neue Peers in der Webkonsole.

Sicherheitsmodell

ZeroTier nutzt moderne Verschlüsselung (Curve25519, authentifizierte Ephemeral Keys).

Jeder Knoten hat ein Schlüsselpaar und eine 40-Bit-Hardware-ähnliche Adresse.

Admins steuern, welche Peers beitreten dürfen.

ZeroTier entschlüsselt Ihren Traffic nicht auf öffentlichen Controllern.

Hinweis: Betreiben Sie Ihren eigenen Controller/Moons für volle Unabhängigkeit.

Schnelle Einrichtung (Server, Desktop)

1. Konto und Netzwerk unter https://my.zerotier.com erstellen.

2. Notieren Sie die Netzwerk-ID (z.B. 8056c2e21c000001).

3. Client auf Linux-Server oder VPS installieren:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

4. Im Web-Interface den neuen Knoten autorisieren (Schalter Auth? umlegen).

5. Interne IPs mit zerotier-cli listnetworks prüfen.

Fertig.

ZeroTier auf MikroTik installieren (RouterOS 7.5+)

MikroTik stellt ein offizielles ZeroTier-Paket für RouterOS 7.x bereit.

Schritte:

1. Passendes zerotier-7.x-<arch>.npk von mikrotik.com herunterladen.
2. .npk in die Router-Dateien hochladen und Gerät neu starten.
3. ZeroTier-Schnittstelle anlegen und Netzwerk beitreten:

/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print

4. MikroTik im ZeroTier-Web-Interface genehmigen.

Wenn status connected zeigt, ist der Router im Tailnet.

Tipp: ZeroTier-Paket nach RouterOS-Upgrades aktuell halten.

Lokale Subnetze bewerben und routen

Möchten Sie Geräte im lokalen LAN über ZeroTier erreichbar machen, fügen Sie Routing- oder NAT-Regeln hinzu.

Option A — LAN routen (bevorzugt, wenn möglich)

Auf dem MikroTik das lokale Subnetz durch Routing und Weiterleitung anmelden:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Dann ZeroTier-Peers die Route bekannt machen (über den Controller bewerben oder in Einstellungen akzeptieren).

Option B — dst-nat für spezifischen Dienst (eng und sicher)

Eine ZeroTier-IP/Port auf ein internes Gerät abbilden:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Von anderen Peers erreichbar unter http://<zerotier-ip>:8081.

Warnung: Nur nötige Dienste freigeben. Keine breite Routenfreigabe ohne strenge Zugriffssteuerung.

Nützliche Betriebshinweise

• Nicht überlappende private Subnetze für Standort-LANs wählen, um Routing-Konflikte zu vermeiden.
• Beschreibende Namen in der ZeroTier-Konsole verwenden, um Router zu identifizieren.
• Knoten mit Tags und ACLs gruppieren für einfachere Zugriffskontrolle.
• zerotier-cli und RouterOS-Logs zur Fehlerdiagnose überwachen.

Häufige Probleme und Lösungen

• Knoten bleibt bei REQUESTING_CONFIGURATION hängen: Prüfen, ob Controller erreichbar und Knoten autorisiert ist.
• Kein Peer-to-Peer-Weg: DERP-Relays übernehmen die Verbindung; Leistung prüfen und ggf. eigene Moons betreiben.
• IP-Konflikt mit lokalem LAN: ZeroTier-IP-Bereich oder lokales LAN anpassen.

Vergleich mit anderen Lösungen

Wann ZeroTier wählen

• Schnelles, unkompliziertes Mesh über viele Geräte gewünscht.
• Geräte hinter CGNAT ohne öffentliche IPs erreichbar sein müssen.
• Hybridlösung mit Peer-to-Peer, optionalen Relays und einfacher UI benötigt.

Für strikte, identitätsbasierte ACLs mit Konzern-SSO empfiehlt sich Tailscale.

Wie MKController hilft: Für Teams mit großen MikroTik-Fleets zentralisiert MKController NATCloud den Remote-Zugriff und die Überwachung — weniger Netzwerkaufwand je Gerät, dabei Governance und Übersicht behalten.

Fazit

ZeroTier reduziert erheblich den Aufwand für Fernverwaltung.

Schnell, sicher und passend für gemischte Umgebungen.

Mit wenigen RouterOS-Befehlen verbinden Sie MikroTik sicher und erreichen lokale Dienste.

Klein anfangen: Router autorisieren, einen Dienst freigeben, dann Routen und ACLs erweitern.

Über MKController

Wir hoffen, die obigen Einblicke helfen Ihnen, Ihr MikroTik- und Internet-Setup besser zu navigieren! 🚀
Ob Feineinstellungen oder Ordnung im Netzwerkchaos, MKController macht Ihr Leben einfacher.

Mit zentralem Cloud-Management, automatischen Sicherheitsupdates und einem Dashboard, das jeder beherrscht, haben wir, was Ihre Abläufe upgraden kann.

👉 Starten Sie jetzt Ihre kostenlose 3-Tage-Testversion auf mkcontroller.com – und erleben Sie mühelose Netzwerksteuerung.