Zum Inhalt springen
MKController Blog
InstagramYouTubeFacebook

Remote Access

Remote-MikroTik-Verwaltung mit ZeroTier

Mit ZeroTier auf RouterOS 7.5+ baust du ein P2P-Virtual-LAN, das MikroTiks hinter CGNAT oder NAT ohne öffentliche IPs oder Portfreigaben erreicht.

MKController5 min read

Zusammenfassung ZeroTier baut ein sicheres Peer-to-Peer-Virtual-LAN, das MikroTik-Router über das Internet erreichbar macht — ohne öffentliche IPs, ohne Portfreigaben und ohne PKI, die gepflegt werden muss. RouterOS 7.5+ liefert ein offizielles ZeroTier-Paket; dieser Leitfaden behandelt die Installation auf dem MikroTik, den Netzwerkaufbau auf my.zerotier.com, das Ankündigen des LAN-Subnetzes, NAT für eine schmale Dienstfreigabe sowie die operativen Tipps, die ein ZeroTier-Deployment über mehrere Standorte handhabbar halten.

Wie ermöglicht ZeroTier die Remote-Verwaltung eines MikroTik?

ZeroTier ist eine virtuelle Netzwerkplattform, die VPN-, Peer-to-Peer-Mesh- und SD-WAN-Eigenschaften in einem Overlay vereint. Jeder Knoten betreibt einen ZeroTier-Client, der ein virtuelles Interface erzeugt (typischerweise zt0 unter Linux, zt1 auf dem MikroTik), einem über eine Network ID identifizierten Netz beitritt und eine private IP aus diesem Netz erhält. Peers kommunizieren direkt, wenn es die Netzwerkbedingungen erlauben; öffentliche „planet”- und „moon”-Server helfen bei der Erkennung und relayen Traffic, wenn keine direkten Pfade möglich sind. Aus MikroTik-Sicht macht ZeroTier jeden Router im Tailnet zum Mitglied eines flachen virtuellen LANs mit automatischer NAT-Durchquerung — ohne öffentliche IPs, ohne Portfreigaben, ohne Schlüsselverwaltung pro Gerät.

Für MikroTik-Flotten sind die Stärken Geschwindigkeit der Inbetriebnahme und operative Einfachheit: Paket installieren, einer Network ID beitreten, in der Admin-Konsole freigeben — der Router ist erreichbar. Die Kehrseiten sind die Abhängigkeit von der ZeroTier-Control-Plane (oder eigenen selbst betriebenen Moons für volle Unabhängigkeit) und eine weniger granulare identitätsbasierte ACL-Steuerung als bei Tailscale. Zur nah verwandten Tailscale-Alternative siehe unsere Tailscale-Anleitung.

ZeroTier-Architektur

  • Controller (Network) — angelegt und verwaltet auf my.zerotier.com oder über einen selbst gehosteten Controller.
  • Peers — Geräte mit ZeroTier-Client, die dem Netzwerk beigetreten sind.
  • Planet / Moons — öffentliche oder selbst gehostete Erkennungs- und Relay-Helfer.

NAT-Durchquerung läuft automatisch. Die Authentifizierung erfolgt, wenn der Admin neue Peers in der Web-Konsole bestätigt. ZeroTier entschlüsselt keinen Traffic auf öffentlichen Controllern — die Verschlüsselung ist Ende-zu-Ende mit moderner Kryptographie (Curve25519, authentifizierte ephemere Schlüssel), und jeder Knoten hat ein eindeutiges Schlüsselpaar plus eine 40-Bit-„Hardware-ähnliche” Adresse. Hoste Controller und Moons selbst, wenn du volle operative Unabhängigkeit brauchst.

Schritt 1: ZeroTier-Netzwerk anlegen

  1. https://my.zerotier.com öffnen und anmelden (oder Konto anlegen).
  2. Ein neues Netzwerk anlegen.
  3. Die Network ID notieren — ein 16-stelliger Hex-String (z. B. 8056c2e21c000001).

Schritt 2: Schnellaufbau auf einem Server oder Arbeitsplatz

Den ZeroTier-Client auf einem Linux-Server oder VPS installieren, um das Netzwerk zu validieren:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

In der Web-Konsole den neuen Knoten autorisieren (den Auth?-Toggle umlegen). Die zugewiesene ZeroTier-IP mit zerotier-cli listnetworks bestätigen. Damit ist der erste Peer aktiv.

Schritt 3: ZeroTier auf dem MikroTik installieren (RouterOS 7.5+)

MikroTik liefert ein offizielles ZeroTier-Paket für RouterOS 7.x:

  1. Passendes zerotier-7.x-<arch>.npk von mikrotik.com herunterladen.
  2. Die .npk auf den Router laden (im Files-Fenster via Winbox ablegen) und neu starten.
  3. Das ZeroTier-Interface anlegen und dem Netz beitreten:
/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print
  1. Den MikroTik in der ZeroTier-Web-Konsole bestätigen (den Auth?-Toggle umlegen).

Sobald status connected zeigt, ist der Router im Tailnet. Halte das ZeroTier-Paket nach jedem RouterOS-Upgrade aktuell — die beiden Versionsstränge sind unabhängig, und ein Rückstand auf einer Seite verursacht stille Konnektivitätsprobleme.

Schritt 4: Lokale Subnetze ankündigen und routen

Damit Geräte im LAN des Routers per ZeroTier erreichbar werden, wähle zwischen dem Routen des gesamten Subnetzes und einer schmalen Freigabe einzelner Dienste.

Option A: das LAN routen (bevorzugt, wenn möglich)

Auf dem MikroTik das lokale Subnetz über ZeroTier ankündigen und Forwarding erlauben:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 \
    dst-address=!192.168.88.0/24 action=accept

Anschließend die angekündigte Route in der ZeroTier-Admin-Konsole akzeptieren, damit andere Peers sie lernen.

Option B: dst-nat eines konkreten Dienstes (schmal und sicher)

Einen Port auf der ZeroTier-Seite auf einen internen Host abbilden:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Zugriff von einem anderen Peer über http://<zerotier-ip>:8081. Verwende Option B, wenn du nicht das gesamte Subnetz exponieren willst, sondern nur bestimmte erreichbare Dienste.

Operative Tipps

  • Wähle nicht überlappende private Subnetze für die LANs der Standorte, um Routing-Konflikte zu vermeiden, wenn mehrere Standorte demselben Tailnet beitreten.
  • Verwende sprechende Namen in der ZeroTier-Konsole, um zu sehen, welcher Router welcher ist.
  • Gruppiere Knoten mit Tags und ACLs, damit die Zugriffskontrolle mit wachsender Flotte einfach bleibt.
  • Beobachte die Ausgabe von zerotier-cli und die RouterOS-Logs bei Verbindungsproblemen — relayter Traffic zeigt sich klar in den Metriken.

Häufige Probleme beheben

  • Knoten hängt bei REQUESTING_CONFIGURATION — prüfe, ob der Controller vom Router erreichbar ist und der Knoten autorisiert wurde.
  • Kein Peer-to-Peer-Pfad — Relays leiten Traffic über planet/moons weiter; prüfe die Performance und erwäge eigene Moons für geringe Latenzanforderungen.
  • IP-Konflikt mit dem lokalen LAN — entweder den von ZeroTier vergebenen IP-Bereich oder das lokale LAN-Subnetz ändern.

Vergleich mit anderen VPN-Optionen

LösungÖffentliche IP nötigEinrichtungAm besten für
ZeroTierNeinSehr einfachSchnelles Mesh, Geräte hinter NAT/CGNAT
TailscaleNeinSehr einfachIdentitätsbasierte Control Planes, Teams
WireGuard (manuell)ManchmalMittelHohe Performance, DIY-Setups
OpenVPN / IPsecManchmalKomplexLegacy-Kompatibilität, PKI-Kontrolle

Für die WireGuard-Seite dieses Vergleichs siehe unsere Anleitung zur Fernverwaltung mit WireGuard; für das OpenVPN-Muster die OpenVPN-Anleitung.

Wann ZeroTier wählen

Wähle ZeroTier, wenn du ein schnelles, reibungsarmes Mesh über viele Geräte brauchst, wenn du Geräte hinter CGNAT erreichen musst, ohne öffentliche IPs bereitzustellen, oder wenn du einen Hybriden willst — Peer-to-Peer mit optionalen Relays und einer freundlichen Admin-UI. Wenn strenge identitätsbasierte ACLs an Corporate-SSO wichtiger sind, passt Tailscale besser.

Mach den nächsten Schritt

ZeroTier senkt die Reibung der Fernverwaltung deutlich — schnell, sicher und gut geeignet für gemischte Umgebungen. Ein paar RouterOS-Befehle verbinden einen MikroTik mit einem Tailnet und erreichen interne Dienste sicher. Fang klein an: einen Router autorisieren, einen Dienst freigeben, dann Routen und ACLs ausbauen.

Für Teams, die größere MikroTik-Flotten verwalten, zentralisiert NATCloud von MKController Remote-Zugriff und Monitoring vieler Geräte in einem Dashboard — weniger Netzwerkarbeit pro Gerät, bei konsistentem Governance- und Observability-Setup.

Starte deine kostenlose MKController-Testphase