Gestiona tu Mikrotik con ZeroTier fácilmente

Resumen
ZeroTier crea una LAN virtual segura de punto a punto que permite acceder a dispositivos MikroTik remotos sin IPs públicas ni VPNs complejas. Esta guía cubre instalación, integración, enrutamiento y consejos operativos.

Gestión remota de MikroTik con ZeroTier

ZeroTier es como una LAN que se extiende por todo el planeta.

Construye enlaces cifrados entre pares y asigna a cada miembro una IP interna.

Sin IPs públicas.
Sin complicados redireccionamientos.
Sin infraestructura PKI pesada.

Esta guía muestra pasos prácticos para integrar MikroTiks en una red ZeroTier y exponer servicios locales de forma segura.

¿Qué es ZeroTier?

ZeroTier es una plataforma de redes virtuales — mezcla de VPN, P2P y SD-WAN.

Crea una interfaz virtual (usualmente zt0) en cada nodo.

Los nodos se unen a la red mediante un Network ID.

Los miembros reciben IPs privadas y se comunican de forma segura.

Los servidores Planet/Moon solo ayudan en el descubrimiento.

El tráfico es punto a punto siempre que sea posible.

Cómo funciona ZeroTier (breve)

• Controlador (Network): creas y gestionas redes en my.zerotier.com o en tu propio controlador.
• Pares: dispositivos que ejecutan el cliente ZeroTier y se unen a la red.
• Planet/Moons: servicios de descubrimiento/relay (públicos o autoalojados).

ZeroTier maneja automáticamente el paso a través de NAT.

Autenticación: el admin aprueba nuevos pares en la consola web.

Modelo de seguridad

ZeroTier usa criptografía moderna (Curve25519, claves efímeras autenticadas).

Cada nodo tiene un par de claves y una dirección única de 40 bits similar a hardware.

Los admins controlan qué pares pueden unirse.

ZeroTier no descifra tu tráfico en controladores públicos.

Nota: Aloja tu propio controlador/moons para independencia total.

Configuración rápida (servidor, escritorio)

1. Crea una cuenta y red en https://my.zerotier.com.

2. Anota el ID de red (ejemplo: 8056c2e21c000001).

3. Instala el cliente en servidor Linux o VPS:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

4. En la consola web, autoriza el nuevo nodo (activa el interruptor Auth?).

5. Confirma las IP internas con zerotier-cli listnetworks.

Sencillo.

Instalar ZeroTier en MikroTik (RouterOS 7.5+)

MikroTik ofrece un paquete oficial de ZeroTier para RouterOS 7.x.

Pasos:

1. Descarga el .npk correspondiente zerotier-7.x-<arch>.npk desde mikrotik.com.
2. Súbelo a los archivos del router y reinicia el dispositivo.
3. Crea la interfaz ZeroTier y únete a la red:

/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print

4. Aprueba el MikroTik en la consola web de ZeroTier.

Cuando status muestre connected, el router está en la Tailnet.

Consejo: Mantén el paquete ZeroTier actualizado tras cada actualización de RouterOS.

Anunciar y enrutar subredes locales

Si quieres que dispositivos en la LAN del router sean accesibles vía ZeroTier, añade reglas de enrutamiento o NAT.

Opción A — Enrutar la LAN (preferido si es posible)

En MikroTik, anuncia la subred local añadiendo una ruta y permitiendo el reenvío:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Luego, asegúrate que los pares ZeroTier conozcan la ruta (se anuncia vía controlador o se acepta en ajustes).

Opción B — dst-nat a un servicio específico (más limitado y seguro)

Mapea una IP/puerto ZeroTier a un host interno:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Accédele desde otro par usando http://<zerotier-ip>:8081.

Advertencia: Exponer solo los servicios necesarios. Evita abrir rutas amplias salvo que controles estrictamente el acceso.

Consejos operativos útiles

• Elige subredes privadas sin solapamientos para evitar conflictos de enrutamiento.
• Usa nombres descriptivos en la consola ZeroTier para identificar routers.
• Agrupa nodos con etiquetas y ACLs para simplificar el control de acceso.
• Monitorea la salida de zerotier-cli y logs de RouterOS para problemas de conexión.

Solución de problemas comunes

• Nodo atascado en REQUESTING_CONFIGURATION: Verifica que el controlador sea accesible y el nodo esté autorizado.
• Sin ruta peer-to-peer: Los relays DERP proxifican el tráfico; revisa desempeño y considera moons autoalojados.
• Conflicto IP con LAN local: Cambia el rango asignado por ZeroTier o la LAN local.

Comparación con otras soluciones

Cuándo elegir ZeroTier

• Necesitas una malla rápida y sin fricciones para muchos dispositivos.
• Debes llegar a dispositivos detrás de CGNAT sin asignar IPs públicas.
• Quieres un híbrido — punto a punto con relays opcionales y UI amigable.

Si requieres ACLs estrictas basadas en identidad con SSO corporativo, considera Tailscale.

Dónde MKController ayuda: Para equipos con grandes flotas MikroTik, MKController NATCloud centraliza acceso remoto y monitoreo — reduciendo tareas por dispositivo y manteniendo gobernanza y observabilidad.

Conclusión

ZeroTier reduce mucho la fricción en gestión remota.

Es rápido, seguro y apto para entornos mixtos.

Con unos comandos RouterOS conectas un MikroTik y accedes a servicios internos con seguridad.

Empieza con poco: autoriza un router, expone un servicio y luego amplía rutas y ACLs.

Sobre MKController

¡Esperamos que estas ideas te hayan ayudado a manejar mejor tu MikroTik y tu red! 🚀
Ya sea que ajustes configuraciones o busques ordenar el caos de la red, MKController está aquí para simplificar tu trabajo.

Con gestión centralizada en la nube, actualizaciones automáticas de seguridad y un panel intuitivo, tenemos lo necesario para mejorar tu operación.

👉 Inicia tu prueba gratis de 3 días ahora en mkcontroller.com — y descubre lo que es el control de red sin complicaciones.