Remote Access
Gestión Remota de MikroTik con ZeroTier
Usa ZeroTier en RouterOS 7.5+ para crear una LAN virtual P2P que alcanza MikroTiks tras CGNAT o NAT sin IP pública ni port forwarding.
Resumen ZeroTier construye una LAN virtual peer-to-peer segura que hace alcanzables los routers MikroTik a través de internet sin IPs públicas, sin port forwarding y sin PKI que mantener. RouterOS 7.5+ trae un paquete oficial de ZeroTier; esta guía cubre la instalación en MikroTik, la configuración de la red en my.zerotier.com, el anuncio de la subred LAN, el NAT para una exposición estrecha de servicios y los consejos operativos que mantienen manejable un despliegue ZeroTier multi-sitio.
¿Cómo permite ZeroTier la gestión remota de MikroTik?
ZeroTier es una plataforma de red virtual que combina rasgos de VPN, malla peer-to-peer y SD-WAN en un único overlay. Cada nodo ejecuta un cliente ZeroTier que crea una interfaz virtual (típicamente zt0 en Linux, zt1 en MikroTik), se une a una red identificada por un Network ID y recibe una IP privada de esa red. Los peers se comunican directamente cuando las condiciones de red lo permiten; los servidores públicos “planet” y “moon” ayudan con el descubrimiento y hacen relay del tráfico cuando no hay caminos directos posibles. Desde la óptica del MikroTik, ZeroTier convierte cada router de la Tailnet en miembro de una LAN virtual plana con NAT traversal automático — sin IPs públicas, sin port forwarding, sin gestionar claves por dispositivo.
Para flotas MikroTik, las fortalezas son la velocidad de despliegue y la simplicidad operativa: instala el paquete, únete a un Network ID, aprueba en la consola admin y el router queda accesible. Los compromisos son la dependencia del plano de control de ZeroTier (o de tus propios moons autohospedados para independencia total) y un control de ACL basado en identidad menos granular que el de Tailscale. Para la alternativa cercana de Tailscale, consulta nuestra guía de Tailscale.
Arquitectura de ZeroTier
- Controller (Network) — creado y gestionado en
my.zerotier.como vía un controller autohospedado. - Peers — dispositivos que ejecutan el cliente ZeroTier y se han unido a la red.
- Planet / Moons — ayudantes públicos o autohospedados de descubrimiento y relay.
El NAT traversal es automático. La autenticación ocurre cuando el administrador aprueba nuevos peers en la consola web. ZeroTier no descifra tráfico en los controllers públicos — el cifrado es de extremo a extremo con cripto moderna (Curve25519, claves efímeras autenticadas), y cada nodo tiene un par de claves único más una dirección de 40 bits estilo hardware. Autohospeda los controllers y moons si necesitas independencia operativa plena.
Paso 1: Crea la red ZeroTier
- Abre
https://my.zerotier.come inicia sesión (o crea una cuenta). - Crea una red nueva.
- Anota el Network ID — una cadena hexadecimal de 16 caracteres (por ejemplo,
8056c2e21c000001).
Paso 2: Configuración rápida en un servidor o estación
Instala el cliente ZeroTier en un servidor Linux o VPS para validar la red:
curl -s https://install.zerotier.com | sudo bashsudo zerotier-cli join 8056c2e21c000001sudo zerotier-cli listnetworksEn la consola web, autoriza el nuevo nodo (activa el toggle Auth?). Confirma la IP ZeroTier asignada con zerotier-cli listnetworks. Eso establece el primer peer.
Paso 3: Instala ZeroTier en MikroTik (RouterOS 7.5+)
MikroTik proporciona un paquete oficial de ZeroTier para RouterOS 7.x:
- Descarga el
zerotier-7.x-<arch>.npkcorrespondiente desdemikrotik.com. - Sube el
.npkal router (arrástralo a la ventana Files vía Winbox) y reinicia. - Crea la interfaz ZeroTier y únete a la red:
/interface zerotier add name=zt1 network=8056c2e21c000001/interface zerotier print- Aprueba el MikroTik en la consola web de ZeroTier (activa el toggle Auth?).
Cuando status aparece como connected, el router está en la Tailnet. Mantén el paquete ZeroTier actualizado después de cada upgrade de RouterOS — las dos cadenas de versiones son independientes y quedarse atrás en cualquiera de ellas provoca problemas de conectividad silenciosos.
Paso 4: Anuncia y enruta subredes locales
Para que los dispositivos de la LAN del router sean alcanzables a través de ZeroTier, elige entre enrutar la subred entera o exponer servicios concretos de forma estrecha.
Opción A: enrutar la LAN (preferida cuando es posible)
En el MikroTik, anuncia la subred local vía ZeroTier y permite el forwarding:
/ip route add dst-address=192.168.88.0/24 gateway=zt1/ip firewall filter add chain=forward src-address=192.168.88.0/24 \ dst-address=!192.168.88.0/24 action=acceptDespués, acepta la ruta anunciada en la consola admin de ZeroTier para que los demás peers la aprendan.
Opción B: dst-nat a un servicio concreto (estrecho y seguro)
Mapea un puerto del lado ZeroTier a un único host interno:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.10 to-ports=80Accede desde otro peer vía http://<zerotier-ip>:8081. Usa la Opción B cuando no quieras exponer toda la subred, solo servicios específicos alcanzables.
Consejos operativos
- Elige subredes privadas que no se solapen para las LAN de cada sitio y así evitar conflictos de enrutamiento cuando varios sitios se unan a la misma Tailnet.
- Usa nombres descriptivos en la consola de ZeroTier para identificar qué router es cuál.
- Agrupa nodos con tags y ACLs para un control de acceso más simple a medida que crece la flota.
- Monitoriza la salida de
zerotier-cliy los logs de RouterOS ante problemas de conexión — el tráfico relayado aparece claramente en las métricas.
Solución de problemas habituales
- Nodo atascado en
REQUESTING_CONFIGURATION— verifica que el controller sea alcanzable desde el router y que el nodo esté autorizado. - Sin camino peer-to-peer — los relays harán proxy del tráfico vía planet/moons; revisa el rendimiento y considera moons autohospedados para requisitos de baja latencia.
- Conflicto de IP con la LAN local — cambia el rango de IPs asignado por ZeroTier o la subred de la LAN local.
Comparación con otras opciones de VPN
| Solución | IP pública necesaria | Facilidad | Mejor para |
|---|---|---|---|
| ZeroTier | No | Muy fácil | Mesh rápido, dispositivos tras NAT/CGNAT |
| Tailscale | No | Muy fácil | Planos de control por identidad, equipos |
| WireGuard (manual) | A veces | Moderada | Alto rendimiento, montajes DIY |
| OpenVPN / IPsec | A veces | Compleja | Compatibilidad legada, control de PKI |
Para el lado WireGuard de esta comparación, consulta nuestra guía de gestión remota con WireGuard; para el patrón OpenVPN, la guía OpenVPN.
Cuándo elegir ZeroTier
Elige ZeroTier cuando necesites una malla rápida y de baja fricción entre muchos dispositivos, cuando tengas que alcanzar dispositivos tras CGNAT sin aprovisionar IPs públicas, o cuando quieras un híbrido — peer-to-peer con relays opcionales y una UI admin amigable. Si las ACLs estrictas basadas en identidad ligadas al SSO corporativo importan más, Tailscale es el mejor encaje.
Da el siguiente paso
ZeroTier reduce drásticamente la fricción de la gestión remota — rápido, seguro y bien adecuado a entornos mixtos. Unos pocos comandos de RouterOS conectan un MikroTik a una Tailnet y alcanzan servicios internos con seguridad. Empieza con poco: autoriza un router, expón un servicio y luego amplía rutas y ACLs.
Para equipos que gestionan flotas MikroTik más grandes, NATCloud de MKController centraliza el acceso remoto y la monitorización de muchos dispositivos en un único panel, reduciendo el trabajo de red por dispositivo y manteniendo gobierno y observabilidad consistentes.