Aller au contenu
Blog

Gérer votre MikroTik avec ZeroTier facilement

Résumé
ZeroTier crée un LAN virtuel sécurisé en peer-to-peer permettant d’accéder aux appareils MikroTik sans IP publique ni VPN complexe. Ce guide couvre l’installation, l’intégration MikroTik, le routage des sous-réseaux et des conseils pratiques.

Gestion distante des MikroTik avec ZeroTier

ZeroTier ressemble à un LAN étendu à l’échelle mondiale.

Il crée des liens chiffrés peer-to-peer et attribue à chaque membre une IP interne.

Pas d’IP publique.
Pas de redirections de ports compliquées.
Pas de PKI lourde.

Ce guide montre les étapes pratiques pour intégrer vos MikroTik à un réseau ZeroTier et exposer localement des services en toute sécurité.

Qu’est-ce que ZeroTier ?

ZeroTier est une plateforme de réseau virtuel — un mélange de VPN, P2P et SD-WAN.

Il crée une interface virtuelle (généralement zt0) sur chaque nœud.

Les nœuds rejoignent un réseau via un identifiant réseau.

Chaque membre reçoit une IP privée et communique de façon sécurisée.

Les serveurs planet/moons assistent uniquement la découverte.

Le trafic est peer-to-peer quand c’est possible.

Fonctionnement de ZeroTier (en bref)

  • Contrôleur (Réseau) : vous créez et gérez vos réseaux sur my.zerotier.com ou via votre propre contrôleur.
  • Pairs : appareils qui exécutent le client ZeroTier et rejoignent le réseau.
  • Planet/Moons : facilitateurs de découverte et relais (publics ou auto-hébergés).

ZeroTier gère automatiquement le contournement du NAT.

Authentification : l’administrateur approuve les nouveaux pairs via la console web.

Modèle de sécurité

ZeroTier utilise une cryptographie moderne (Curve25519, clés éphémères authentifiées).

Chaque nœud possède une paire de clés et une adresse hardware-like 40 bits.

Les admins contrôlent les pairs autorisés à rejoindre le réseau.

ZeroTier ne déchiffre pas votre trafic sur les contrôleurs publics.

Note : Hébergez votre propre contrôleur/moons si vous souhaitez une indépendance totale.

Installation rapide (serveur, bureau)

  1. Créez un compte et un réseau sur https://my.zerotier.com.

  2. Notez l’ID Réseau (exemple : 8056c2e21c000001).

  3. Installez le client sur un serveur Linux ou VPS :

Terminal window
curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

  1. Dans la console web, autorisez le nouveau nœud (activez le bouton Auth?).

  2. Vérifiez les IP internes avec zerotier-cli listnetworks.

Simple.

Installer ZeroTier sur MikroTik (RouterOS 7.5+)

MikroTik propose un package officiel ZeroTier pour RouterOS 7.x.

Étapes :

  1. Téléchargez le fichier zerotier-7.x-<arch>.npk adapté sur mikrotik.com.
  2. Téléversez le .npk dans les fichiers du routeur et redémarrez l’appareil.
  3. Créez une interface ZeroTier et rejoignez le réseau :
/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print
  1. Validez le MikroTik dans la console ZeroTier.

Lorsque le statut indique connected, le routeur est dans le Tailnet.

Astuce : Maintenez le package ZeroTier à jour après chaque mise à jour RouterOS.

Annoncer et router les sous-réseaux locaux

Si vous souhaitez que les appareils du LAN du routeur soient accessibles via ZeroTier, ajoutez des routes ou des règles NAT.

Option A — Router le LAN (préféré si possible)

Sur le MikroTik, annoncez le sous-réseau local en créant une route et en autorisant le forwarding :

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Puis assurez-vous que les pairs ZeroTier connaissent la route (annoncée via le contrôleur ou acceptée dans les paramètres).

Option B — dst-nat d’un service spécifique (ciblé et sûr)

Mappez une IP/port ZeroTier vers un hôte interne :

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Accédez-y depuis un autre pair via http://<zerotier-ip>:8081.

Attention : N’exposez que les services nécessaires. Évitez d’ouvrir large les routes sauf si l’accès est strictement contrôlé.

Conseils utiles pour l’exploitation

  • Choisissez des sous-réseaux privés non chevauchants pour éviter les conflits de routage.
  • Utilisez des noms explicites dans la console ZeroTier pour suivre les routeurs.
  • Regroupez les nœuds avec des tags et ACL pour simplifier le contrôle d’accès.
  • Surveillez la sortie de zerotier-cli et les logs RouterOS pour détecter les problèmes de connexion.

Résolution des problèmes courants

  • Nœud bloqué sur REQUESTING_CONFIGURATION : Vérifiez la disponibilité du contrôleur et que le nœud est autorisé.
  • Pas de chemin peer-to-peer : Les relais DERP font passer le trafic ; contrôlez la performance et envisagez des moons auto-hébergés.
  • Conflit IP avec le LAN local : Changez la plage ZeroTier ou celle du LAN local.

Comparaison avec d’autres solutions

SolutionIP publique requiseFacilitéUsage recommandé
ZeroTierNonTrès facileMesh rapide, appareils distants derrière NAT
TailscaleNonTrès facileContrôle d’identité, équipes
WireGuard (manuel)ParfoisMoyennePerformances élevées, configurations artisanales
OpenVPN / IPSecParfoisComplexeCompatibilité legacy, contrôle PKI

Pourquoi choisir ZeroTier

  • Vous avez besoin d’un maillage rapide et simple entre de nombreux appareils.
  • Vous devez atteindre des appareils derrière CGNAT sans IP publique.
  • Vous souhaitez un hybride — peer-to-peer avec relays optionnels et une interface conviviale.

Si vous voulez des ACL strictes basées sur l’identité et intégrées au SSO d’entreprise, tournez-vous vers Tailscale.

Où MKController intervient : Pour les équipes gérant de grandes flottes MikroTik, MKController NATCloud centralise l’accès distant et la supervision — réduisant le travail réseau par appareil tout en assurant gouvernance et supervision.

Conclusion

ZeroTier réduit considérablement les difficultés de gestion à distance.

C’est rapide, sécurisé, et adapté aux environnements mixtes.

Avec quelques commandes RouterOS, vous connectez un MikroTik et exposez les services internes en toute sécurité.

Commencez petit : autorisez un routeur, exposez un service, puis étendez routes et ACL.

À propos de MKController

Nous espérons que ces conseils vous aideront à mieux naviguer dans l’univers de votre MikroTik et d’Internet ! 🚀
Que vous affiniez vos configurations ou cherchiez simplement à organiser votre réseau, MKController simplifie votre quotidien.

Avec une gestion cloud centralisée, des mises à jour de sécurité automatisées, et un tableau de bord accessible, nous avons ce qu’il faut pour faire évoluer votre infrastructure.

👉 Démarrez votre essai gratuit de 3 jours maintenant sur mkcontroller.com — et découvrez la maîtrise réseau sans effort.