Remote Access
Gestion à distance MikroTik avec ZeroTier
Utilisez ZeroTier sur RouterOS 7.5+ pour bâtir un LAN virtuel P2P qui atteint les MikroTik derrière CGNAT ou NAT sans IP publique ni port forwarding.
Résumé ZeroTier construit un LAN virtuel peer-to-peer sécurisé qui rend les routeurs MikroTik joignables à travers Internet sans IP publiques, sans port forwarding et sans PKI à maintenir. RouterOS 7.5+ embarque un paquet ZeroTier officiel ; ce guide couvre l’installation sur le MikroTik, la mise en place du réseau sur my.zerotier.com, l’annonce du sous-réseau LAN, le NAT pour une exposition étroite des services et les conseils opérationnels qui rendent gérable un déploiement ZeroTier multi-sites.
Comment ZeroTier permet-il la gestion distante d’un MikroTik ?
ZeroTier est une plateforme de réseau virtuel qui mélange les traits du VPN, du mesh peer-to-peer et du SD-WAN dans un seul overlay. Chaque nœud exécute un client ZeroTier qui crée une interface virtuelle (typiquement zt0 sous Linux, zt1 sur MikroTik), rejoint un réseau identifié par un Network ID et reçoit une IP privée de ce réseau. Les peers communiquent en direct quand les conditions réseau le permettent ; les serveurs publics « planet » et « moon » aident à la découverte et relayent le trafic quand les chemins directs ne sont pas possibles. Du point de vue MikroTik, ZeroTier transforme chaque routeur du Tailnet en membre d’un LAN virtuel plat avec traversée de NAT automatique — sans IP publiques, sans port forwarding, sans gestion de clés par équipement.
Pour les parcs MikroTik, les points forts sont la vitesse de déploiement et la simplicité opérationnelle : installez le paquet, rejoignez un Network ID, approuvez dans la console admin et le routeur est joignable. Les contreparties sont la dépendance au plan de contrôle ZeroTier (ou à vos propres moons auto-hébergés pour une indépendance totale) et un contrôle ACL basé identité moins granulaire que Tailscale. Pour l’alternative très proche qu’est Tailscale, voyez notre guide Tailscale.
Architecture ZeroTier
- Controller (Network) — créé et géré sur
my.zerotier.comou via un controller auto-hébergé. - Peers — équipements exécutant le client ZeroTier ayant rejoint le réseau.
- Planet / Moons — assistants publics ou auto-hébergés pour la découverte et le relais.
La traversée de NAT est automatique. L’authentification se fait quand l’admin approuve de nouveaux peers dans la console web. ZeroTier ne déchiffre pas le trafic sur les controllers publics — le chiffrement est de bout en bout avec de la cryptographie moderne (Curve25519, clés éphémères authentifiées), et chaque nœud dispose d’une paire de clés unique plus une adresse 40 bits façon matérielle. Auto-hébergez controllers et moons s’il vous faut une indépendance opérationnelle totale.
Étape 1 : Créez le réseau ZeroTier
- Ouvrez
https://my.zerotier.comet connectez-vous (ou créez un compte). - Créez un nouveau réseau.
- Notez le Network ID — une chaîne hexadécimale de 16 caractères (par exemple
8056c2e21c000001).
Étape 2 : Mise en place rapide sur un serveur ou un poste
Installez le client ZeroTier sur un serveur Linux ou un VPS pour valider le réseau :
curl -s https://install.zerotier.com | sudo bashsudo zerotier-cli join 8056c2e21c000001sudo zerotier-cli listnetworksDans la console web, autorisez le nouveau nœud (basculez le toggle Auth?). Confirmez l’IP ZeroTier attribuée avec zerotier-cli listnetworks. Vous avez votre premier peer.
Étape 3 : Installez ZeroTier sur le MikroTik (RouterOS 7.5+)
MikroTik fournit un paquet ZeroTier officiel pour RouterOS 7.x :
- Téléchargez le
zerotier-7.x-<arch>.npkcorrespondant depuismikrotik.com. - Envoyez le
.npksur le routeur (déposez-le dans la fenêtre Files via Winbox) et redémarrez. - Créez l’interface ZeroTier et rejoignez le réseau :
/interface zerotier add name=zt1 network=8056c2e21c000001/interface zerotier print- Approuvez le MikroTik dans la console web ZeroTier (basculez le toggle Auth?).
Quand status passe à connected, le routeur est dans le Tailnet. Tenez le paquet ZeroTier à jour après chaque upgrade RouterOS — les deux chaînes de versions sont indépendantes, et un retard sur l’une provoque des soucis de connectivité silencieux.
Étape 4 : Annoncez et routez les sous-réseaux locaux
Pour que les équipements du LAN du routeur soient joignables via ZeroTier, choisissez entre router le sous-réseau entier ou exposer étroitement des services précis.
Option A : router le LAN (à privilégier quand possible)
Sur le MikroTik, annoncez le sous-réseau local via ZeroTier et autorisez le forwarding :
/ip route add dst-address=192.168.88.0/24 gateway=zt1/ip firewall filter add chain=forward src-address=192.168.88.0/24 \ dst-address=!192.168.88.0/24 action=acceptPuis acceptez la route annoncée dans la console admin ZeroTier pour que les autres peers l’apprennent.
Option B : dst-nat d’un service précis (étroit et sûr)
Faites correspondre un port côté ZeroTier à un hôte interne :
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.10 to-ports=80Accès depuis un autre peer via http://<zerotier-ip>:8081. Utilisez l’Option B quand vous ne voulez pas exposer tout le sous-réseau, juste des services précis joignables.
Conseils opérationnels
- Choisissez des sous-réseaux privés non chevauchants pour les LAN de chaque site afin d’éviter les conflits de routage quand plusieurs sites rejoignent le même Tailnet.
- Utilisez des noms descriptifs dans la console ZeroTier pour repérer quel routeur est lequel.
- Groupez les nœuds avec des tags et des ACLs pour simplifier le contrôle d’accès quand le parc grandit.
- Surveillez la sortie de
zerotier-cliet les logs RouterOS pour les soucis de connexion — le trafic relayé apparaît clairement dans les métriques.
Dépannage des problèmes courants
- Nœud bloqué à
REQUESTING_CONFIGURATION— vérifiez que le controller est joignable depuis le routeur et que le nœud est autorisé. - Pas de chemin peer-to-peer — les relais vont proxifier le trafic via planet/moons ; vérifiez les performances et envisagez des moons auto-hébergés pour les besoins de faible latence.
- Conflit d’IP avec le LAN local — changez la plage d’IP attribuée par ZeroTier ou le sous-réseau du LAN local.
Comparaison avec d’autres options VPN
| Solution | IP publique requise | Facilité | Idéal pour |
|---|---|---|---|
| ZeroTier | Non | Très simple | Mesh rapide, équipements derrière NAT/CGNAT |
| Tailscale | Non | Très simple | Plans de contrôle par identité, équipes |
| WireGuard (manuel) | Parfois | Modérée | Hautes performances, montages DIY |
| OpenVPN / IPsec | Parfois | Complexe | Compatibilité héritée, contrôle PKI |
Pour le pendant WireGuard de cette comparaison, voyez notre guide de gestion distante WireGuard ; pour le pattern OpenVPN, le guide OpenVPN.
Quand choisir ZeroTier
Choisissez ZeroTier quand vous avez besoin d’un mesh rapide et peu friction à travers de nombreux équipements, quand il faut atteindre des équipements derrière du CGNAT sans provisionner d’IP publiques, ou quand vous voulez un hybride — peer-to-peer avec relais optionnels et une UI admin agréable. Si des ACL strictes basées identité reliées au SSO d’entreprise comptent davantage, Tailscale est le meilleur choix.
Passez à la suite
ZeroTier réduit drastiquement la friction de la gestion distante — rapide, sûr et bien adapté aux environnements mixtes. Quelques commandes RouterOS connectent un MikroTik à un Tailnet et atteignent les services internes en toute sécurité. Commencez petit : autorisez un routeur, exposez un service, puis étendez routes et ACLs.
Pour les équipes qui gèrent de plus grands parcs MikroTik, NATCloud de MKController centralise l’accès distant et la supervision de nombreux équipements dans un seul tableau de bord, réduisant le travail réseau par équipement tout en gardant gouvernance et observabilité cohérentes.