Upravljanje vašim Mikrotikom preko ZeroTier mreže

Sažetak
ZeroTier stvara sigurnu, peer-to-peer virtualnu LAN mrežu koja omogućava pristup udaljenim MikroTik uređajima bez javnih IP adresa ili složenih VPN-ova. Ovaj vodič obuhvaća instalaciju, integraciju MikroTik-a, usmjeravanje podmreža i korisne operativne savjete.

Udaljeno upravljanje MikroTik uređajima putem ZeroTier-a

ZeroTier djeluje poput LAN mreže koja se proteže diljem planeta.

Uspostavlja šifrirane, peer-to-peer veze i dodjeljuje svakom članu internu IP adresu.

Nema javnih IP adresa.
Nema zamornog prosljeđivanja portova.
Nema teških PKI sustava.

Ovaj vodič prikazuje praktične korake za uključivanje MikroTik uređaja u ZeroTier mrežu i sigurno izlaganje lokalnih servisa.

Što je ZeroTier?

ZeroTier je virtualna mrežna platforma – spoj VPN-a, P2P-a i SD-WAN-a.

Na svakom čvoru stvara virtualni sučelje (obično zt0).

Čvorovi se spajaju u mrežu koristeći Network ID.

Članovi dobivaju privatne IP adrese i međusobno sigurno komuniciraju.

Planet/moon serveri služe samo za pronalazak čvorova.

Promet je peer-to-peer kad je moguće.

Kako ZeroTier radi (sažeto)

• Kontroler (mreža): kreirate i upravljate mrežama na my.zerotier.com ili vlastitom kontroleru.
• Čvorovi: uređaji koji pokreću ZeroTier klijent i pridružuju se mreži.
• Planet/Moon serveri: pomoćnici za pronalaženje i posredovanje (javni ili samostalni).

ZeroTier automatski rješava NAT traversal.

Provjera autentičnosti: administrator odobrava nove čvorove u web konzoli.

Sigurnosni model

ZeroTier koristi moderne kriptografske metode (Curve25519, autentificirane privremene ključeve).

Svaki čvor ima svoj par ključeva i 40-bitnu adresu sličnu hardverskoj.

Administratori kontroliraju koji čvorovi smiju pristupiti.

ZeroTier ne dešifrira vaš promet na javnim kontrolerima.

Napomena: Ako trebate potpunu operativnu neovisnost, koristite vlastiti kontroler i moon servere.

Brzo postavljanje (server, desktop)

1. Izradite račun i mrežu na https://my.zerotier.com.

2. Zabilježite Network ID (primjer: 8056c2e21c000001).

3. Instalirajte klijent na Linux server ili VPS:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

4. Na web konzoli autorizirajte novi čvor (uključite Auth? opciju).

5. Potvrdite interne IP adrese naredbom zerotier-cli listnetworks.

Jednostavno.

Instalacija ZeroTier na MikroTik (RouterOS 7.5+)

MikroTik nudi službeni ZeroTier paket za RouterOS 7.x.

Koraci:

1. Preuzmite odgovarajući zerotier-7.x-<arch>.npk sa mikrotik.com.
2. Prenesite .npk datoteku u router i ponovno pokrenite uređaj.
3. Kreirajte ZeroTier sučelje i pridružite mreži:

/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print

4. Odobrite MikroTik u ZeroTier web konzoli.

Kad status pokazuje connected, ruter je u Tailnet mreži.

Savjet: Održavajte ZeroTier paket ažuriranim nakon RouterOS nadogradnji.

Oglašavanje i usmjeravanje lokalnih podmreža

Ako želite da uređaji u LAN-u rutera budu dostupni preko ZeroTier-a, dodajte pravila za usmjeravanje ili NAT.

Opcija A — Usmjeravanje LAN-a (preporučeno kad je moguće)

Na MikroTiku objavite lokalnu podmrežu dodavanjem rute i pristanka za prosljeđivanje:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Zatim osigurajte da ZeroTier čvorovi znaju za ovu rutu (oglase je kontroler ili je prihvate u postavkama).

Opcija B — dst-nat za određeni servis (usko i sigurno)

Mapirajte ZeroTier IP/port na interni uređaj:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Pristupite preko drugog čvora koristeći http://<zerotier-ip>:8081.

Upozorenje: Izlažite samo potrebne servise. Izbjegavajte široko izlaganje ruta osim ako imate strogu kontrolu pristupa.

Korisni operativni savjeti

• Odaberite nepokrivajuće privatne podmreže za site LAN-ove da izbjegnete sukobe u usmjeravanju.
• Koristite opisne nazive u ZeroTier konzoli za praćenje rutera.
• Grupirajte čvorove oznakama i ACL-ovima radi jednostavnije kontrole pristupa.
• Pratite izlaz zerotier-cli i RouterOS zapise za dijagnostiku veza.

Rješavanje čestih problema

• Čvor zaglavljen na REQUESTING_CONFIGURATION: Provjerite dostupnost kontrolera i jeste li autorizirali čvor.
• Nema peer-to-peer puta: DERP releji preusmjeravaju promet; provjerite performanse i razmotrite self-hosted moon servere.
• Sukob IP adresa s lokalnim LAN-om: Promijenite ZeroTier dodjeljeni raspon ili lokalni LAN.

Usporedba s drugim rješenjima

Kada odabrati ZeroTier

• Trebate brzu, niskotržinsku mesh mrežu među mnogim uređajima.
• Morate pristupiti uređajima iza CGNAT bez javnih IP adresa.
• Želite hibridno rješenje – peer-to-peer s opcionalnim relejima i jednostavnim sučeljem.

Ako trebate stroge ACL-ove vezane uz korporativni SSO, razmotrite Tailscale.

Kako MKController pomaže: Timovima koji upravljaju velikim MikroTik flotama MKController NATCloud centralizira udaljeni pristup i nadzor — smanjujući potrebu za pojedinačnim konfiguracijama dok održava upravljanje i promatranje.

Zaključak

ZeroTier znatno smanjuje zapreke za udaljeno upravljanje.

Brz je, siguran i prilagođen mješovitim okruženjima.

S par RouterOS naredbi možete povezati MikroTik i sigurno pristupati internim servisima.

Počnite polako: autorizirajte ruter, izložite jedan servis, pa potom proširite rute i ACL-ove.

O MKController-u

Nadamo se da su vam gore navedeni savjeti pomogli bolje upravljati vašim MikroTik i internetskim okruženjem! 🚀
Bez obzira uređujete li konfiguracije ili samo pokušavate unijeti red u mrežni kaos, MKController je tu da vam život učini jednostavnijim.

S centraliziranim upravljanjem u oblaku, automatiziranim sigurnosnim nadogradnjama i nadzornom pločom koju svatko može savladati, imamo što je potrebno za nadogradnju vašeg poslovanja.

👉 Započnite besplatnu trodnevnu probu na mkcontroller.com – i uvjerite se kako izgleda jednostavna kontrola mreže.