Salta ai contenuti
Blog

Gestire il tuo MikroTik con ZeroTier in modo semplice

Sommario
ZeroTier crea una LAN virtuale sicura e peer-to-peer che rende i dispositivi MikroTik remoti raggiungibili senza IP pubblici o VPN complesse. Questa guida spiega installazione, integrazione MikroTik, routing subnet e consigli operativi.

Gestione remota di MikroTik con ZeroTier

ZeroTier è come una LAN che si estende su tutto il pianeta.

Costruisce collegamenti crittografati peer-to-peer e assegna a ogni membro un IP interno.

Niente IP pubblici.
Niente port forwarding complicati.
Niente infrastrutture PKI pesanti.

Questa guida mostra come integrare MikroTik in una rete ZeroTier e come esporre localmente i servizi in modo sicuro.

Cos’è ZeroTier?

ZeroTier è una piattaforma di rete virtuale, una combinazione di VPN, P2P e SD-WAN.

Crea un’interfaccia virtuale (di solito zt0) su ogni nodo.

I nodi entrano in una rete tramite un Network ID.

I membri ottengono IP privati e comunicano in modo sicuro.

I server Planet/moon assistono solo nella scoperta.

Il traffico è peer-to-peer quando possibile.

Come funziona ZeroTier (breve)

  • Controller (Network): crei e gestisci le reti su my.zerotier.com o sul tuo controller.
  • Peers: dispositivi che eseguono il client ZeroTier e si uniscono alla rete.
  • Planet/Moons: aiutanti per discovery/relay (pubblici o self-hosted).

ZeroTier gestisce automaticamente il NAT traversal.

Autenticazione: un admin approva i nuovi peer nella console web.

Modello di sicurezza

ZeroTier usa crittografia moderna (Curve25519, chiavi effimere autenticate).

Ogni nodo ha una coppia di chiavi e un indirizzo hardware-like a 40 bit.

Gli amministratori controllano quali peer possono entrare.

ZeroTier non decripta il traffico sui controller pubblici.

Nota: ospita il tuo controller/moons se serve indipendenza totale.

Configurazione rapida (server, desktop)

  1. Crea un account e una rete su https://my.zerotier.com.

  2. Annota il Network ID (esempio: 8056c2e21c000001).

  3. Installa il client su server Linux o VPS:

Terminal window
curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

  1. Nella console web, autorizza il nuovo nodo attivando Auth?.

  2. Verifica gli IP interni con zerotier-cli listnetworks.

Facile.

Installare ZeroTier su MikroTik (RouterOS 7.5+)

MikroTik offre un pacchetto ufficiale ZeroTier per RouterOS 7.x.

Procedura:

  1. Scarica il file zerotier-7.x-<arch>.npk corrispondente da mikrotik.com.
  2. Carica il .npk nel router e riavvia il dispositivo.
  3. Crea un’interfaccia ZeroTier e unisciti alla rete:
/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print
  1. Approva il MikroTik nella console web di ZeroTier.

Quando lo status risulta connected, il router è nel Tailnet.

Consiglio: aggiorna il pacchetto ZeroTier dopo ogni upgrade di RouterOS.

Pubblicizzare e instradare subnet locali

Per rendere accessibili i dispositivi della LAN del router tramite ZeroTier, aggiungi regole di routing o NAT.

Opzione A — Instradare la LAN (preferibile se possibile)

Nel MikroTik, annuncia la subnet locale aggiungendo un percorso e permettendo forwarding:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Assicurati che i peer ZeroTier conoscano la route (pubblicata tramite controller o accettata nelle impostazioni).

Opzione B — dst-nat di un servizio specifico (più limitato e sicuro)

Mappa IP/port ZeroTier a un host interno:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Accedi da un altro peer tramite http://<zerotier-ip>:8081.

Attenzione: Esporre solo i servizi necessari. Evita rotte ampie senza controllo stretto degli accessi.

Consigli operativi utili

  • Usa subnet private non sovrapposte nelle LAN dei siti per evitare conflitti di routing.
  • Imposta nomi descrittivi nella console ZeroTier per rintracciare i router.
  • Raggruppa nodi con tag e ACL per semplificare il controllo accessi.
  • Monitora l’output di zerotier-cli e i log di RouterOS per problemi di connessione.

Risoluzione problemi comuni

  • Nodo bloccato su REQUESTING_CONFIGURATION: Verifica che il controller sia raggiungibile e che il nodo sia autorizzato.
  • Nessun percorso peer-to-peer: I relay DERP fanno da proxy; valuta prestazioni e considera moons self-hosted.
  • Conflitto IP con LAN locale: Cambia l’intervallo assegnato da ZeroTier o la LAN locale.

Confronto con altre soluzioni

SoluzioneIP pubblico necessarioFacilitàIdeale per
ZeroTierNoMolto facileMesh veloce, dispositivi remoti dietro NAT
TailscaleNoMolto facileControllo identità, team
WireGuard (manuale)A volteModeratoSetup ad alte prestazioni, fai-da-te
OpenVPN / IPSecA volteComplessoCompatibilità legacy, controllo PKI

Quando scegliere ZeroTier

  • Hai bisogno di una mesh veloce e poco complessa su molti dispositivi.
  • Devi raggiungere dispositivi dietro CGNAT senza IP pubblici.
  • Vuoi un ibrido peer-to-peer con relay opzionali e interfaccia amichevole.

Se ti servono ACL rigide basate sull’identità e integrazione con SSO aziendale, valuta Tailscale.

Dove MKController aiuta: Per team con grandi flotte MikroTik, NATCloud centralizza accesso remoto e monitoraggio, riducendo il lavoro per dispositivo e mantenendo governance e osservabilità.

Conclusione

ZeroTier riduce drasticamente le difficoltà della gestione remota.

È rapido, sicuro e adatto a ambienti ibridi.

Con pochi comandi RouterOS puoi collegare un MikroTik e raggiungere i servizi interni in sicurezza.

Inizia in piccolo: autorizza un router, esponi un servizio, poi amplia rotte e ACL.

Informazioni su MKController

Speriamo che le indicazioni sopra ti abbiano aiutato a navigare meglio il tuo mondo MikroTik e Internet! 🚀
Che tu stia affinando configurazioni o cercando ordine nel caos di rete, MKController è qui per renderti la vita più semplice.

Con gestione cloud centralizzata, aggiornamenti di sicurezza automatici e una dashboard intuitiva, abbiamo ciò che serve per migliorare la tua operatività.

👉 Inizia la prova gratuita di 3 giorni ora su mkcontroller.com — e scopri cosa significa controllo di rete senza fatica.