Kaip valdyti MikroTik su ZeroTier tinklu

Santrauka
ZeroTier sukuria saugų, tiesioginį virtualų LAN tinklą, leidžiantį pasiekti MikroTik įrenginius be viešų IP ar sudėtingų VPN. Vadove aptariama diegimas, MikroTik integracija, potinklių maršrutizavimas ir eksploatavimo patarimai.

Nuotolinis MikroTik valdymas su ZeroTier

ZeroTier tarsi LAN tinklas, ištemptas po visą planetą.

Jis kuria užšifruotus tiesioginius jungtis ir suteikia kiekvienam nariui vidinį IP.

Nereikia viešų IP. Nėra sudėtingo prievadų persiuntimo. Nėra sudėtingo PKI.

Šiame vadove pateikiami praktiški žingsniai, kaip prijungti MikroTik įrenginius prie ZeroTier tinklo ir saugiai atskleisti vietines paslaugas.

Kas yra ZeroTier?

ZeroTier – tai virtualių tinklų platforma, sujungianti VPN, P2P ir SD‑WAN savybes.

Kiekviename mazge sukuria virtualų tinklo sąsają (dažniausiai zt0).

Mazgai jungiasi prie tinklo naudodami tinklo ID.

Nariai gauna privačius IP ir saugiai bendrauja.

Planetų/ mėnulio serveriai veikia tik kaip atradimo pagalba.

Srautas kuo dažniau nukreipiamas tiesiogiai tarp mazgų.

Kaip veikia ZeroTier (trumpai)

• Valdiklis (tinklas): tinklus kuriate ir valdote my.zerotier.com arba per savo valdiklį.
• Mazgai: įrenginiai, paleidžiantys ZeroTier klientą ir jungiantys tinklą.
• Planetos/Mėnuliai: atradimo ir persiuntimo pagalbininkai (viešieji arba savarankiškai valdomi).

ZeroTier automatiškai sprendžia NAT praeinamumą.

Autentifikacija: administratorius patvirtina naujus mazgus internetinėje valdymo skydelyje.

Saugumo modelis

ZeroTier naudoja modernią kriptografiją (Curve25519, autentifikuotus efemeriškus raktus).

Kiekvienas mazgas turi rakto porą ir 40 bitų adresą, panašų į aparatūrinį.

Administratoriai valdo, kurie mazgai gali prisijungti.

ZeroTier neskaido jūsų srauto viešuose valdikliuose.

Pastaba: Jei reikia visiškos nepriklausomybės, naudokite savo valdiklį/mėnulius.

Greitas paleidimas (serveriui, darbastalio įrenginiui)

1. Susikurkite paskyrą ir tinklą adresu https://my.zerotier.com.

2. Užsirašykite Network ID (pvz.: 8056c2e21c000001).

3. Įdiekite klientą Linux serveryje arba VPS:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

4. Valdymo skydelyje autorizuokite naują mazgą (įjunkite Auth? jungiklį).

5. Patikrinkite vidinius IP naudodami zerotier-cli listnetworks.

Paprasta.

ZeroTier diegimas MikroTik (RouterOS 7.5+)

MikroTik oficialiai palaiko ZeroTier paketą RouterOS 7.x versijai.

Veiksmai:

1. Atsisiųskite atitinkamą zerotier-7.x-<arch>.npk iš mikrotik.com.
2. Įkelkite .npk į maršrutizatoriaus failus ir perkraukite įrenginį.
3. Sukurkite ZeroTier sąsają ir prisijunkite prie tinklo:

/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print

4. Patvirtinkite MikroTik mazgą ZeroTier internetinėje sąsajoje.

Kai status rodys connected, maršrutizatorius yra Tailnet tinkle.

Patarimas: Po RouterOS atnaujinimų atnaujinkite ZeroTier paketą.

Vietinių potinklių skelbimas ir maršrutizavimas

Jei norite, kad maršrutizatoriaus LAN įrenginiai būtų pasiekiami per ZeroTier, pridėkite maršrutų ar NAT taisyklių.

A variantas — maršrutizuokite LAN (pageidautina, jei įmanoma)

MikroTek sukurkite maršrutą ir leiskite persiuntimą:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Įsitikinkite, kad ZeroTier mazgai žino maršrutą (skelbiama per valdiklį arba priimama nustatymuose).

B variantas — dst-nat specifinei paslaugai (siaura ir saugu)

Priskirkite ZeroTier IP/prievadą vidiniam įrenginiui:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Pasiekite per kitą mazgą adresu http://<zerotier-ip>:8081.

Įspėjimas: Atskleiskite tik būtiniausias paslaugas. Venkite plačių maršrutų, jei negalite griežtai kontroliuoti prieigos.

Naudingi eksploatacijos patarimai

• Naudokite nesikertančius privačius potinklius vietiniams LAN, kad išvengtumėte maršrutizavimo konfliktų.
• ZeroTier valdymo skydelyje naudokite aiškias pavadinimų žymas maršrutizatoriams.
• Grupiuokite mazgus žymėmis ir ACL paprastesnei prieigos kontrolei.
• Stebėkite zerotier-cli išvestį ir RouterOS žurnalus dėl ryšio problemų.

Dažniausiai pasitaikančios problemos

• Mazgas įstringa būsenos REQUESTING_CONFIGURATION: Patikrinkite valdiklio pasiekiamumą ir mazgo autorizaciją.
• Nėra tiesioginio P2P kelio: DERP perdavimo mazgai veikia kaip proxy; patikrinkite našumą ir apsvarstykite savarankiškus mėnulius.
• IP konfliktas su vietiniu LAN: Pakeiskite ZeroTier paskirtą adresų diapazoną arba vietinį LAN.

Palyginimas su kitomis priemonėmis

Kada rinktis ZeroTier

• Reikia greito, paprasto tinklo daugeliui įrenginių.
• Norite pasiekti įrenginius už CGNAT be viešų IP.
• Ieškote hibridinio sprendimo — P2P su relay galimybėmis ir patogia sąsaja.

Jei reikalinga griežta tapatybės pagrindu valdoma ACL integracija su korporatyviniu SSO, apsvarstykite Tailscale.

Kaip MKController padeda: Valdant dideles MikroTik įrenginių flotiles, MKController per NATCloud supaprastina nuotolinį valdymą ir priežiūrą, mažindamas tinklo darbų kiekį, išlaikant valdymą ir stebėjimą.

Išvada

ZeroTier ženkliai sumažina nuotolinio valdymo sudėtingumą.

Tai greita, saugu ir pritaikoma mišrioms aplinkoms.

Su keletu RouterOS komandų galite prijungti MikroTik ir saugiai pasiekti vidines paslaugas.

Pradėkite nuo mažo: autorizuokite maršrutizatorių, atskleiskite vieną paslaugą, tada plėskite maršrutus ir ACL.

Apie MKController

Tikimės, kad šie patarimai padėjo geriau suprasti MikroTik ir interneto valdymą! 🚀
Nesvarbu, ar pritaikote konfigūracijas, ar tvarkote tinklo chaosą, MKController padeda paprastinti jūsų darbą.

Su centralizuotu debesų valdymu, automatizuotais saugumo atnaujinimais ir paprastu prietaisų skydeliu, mes turime viską, ko reikia jūsų veiklos atnaujinimui.

👉 Išbandykite nemokamai 3 dienas dabar adresu mkcontroller.com — ir pamatykite, kaip atrodo lengvas tinklo valdymas.