Kā pārvaldīt savu MikroTik ar ZeroTier

Kopsavilkums
ZeroTier izveido drošu, vienaudžu virtuālu LAN, kas ļauj attālināti piekļūt MikroTik ierīcēm bez publiskām IP vai sarežģītiem VPN. Šajā ceļvedī aprakstīta uzstādīšana, MikroTik integrācija, apakštīklu maršrutēšana un darbības ieteikumi.

Attālā MikroTik pārvaldība ar ZeroTier

ZeroTier jūtas kā LAN, kas aptver visu planētu.

Tas izveido šifrētus, vienaudžu savienojumus un katram dalībniekam piešķir iekšējo IP.

Nav publisku IP.
Nav apgrūtinošas porta pāradresācijas.
Nav resursietilpīgas PKI.

Šis ceļvedis sniedz praktiskus soļus, kā pievienot MikroTik ZeroTier tīklam un droši atklāt vietējos pakalpojumus.

Kas ir ZeroTier?

ZeroTier ir virtuālā tīklu platforma — VPN, P2P un SD-WAN apvienojums.

Katram mezglam tiek izveidots virtuāls interfeiss (parasti zt0).

Mezgli pieslēdzas tīklam, izmantojot tīkla ID.

Dalībnieki saņem privātās IP adreses un savstarpēji sazinās droši.

Planētas/mēness serveri palīdz tikai atklāšanā.

Satiksme, iespējams, ir tieša starp vienaudžiem.

Kā darbojas ZeroTier (īsumā)

• Kontrolieris (tīkls): veidojat un pārvaldāt tīklus vietnē my.zerotier.com vai savā kontrolierī.
• Vienaudži: ierīces, kurās darbojas ZeroTier klients un kas pievienojas tīklam.
• Planētas/Mēness: atklāšanas un starpniekserveru palīgi (publiski vai pašpārvaldīti).

ZeroTier automātiski risina NAT pāreju.

Autentifikācija: administrators apstiprina jaunus mezglus tīmekļa konsolē.

Drošības modelis

ZeroTier izmanto modernu kripto (Curve25519, autentificētas īslaicīgas atslēgas).

Katrā mezglā ir atslēgu pāris un 40 bitu aparatūrai līdzīga adrese.

Administratori kontrolē, kuri vienaudži var pievienoties.

ZeroTier nešifrē jūsu satiksmi publiskajos kontrolieros.

Piezīme: ja nepieciešama pilnīga pašpārvalde, izmantojiet savu kontrolieri/mēness serverus.

Ātra uzstādīšana (serverim, darbvirsmai)

1. Izveidojiet kontu un tīklu vietnē https://my.zerotier.com.

2. Pierakstiet Tīkla ID (piemērs: 8056c2e21c000001).

3. Uzstādiet klientu Linux serverī vai VPS:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

4. Tīmekļa konsolē atļaujiet jauno mezglu (ieslēdziet Auth? slēdzi).

5. Apstipriniet iekšējo IP ar zerotier-cli listnetworks.

Vienkārši.

ZeroTier uzstādīšana MikroTik (RouterOS 7.5+)

MikroTik nodrošina oficiālu ZeroTier pakotni RouterOS 7.x versijām.

Soļi:

1. Lejupielādējiet atbilstošo zerotier-7.x-<arch>.npk no mikrotik.com.
2. Augšupielādējiet .npk failu maršrutētāja failos un restartējiet ierīci.
3. Izveidojiet ZeroTier interfeisu un pievienojieties tīklam:

/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print

4. Apstipriniet MikroTik tīmekļa konsolē.

Kad status rāda connected, maršrutētājs ir Tailnet tīklā.

Padoms: pēc RouterOS atjaunināšanas atjaunojiet ZeroTier pakotni.

Vietējo apakštīklu reklamēšana un maršrutēšana

Ja vēlaties, lai maršrutētāja LAN ierīces būtu pieejamas caur ZeroTier, pievienojiet maršrutus vai NAT noteikumus.

Variants A — maršrutēt LAN (vēlama iespēja, ja iespējams)

MikroTik pievieno vietējo apakštīklu, pievienojot maršrutu un atļaujot pārsūtīšanu:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Pārliecinieties, ka ZeroTier vienaudži zina par maršrutu (to reklamē kontrolieris vai iestatījumi to pieņem).

Variants B — konkrēta pakalpojuma dst-nat (šaurāka un droša)

Maršrutējiet ZeroTier IP/portu uz iekšējo hostu:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Piekļūstiet no cita vienaudža, izmantojot http://<zerotier-ip>:8081.

Brīdinājums: Atklājiet tikai vajadzīgos pakalpojumus. Izvairieties no plašas maršrutu atklāšanas, ja vien stingri nekontrolējat piekļuvi.

Noderīgi darbības ieteikumi

• Izvēlieties vietējos privātos apakštīklus bez pārklājumiem, lai izvairītos no maršrutēšanas konfliktiem.
• ZeroTier konsolē izmantojiet aprakstošus nosaukumus maršrutētājiem, lai tos sekotu.
• Grupējiet mezglus ar tagiem un piekļuves kontroles sarakstiem vienkāršākai pārvaldībai.
• Uzraugiet zerotier-cli izvadi un RouterOS žurnālus savienojuma problēmu gadījumā.

Biežāk sastopamās problēmu novēršana

• Mezgls iestrēdzis pie REQUESTING_CONFIGURATION: pārbaudiet, vai kontrolieris ir pieejams un mezgls apstiprināts.
• Nav vienaudžu savienojuma: DERP releji nodrošinās trafiku; pārbaudiet veiktspēju un apsveriet pašpārvaldītus mēness serverus.
• IP konflikts ar vietējo LAN: mainiet ZeroTier piešķirto diapazonu vai vietējo LAN.

Salīdzinājums ar citām risinājumu iespējām

Kad izvēlēties ZeroTier

• Nepieciešams ātrs, zema traucējuma režģtīkls daudzām ierīcēm.
• Jāpieiet ierīcēm aiz CGNAT bez publiskām IP.
• Vēlaties hibrīdu — vienaudžu tīklu ar opciju starpniekiem un draudzīgu saskarni.

Ja nepieciešama stingra identitātes balstīta ACL ar korporatīvo SSO, apsveriet Tailscale.

Kur palīdz MKController: komandām, kas pārvalda lielus MikroTik parkus, MKController NATCloud centralizē attālināto piekļuvi un uzraudzību — samazinot individuālo ierīču tīkla darbu un nodrošinot pārvaldību un pārskatāmību.

Secinājums

ZeroTier būtiski samazina attālās pārvaldības sarežģījumus.

Tas ir ātrs, drošs un pielāgojas jauktai videi.

Ar dažām RouterOS komandām var pieslēgt MikroTik un droši piekļūt iekšējiem pakalpojumiem.

Sāciet ar mazu: apstipriniet maršrutētāju, atklājiet vienu pakalpojumu, pēc tam paplašiniet maršrutus un ACL.

Par MKController

Cerams, ka šie padomi palīdzēja labāk orientēties jūsu MikroTik un interneta pasaulē! 🚀
Neatkarīgi no tā, vai pielāgojat konfigurācijas vai vienkārši cenšaties sakārtot tīkla haosu, MKController ir šeit, lai atvieglotu jūsu darbu.

Ar centralizētu mākoņa pārvaldību, automatizētām drošības atjaunošanām un viegli pārvaldāmu paneli, mums ir viss vajadzīgais, lai uzlabotu jūsu darbību.

👉 Sāciet savu bezmaksas 3 dienu izmēģinājumu tagad vietnē mkcontroller.com — un pārliecinieties, kā izskatās patiesa tīkla kontrole bez piepūles.