Je Mikrotik beheren met ZeroTier-netwerken

Samenvatting
ZeroTier maakt een beveiligd, peer-to-peer virtueel LAN dat externe MikroTik-apparaten bereikbaar maakt zonder publieke IP’s of complexe VPN’s. Deze gids behandelt installatie, integratie, subnetroutering en gebruikstips.

Externe MikroTik-beheer met ZeroTier

ZeroTier voelt als een LAN dat zich over de hele wereld uitstrekt.

Het bouwt versleutelde, peer-to-peer verbindingen en geeft elk lid een intern IP.

Geen publieke IP’s.
Geen lastige poort-forwarding.
Geen zware PKI.

Deze gids toont praktische stappen om MikroTiks aan een ZeroTier-netwerk toe te voegen en lokale services veilig bloot te stellen.

Wat is ZeroTier?

ZeroTier is een virtueel netwerkplatform – een mix van VPN, P2P en SD-WAN.

Het maakt een virtuele interface (meestal zt0) op elke node.

Nodes verbinden zich met een netwerk via een Network ID.

Leden krijgen privé IP’s en communiceren veilig.

Planet/moon-servers helpen alleen bij discovery.

Verkeer is, waar mogelijk, peer-to-peer.

Hoe ZeroTier werkt (kort)

• Controller (Netwerk): je maakt en beheert netwerken op my.zerotier.com of via je eigen controller.
• Peers: apparaten die de ZeroTier-client draaien en het netwerk joinen.
• Planet/Moons: discovery- en relaishelpers (publiek of zelf gehost).

ZeroTier verzorgt NAT-traversal automatisch.

Authenticatie: admin keurt nieuwe peers goed via webconsole.

Beveiligingsmodel

ZeroTier gebruikt moderne cryptografie (Curve25519, geauthentiseerde tijdelijke sleutels).

Elke node heeft een sleutelpaar en een 40-bit hardware-achtig adres.

Admins bepalen welke peers mogen toetreden.

ZeroTier ontsleutelt je verkeer niet op publieke controllers.

Let op: Host je eigen controller/moons voor volledige operationele onafhankelijkheid.

Snelle installatie (server, desktop)

1. Maak een account en netwerk aan op https://my.zerotier.com.

2. Noteer de Network ID (bijv. 8056c2e21c000001).

3. Installeer de client op een Linux-server of VPS:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

4. Autoriseer de nieuwe node in de webconsole (schakel de Auth? knop om).

5. Bevestig interne IP’s met zerotier-cli listnetworks.

Simpel.

ZeroTier installeren op MikroTik (RouterOS 7.5+)

MikroTik biedt een officiële ZeroTier-package voor RouterOS 7.x.

Stappen:

1. Download de passende zerotier-7.x-<arch>.npk vanaf mikrotik.com.
2. Upload het .npk bestand naar de routerbestanden en herstart de router.
3. Maak een ZeroTier-interface aan en sluit aan op het netwerk:

/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print

4. Keur de MikroTik goed in de ZeroTier webconsole.

Als status connected toont, zit de router in de Tailnet.

Tip: Houd de ZeroTier-package up-to-date bij RouterOS-updates.

Lokale subnetten adverteren en routeren

Wil je dat apparaten op het LAN van de router via ZeroTier bereikbaar zijn? Voeg dan routerings- of NAT-regels toe.

Optie A — Route het LAN (voorkeur indien mogelijk)

Verkondig het lokale subnet op de MikroTik door een route toe te voegen en forwarding toe te staan:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Zorg er vervolgens voor dat ZeroTier-peers de route kennen (geadverteerd via de controller of geaccepteerd in instellingen).

Optie B — dst-nat een specifieke service (gericht en veilig)

Koppel een ZeroTier IP/poort aan een interne host:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Toegang vanaf een andere peer via http://<zerotier-ip>:8081.

Waarschuwing: Stel alleen noodzakelijke services bloot. Vermijd brede route-ontsluiting tenzij toegang strikt gecontroleerd wordt.

Handige tips voor gebruik

• Kies niet-overlappende privé-subnetten voor site-LANs om routeringsconflicten te vermijden.
• Gebruik beschrijvende namen in de ZeroTier-console om routers te beheren.
• Groepeer nodes met tags en ACL’s voor eenvoudiger toegangsbeheer.
• Monitor zerotier-cli output en RouterOS-logs bij verbindingsproblemen.

Veelvoorkomende problemen oplossen

• Node blijft hangen op REQUESTING_CONFIGURATION: Controleer of de controller bereikbaar is en of de node geautoriseerd is.
• Geen peer-to-peer verbinding: DERP-relays proxien verkeer; controleer prestaties en overweeg zelf gehoste moons.
• IP-conflict met lokaal LAN: Wijzig het door ZeroTier toegewezen bereik of het lokale LAN.

Vergelijking met andere oplossingen

Wanneer ZeroTier kiezen

• Je hebt een snel en laagdrempelig mesh-netwerk over veel apparaten nodig.
• Je wilt apparaten achter CGNAT bereiken zonder publieke IP’s te regelen.
• Je zoekt een hybride oplossing, peer-to-peer met optionele relais en een gebruiksvriendelijke interface.

Voor strikte, identiteitsgebonden ACL’s gekoppeld aan bedrijfs-SSO is Tailscale een optie.

Waar MKController helpt: Voor teams die grote MikroTik-vloten beheren, centraliseert MKController met NATCloud toegang en monitoring — wat netwerkwerk per apparaat verlaagt en governance en observatie verbetert.

Conclusie

ZeroTier verlaagt de drempel voor extern beheer fors.

Het is snel, veilig en geschikt voor gemengde omgevingen.

Met een paar RouterOS-commando’s verbind je een MikroTik en bereik je interne services veilig.

Begin klein: keur een router goed, stel één service bloot en breid dan routes en ACL’s uit.

Over MKController

Hopelijk helpen deze inzichten je om je MikroTik en internetomgeving beter te beheersen! 🚀
Of je nu configuraties verfijnt of orde schept in het netwerk, MKController maakt het je eenvoudiger.

Met centraal cloudbeheer, geautomatiseerde beveiligingsupdates en een dashboard dat iedereen beheerst, hebben we wat nodig is om je operatie te verbeteren.

👉 Start nu je gratis 3-daagse proefperiode op mkcontroller.com — en ervaar hoe moeiteloos netwerkbeheer kan zijn.