Zarządzanie Mikrotik za pomocą ZeroTier

Podsumowanie
ZeroTier tworzy bezpieczną, peer-to-peer wirtualną sieć LAN, umożliwiając dostęp do zdalnych urządzeń MikroTik bez publicznych IP i skomplikowanych VPN. Poradnik obejmuje instalację, integrację, routing i wskazówki operacyjne.

Zdalne zarządzanie MikroTik z ZeroTier

ZeroTier działa jak sieć LAN rozciągnięta na cały świat.

Tworzy szyfrowane, peer-to-peer połączenia i przypisuje każdemu członkowi wewnętrzny adres IP.

Brak publicznych IP.
Brak kłopotliwego przekierowania portów.
Brak skomplikowanego PKI.

Ten przewodnik pokazuje praktyczne kroki, jak podłączyć MikroTiki do sieci ZeroTier i bezpiecznie udostępniać lokalne usługi.

Czym jest ZeroTier?

ZeroTier to wirtualna platforma sieciowa — połączenie VPN, P2P i SD-WAN.

Tworzy na każdym urządzeniu wirtualny interfejs (zwykle zt0).

Urządzenia łączą się z siecią za pomocą Network ID.

Członkowie otrzymują prywatne IP i komunikują się bezpiecznie.

Serwery planetarne/moon pomagają tylko przy odkrywaniu.

Ruch zależy od połączeń peer-to-peer jak to tylko możliwe.

Jak działa ZeroTier (w skrócie)

Kontroler (Sieć): zarządzasz sieciami na my.zerotier.com lub własnym kontrolerze.
Węzły (Peers): urządzenia uruchamiające klienta ZeroTier i dołączające do sieci.
Planety/Moony: pomoc przy odkrywaniu/przekaźnikach (publiczne lub własne).

ZeroTier automatycznie radzi sobie z NAT traversal.

Uwierzytelnianie: administrator zatwierdza nowe węzły w konsoli WWW.

Model bezpieczeństwa

ZeroTier wykorzystuje nowoczesne szyfrowanie (Curve25519, uwierzytelniane klucze efemeryczne).

Każdy węzeł ma parę kluczy i 40-bitowy, sprzętopodobny adres.

Admin decyduje, które węzły mogą się dołączyć.

ZeroTier nie odszyfrowuje ruchu na publicznych kontrolerach.

Uwaga: Aby mieć pełną niezależność operacyjną, użyj własnego kontrolera i moonów.

Szybka instalacja (serwer, desktop)

Załóż konto i stwórz sieć na https://my.zerotier.com.
Zanotuj Network ID (np. 8056c2e21c000001).
Zainstaluj klienta na serwerze Linux lub VPS:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

W konsoli WWW zatwierdź nowy węzeł (przełącz Auth?).
Sprawdź przyznane wewnętrzne IP poleceniem zerotier-cli listnetworks.

Proste.

Instalacja ZeroTier na MikroTik (RouterOS 7.5+)

MikroTik udostępnia oficjalny pakiet ZeroTier dla RouterOS 7.x.

Kroki:

Pobierz odpowiedni plik zerotier-7.x-<arch>.npk z mikrotik.com.
Załaduj .npk do plików routera i zrestartuj urządzenie.
Utwórz interfejs ZeroTier i dołącz do sieci:

/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print

Zatwierdź MikroTik w konsoli ZeroTier.

Gdy status pokaże connected, router jest w Tailnet.

Wskazówka: Aktualizuj pakiet ZeroTier po uaktualnieniach RouterOS.

Reklamowanie i routowanie lokalnych podsieci

Jeśli chcesz, aby urządzenia w LAN routera były dostępne przez ZeroTier, dodaj trasowania lub reguły NAT.

Opcja A — routing LAN (preferowane, gdy możliwe)

Na MikroTik ogłoś lokalną podsieć, dodając trasę i zezwalając na przekazywanie:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Upewnij się, że użytkownicy ZeroTier znają tę trasę (reklamowana przez kontroler lub zaakceptowana w ustawieniach).

Opcja B — dst-nat dla konkretnej usługi (wąska i bezpieczna)

Mapuj IP/port ZeroTier na wewnętrzny host:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Dostęp z innego węzła pod http://<zerotier-ip>:8081.

Ostrzeżenie: Udostępniaj tylko potrzebne usługi. Unikaj otwartego routingu, jeśli nie kontrolujesz dostępu rygorystycznie.

Przydatne wskazówki operacyjne

Wybieraj niepokrywające się prywatne podsieci LAN, aby unikać konfliktów routingu.
Używaj opisowych nazw w konsoli ZeroTier, by łatwiej śledzić routery.
Grupuj węzły za pomocą tagów i ACL, by uprościć kontrolę dostępu.
Monitoruj zerotier-cli i logi RouterOS w poszukiwaniu problemów.

Rozwiązywanie typowych problemów

Węzeł utknął na REQUESTING_CONFIGURATION: Sprawdź dostępność kontrolera i czy węzeł jest zatwierdzony.
Brak ścieżki peer-to-peer: Relay DERP przejmą ruch; sprawdź wydajność i rozważ własne moony.
Konflikt IP z LAN: Zmień przydział ZeroTier lub podsieć LAN.

Porównanie z innymi rozwiązaniami

Rozwiązanie	Publiczne IP potrzebne	Łatwość	Najlepsze dla
ZeroTier	Nie	Bardzo łatwe	Szybka siatka, zdalne urządzenia za NAT
Tailscale	Nie	Bardzo łatwe	Kontrola tożsamości, zespoły
WireGuard (ręcznie)	Czasem	Średnia	Wydajne, DIY
OpenVPN / IPSec	Czasem	Złożone	Kompatybilność, kontrola PKI

Kiedy wybrać ZeroTier

Potrzebujesz szybkiej, niskoprogowej siatki urządzeń.
Musisz dotrzeć do urządzeń za CGNAT bez publicznych IP.
Chcesz hybrydę — peer-to-peer z opcjonalnymi relayami i przyjaznym UI.

Jeśli wymagasz ścisłych, tożsamościowych ACL powiązanych z korporacyjnym SSO, rozważ Tailscale.

Gdzie pomaga MKController: Dla zespołów zarządzających dużą flotą MikroTik, MKController z NATCloud centralizuje dostęp i monitoring — redukując pracę na poziomie urządzenia, a jednocześnie zapewniając nadzór i kontrolę.

Podsumowanie

ZeroTier znacząco ułatwia zdalne zarządzanie.

Jest szybki, bezpieczny i pasuje do środowisk mieszanych.

Kilka poleceń RouterOS wystarczy, by połączyć MikroTik i bezpiecznie uzyskać dostęp do usług wewnętrznych.

Zacznij od małego: zatwierdź router, udostępnij jedną usługę, później rozbuduj trasy i ACL.

O MKController

Mamy nadzieję, że powyższe informacje pomogły lepiej poruszać się w świecie MikroTik i Internetu! 🚀
Niezależnie, czy dopracowujesz konfiguracje, czy porządkujesz sieciowy chaos, MKController ułatwia życie.

Dzięki scentralizowanej chmurze, automatycznym aktualizacjom zabezpieczeń i panelowi dostępnym dla każdego, mamy wszystko, by podnieść efektywność Twojej sieci.

👉 Rozpocznij darmowy 3-dniowy okres próbny na mkcontroller.com — i zobacz, jak wygląda naprawdę prosty nadzór sieciowy.