Remote Access
Gerenciar MikroTik Remoto com ZeroTier
Use ZeroTier no RouterOS 7.5+ para criar uma LAN virtual P2P que alcança MikroTiks atrás de CGNAT ou NAT sem IP público nem port forwarding.
Resumo O ZeroTier constrói uma LAN virtual peer-to-peer segura que torna roteadores MikroTik acessíveis pela internet sem IPs públicos, sem port forwarding e sem PKI para manter. O RouterOS 7.5+ traz um pacote oficial do ZeroTier; este guia cobre a instalação no MikroTik, a configuração da rede em my.zerotier.com, o anúncio da sub-rede LAN, o NAT para exposição estreita de serviços e as dicas operacionais que mantêm gerenciável um deployment ZeroTier multi-site.
Como o ZeroTier viabiliza o gerenciamento remoto do MikroTik?
O ZeroTier é uma plataforma de rede virtual que combina características de VPN, malha peer-to-peer e SD-WAN num único overlay. Cada nó roda um cliente ZeroTier que cria uma interface virtual (tipicamente zt0 no Linux, zt1 no MikroTik), entra numa rede identificada por um Network ID e recebe um IP privado dessa rede. Os peers se comunicam diretamente quando as condições de rede permitem; servidores públicos “planet” e “moon” ajudam na descoberta e fazem relay quando caminhos diretos não são possíveis. Do ponto de vista do MikroTik, o ZeroTier transforma cada roteador na Tailnet em membro de uma LAN virtual plana com travessia automática de NAT — sem IPs públicos, sem port forwarding, sem gerenciamento de chaves por dispositivo.
Para frotas de MikroTik, os pontos fortes são velocidade de implantação e simplicidade operacional: instale o pacote, entre num Network ID, aprove no console administrativo e o roteador fica acessível. As contrapartidas são a dependência do plano de controle do ZeroTier (ou dos seus próprios moons auto-hospedados para independência total) e um controle de ACL baseado em identidade menos granular do que o do Tailscale. Para a alternativa próxima, Tailscale, veja nosso guia de Tailscale.
Arquitetura do ZeroTier
- Controller (Network) — criado e gerenciado em
my.zerotier.comou via um controller auto-hospedado. - Peers — dispositivos rodando o cliente ZeroTier que ingressaram na rede.
- Planet / Moons — auxiliares públicos ou auto-hospedados para descoberta e relay.
A travessia de NAT é automática. A autenticação acontece quando o administrador aprova novos peers no console web. O ZeroTier não descriptografa tráfego nos controllers públicos — a criptografia é fim a fim com cripto moderna (Curve25519, chaves efêmeras autenticadas), e cada nó tem um par de chaves único mais um endereço de 40 bits parecido com hardware. Hospede seus próprios controllers e moons se precisar de independência operacional plena.
Passo 1: Crie a rede ZeroTier
- Abra
https://my.zerotier.come faça login (ou crie uma conta). - Crie uma nova rede.
- Anote o Network ID — uma string hexadecimal de 16 caracteres (por exemplo,
8056c2e21c000001).
Passo 2: Configuração rápida num servidor ou estação
Instale o cliente ZeroTier num servidor Linux ou VPS para validar a rede:
curl -s https://install.zerotier.com | sudo bashsudo zerotier-cli join 8056c2e21c000001sudo zerotier-cli listnetworksNo console web, autorize o novo nó (acione o toggle Auth?). Confirme o IP ZeroTier atribuído com zerotier-cli listnetworks. Isso estabelece o primeiro peer.
Passo 3: Instale o ZeroTier no MikroTik (RouterOS 7.5+)
A MikroTik disponibiliza um pacote oficial do ZeroTier para o RouterOS 7.x:
- Baixe o
zerotier-7.x-<arch>.npkcorrespondente emmikrotik.com. - Envie o
.npkpara o roteador (arraste na janela Files via Winbox) e reinicie. - Crie a interface ZeroTier e entre na rede:
/interface zerotier add name=zt1 network=8056c2e21c000001/interface zerotier print- Aprove o MikroTik no console web do ZeroTier (acione o toggle Auth?).
Quando status aparece como connected, o roteador está na Tailnet. Mantenha o pacote ZeroTier atualizado após cada upgrade do RouterOS — as duas cadeias de versão são independentes e ficar atrasado em qualquer uma causa problemas silenciosos de conectividade.
Passo 4: Anuncie e roteie sub-redes locais
Para tornar os dispositivos da LAN do roteador alcançáveis via ZeroTier, escolha entre rotear a sub-rede inteira ou expor serviços específicos de forma estreita.
Opção A: rotear a LAN (preferida quando possível)
No MikroTik, anuncie a sub-rede local via ZeroTier e permita o forwarding:
/ip route add dst-address=192.168.88.0/24 gateway=zt1/ip firewall filter add chain=forward src-address=192.168.88.0/24 \ dst-address=!192.168.88.0/24 action=acceptDepois, aceite a rota anunciada no console administrativo do ZeroTier para que os demais peers a aprendam.
Opção B: dst-nat para um serviço específico (estreito e seguro)
Mapeie uma porta do lado ZeroTier para um único host interno:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.10 to-ports=80Acesse de outro peer via http://<zerotier-ip>:8081. Use a Opção B quando não quiser expor a sub-rede inteira, apenas serviços específicos alcançáveis.
Dicas operacionais
- Escolha sub-redes privadas que não se sobreponham para as LANs dos sites, evitando conflitos de roteamento quando múltiplos sites entrarem na mesma Tailnet.
- Use nomes descritivos no console do ZeroTier para identificar qual roteador é qual.
- Agrupe nós com tags e ACLs para um controle de acesso mais simples conforme a frota cresce.
- Acompanhe a saída de
zerotier-clie os logs do RouterOS para problemas de conexão — tráfego em relay aparece claramente nas métricas.
Solução de problemas comuns
- Nó travado em
REQUESTING_CONFIGURATION— verifique se o controller está alcançável a partir do roteador e se o nó está autorizado. - Sem caminho peer-to-peer — os relays vão fazer proxy do tráfego via planet/moons; avalie o desempenho e considere moons auto-hospedados para requisitos de baixa latência.
- Conflito de IP com a LAN local — altere a faixa de IP atribuída pelo ZeroTier ou a sub-rede da LAN local.
Comparação com outras opções de VPN
| Solução | IP público necessário | Facilidade | Melhor para |
|---|---|---|---|
| ZeroTier | Não | Muito fácil | Mesh rápido, dispositivos atrás de NAT/CGNAT |
| Tailscale | Não | Muito fácil | Planos de controle por identidade, equipes |
| WireGuard (manual) | Às vezes | Médio | Alto desempenho, montagens DIY |
| OpenVPN / IPsec | Às vezes | Complexo | Compatibilidade legada, controle de PKI |
Para o lado WireGuard dessa comparação, veja nosso guia de gerenciamento remoto com WireGuard; para o padrão OpenVPN, veja o guia OpenVPN.
Quando escolher o ZeroTier
Escolha ZeroTier quando precisar de uma malha rápida e de baixo atrito entre muitos dispositivos, quando precisar alcançar equipamentos atrás de CGNAT sem provisionar IPs públicos, ou quando quiser um híbrido — peer-to-peer com relays opcionais e uma UI administrativa amigável. Se ACLs estritas baseadas em identidade atreladas ao SSO corporativo importam mais, o Tailscale é o ajuste melhor.
Próximo passo
O ZeroTier reduz drasticamente o atrito do gerenciamento remoto — rápido, seguro e bem adequado a ambientes mistos. Alguns comandos do RouterOS conectam um MikroTik a uma Tailnet e alcançam serviços internos com segurança. Comece pequeno: autorize um roteador, exponha um serviço e depois expanda rotas e ACLs.
Para equipes que gerenciam frotas maiores de MikroTik, o NATCloud da MKController centraliza o acesso remoto e o monitoramento de muitos dispositivos em um único painel, reduzindo o trabalho de rede por dispositivo e mantendo governança e observabilidade consistentes.