Перейти к содержимому
MKController Blog
InstagramYouTubeFacebook

Remote Access

Удалённое управление MikroTik по ZeroTier

Используйте ZeroTier на RouterOS 7.5+ для построения P2P виртуальной LAN до MikroTik за CGNAT или NAT без публичных IP и проброса портов.

MKController5 min read

Сводка ZeroTier строит защищённую peer-to-peer виртуальную LAN, благодаря которой маршрутизаторы MikroTik становятся доступными через интернет без публичных IP, проброса портов и сопровождения PKI. RouterOS 7.5+ поставляется с официальным пакетом ZeroTier; это руководство охватывает установку на MikroTik, настройку сети на my.zerotier.com, анонсирование подсети LAN, NAT для узкой экспозиции сервисов и операционные советы, благодаря которым многоплощадочное развёртывание ZeroTier остаётся управляемым.

Как ZeroTier обеспечивает удалённое управление MikroTik?

ZeroTier — это виртуальная сетевая платформа, которая объединяет признаки VPN, peer-to-peer-меша и SD-WAN в одном оверлее. Каждый узел запускает клиент ZeroTier, который создаёт виртуальный интерфейс (обычно zt0 в Linux, zt1 на MikroTik), вступает в сеть, идентифицируемую Network ID, и получает приватный IP из этой сети. Пиры общаются напрямую, когда сетевые условия позволяют; публичные сервера «planet» и «moon» помогают с обнаружением и ретранслируют трафик, когда прямые пути невозможны. С точки зрения MikroTik, ZeroTier превращает каждый маршрутизатор Tailnet в участника плоской виртуальной LAN с автоматическим обходом NAT — без публичных IP, без проброса портов, без управления ключами по устройствам.

Для парков MikroTik сильные стороны — скорость развёртывания и операционная простота: поставьте пакет, вступите в один Network ID, подтвердите в админ-консоли — и маршрутизатор доступен. Минусы — зависимость от control plane ZeroTier (или собственных самоуправляемых moons для полной независимости) и менее гранулированный контроль ACL по идентичности, чем у Tailscale. О близкой альтернативе Tailscale смотрите наш гид по Tailscale.

Архитектура ZeroTier

  • Controller (Network) — создаётся и управляется на my.zerotier.com или через самоуправляемый controller.
  • Peers — устройства с клиентом ZeroTier, вступившие в сеть.
  • Planet / Moons — публичные или самоуправляемые помощники по обнаружению и ретрансляции.

Обход NAT выполняется автоматически. Аутентификация происходит, когда администратор подтверждает новых пиров в веб-консоли. ZeroTier не расшифровывает трафик на публичных controllers — шифрование сквозное на современной криптографии (Curve25519, аутентифицированные эфемерные ключи), и у каждого узла есть уникальная пара ключей плюс 40-битный адрес, похожий на аппаратный. Хостите controllers и moons сами, если нужна полная операционная независимость.

Шаг 1: Создайте сеть ZeroTier

  1. Откройте https://my.zerotier.com и войдите (или создайте аккаунт).
  2. Создайте новую сеть.
  3. Запишите Network ID — 16-символьную шестнадцатеричную строку (например, 8056c2e21c000001).

Шаг 2: Быстрая настройка на сервере или рабочей станции

Установите клиент ZeroTier на Linux-сервере или VPS, чтобы проверить сеть:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

В веб-консоли авторизуйте новый узел (переключите Auth?). Подтвердите назначенный ZeroTier-адрес через zerotier-cli listnetworks. Это и есть первый пир.

Шаг 3: Установите ZeroTier на MikroTik (RouterOS 7.5+)

MikroTik предоставляет официальный пакет ZeroTier для RouterOS 7.x:

  1. Скачайте подходящий zerotier-7.x-<arch>.npk с mikrotik.com.
  2. Загрузите .npk на маршрутизатор (перетащите в окно Files в Winbox) и перезагрузите.
  3. Создайте интерфейс ZeroTier и вступите в сеть:
/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print
  1. Подтвердите MikroTik в веб-консоли ZeroTier (переключите Auth?).

Когда status становится connected, маршрутизатор в Tailnet. Обновляйте пакет ZeroTier после каждого апгрейда RouterOS — это две независимые ветки версий, и отставание в любой приводит к тихим проблемам со связностью.

Шаг 4: Анонсируйте и маршрутизируйте локальные подсети

Чтобы устройства LAN маршрутизатора стали доступны через ZeroTier, выберите: маршрутизировать всю подсеть либо узко выставить конкретные сервисы.

Вариант A: маршрутизировать LAN (предпочтительно, когда возможно)

На MikroTik анонсируйте локальную подсеть через ZeroTier и разрешите форвардинг:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 \
    dst-address=!192.168.88.0/24 action=accept

Затем примите анонсированный маршрут в админ-консоли ZeroTier, чтобы остальные пиры его узнали.

Вариант B: dst-nat конкретного сервиса (узко и безопасно)

Сопоставьте порт со стороны ZeroTier с одним внутренним хостом:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Доступ с другого пира через http://<zerotier-ip>:8081. Используйте Вариант B, когда не нужна экспозиция всей подсети, а нужны конкретные доступные сервисы.

Операционные советы

  • Выбирайте непересекающиеся приватные подсети для LAN разных площадок, чтобы избежать конфликтов маршрутизации при подключении нескольких площадок к одной Tailnet.
  • Используйте описательные имена в консоли ZeroTier, чтобы понимать, какой маршрутизатор где.
  • Группируйте узлы тегами и ACL, чтобы контроль доступа упрощался с ростом парка.
  • Следите за выводом zerotier-cli и логами RouterOS на предмет проблем со связью — ретранслируемый трафик хорошо виден в метриках.

Устранение распространённых неполадок

  • Узел застрял в REQUESTING_CONFIGURATION — проверьте, что controller достижим с маршрутизатора и что узел авторизован.
  • Нет peer-to-peer-пути — релеи проксируют трафик через planet/moons; оцените производительность и подумайте о собственных moons для требований к низкой задержке.
  • Конфликт IP с локальной LAN — измените либо диапазон IP, назначаемый ZeroTier, либо подсеть локальной LAN.

Сравнение с другими VPN-опциями

РешениеНужен публичный IPПростота настройкиЛучше всего для
ZeroTierНетОчень простоБыстрый mesh, устройства за NAT/CGNAT
TailscaleНетОчень простоControl plane по идентичности, команды
WireGuard (вручную)ИногдаСреднеВысокая производительность, DIY-сборки
OpenVPN / IPsecИногдаСложноСовместимость с легаси, контроль PKI

О WireGuard в этом сравнении — наш гид по удалённому управлению через WireGuard; о паттерне OpenVPN — гид по OpenVPN.

Когда выбирать ZeroTier

Выбирайте ZeroTier, когда нужен быстрый mesh с низким трением для большого количества устройств, когда нужно достучаться до устройств за CGNAT без публичных IP, или когда нужен гибрид — peer-to-peer с опциональными ретрансляторами и дружелюбным админ-UI. Если важнее строгие ACL по идентичности с привязкой к корпоративному SSO, лучше подойдёт Tailscale.

Сделайте следующий шаг

ZeroTier радикально снижает трение удалённого управления — быстро, безопасно и хорошо подходит для смешанных сред. Несколько команд RouterOS — и MikroTik уже в Tailnet, а внутренние сервисы доступны безопасно. Начните с малого: авторизуйте один маршрутизатор, выставьте один сервис, затем расширяйте маршруты и ACL.

Для команд, управляющих большими парками MikroTik, NATCloud от MKController централизует удалённый доступ и мониторинг множества устройств в одной панели, снижая сетевую работу на каждое устройство и сохраняя согласованность управления и наблюдаемости.

Запустите бесплатный пробный период MKController