Správa Mikrotiku pomocou ZeroTier siete

Zhrnutie
ZeroTier vytvára bezpečnú, peer-to-peer virtuálnu LAN, ktorá umožňuje vzdialený prístup k MikroTik zariadeniam bez verejných IP alebo zložitých VPN. Tento návod pokrýva inštaláciu, integráciu, smerovanie podsietí a prevádzkové tipy.

Vzdialená správa MikroTik cez ZeroTier

ZeroTier pôsobí ako LAN rozťahujúca sa po celom svete.

Vytvára šifrované peer-to-peer spojenia a každému členovi prideľuje internú IP adresu.

Žiadne verejné IP. Žiadne komplikované port forwardingy. Žiadne ťažké PKI.

Tento návod ukazuje praktické kroky na zapojenie MikroTik zariadení do ZeroTier siete a bezpečné zverejnenie lokálnych služieb.

Čo je ZeroTier?

ZeroTier je virtuálna sieťová platforma — kombinácia VPN, P2P a SD‑WAN.

Na každom zariadení vytvára virtuálny rozhranie (zvyčajne zt0).

Zariadenia sa pripoja do siete pomocou Network ID.

Členovia získajú súkromné IP a komunikujú bezpečne.

Planétové/moon servery slúžia len na objavovanie.

Prevádzka je peer-to-peer, keď to je možné.

Ako ZeroTier funguje (stručne)

Kontrolór (Network): vytvárate a spravujete siete na my.zerotier.com alebo vlastnom kontroléri.
Peer zariadenia: zariadenia s klientom ZeroTier pripojené do siete.
Planéty/Moony: pomocné discovery/relay servery (verejné alebo vlastné).

ZeroTier automaticky spravuje prechod cez NAT.

Autentifikácia: administrátor schvaľuje nové uzly cez web konzolu.

Bezpečnostný model

ZeroTier používa modernú kryptografiu (Curve25519, autentifikované ephemeral kľúče).

Každé zariadenie má kľúčový pár a 40-bitovú hardvérovú adresu.

Administrátori kontrolujú, ktoré uzly môžu byť pripojené.

ZeroTier nešifruje vaše dáta na verejných kontroléroch.

Poznámka: Prevádzkujte vlastného kontrolóra/moony, ak potrebujete úplnú nezávislosť.

Rýchle nastavenie (server, desktop)

Vytvorte konto a sieť na https://my.zerotier.com.
Zapíšte si Network ID (napr. 8056c2e21c000001).
Nainštalujte klienta na Linux server alebo VPS:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

Na web konzole povolte nový uzol (prepnutím Auth?).
Skontrolujte interné IP pomocou zerotier-cli listnetworks.

Jednoduché.

Inštalácia ZeroTier na MikroTik (RouterOS 7.5+)

MikroTik ponúka oficiálny ZeroTier balík pre RouterOS 7.x.

Postup:

Stiahnite si zodpovedajúci zerotier-7.x-<arch>.npk z mikrotik.com.
Nahrajte .npk do súborov routera a reštartujte zariadenie.
Vytvorte ZeroTier rozhranie a pripojte sa do siete:

/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print

Schváľte MikroTik v ZeroTier web konzole.

Keď je status connected, router je súčasťou Tailnetu.

Tip: Po aktualizácii RouterOS udržiavajte ZeroTier balík aktualizovaný.

Inzerujte a smerujte lokálne podsiete

Ak chcete, aby zariadenia v lokálnej sieti routera boli prístupné cez ZeroTier, pridajte smerovacie alebo NAT pravidlá.

Možnosť A — smerovať LAN (preferované ak je to možné)

Na MikroTik oznámte lokálnu podsieť pridaním smerovania a povolením forwarding:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Potom zabezpečte, aby ZeroTier uzly poznali túto trasu (inzerované cez kontrolér alebo povolené v nastaveniach).

Možnosť B — dst-nat konkrétnej služby (úzke a bezpečné)

Namapujte ZeroTier IP/port na interný hostiteľ:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Pristúpte k nemu z iného uzla cez http://<zerotier-ip>:8081.

Varovanie: Zverejnite len potrebné služby. Vyhnite sa širokému smerovaniu bez prísnej kontroly prístupu.

Užitočné prevádzkové tipy

Vyberajte nesúvisiace privátne podsiete lokálnych sietí, aby ste predišli konfliktom smerovania.
Používajte popisné mená v ZeroTier konzole na lepšiu orientáciu.
Združujte uzly pomocou tagov a ACL pre jednoduchšiu kontrolu prístupu.
Sledujte výstup zerotier-cli a RouterOS logy pri problémoch s pripojením.

Riešenie bežných problémov

Uzol uviaznutý v REQUESTING_CONFIGURATION: Skontrolujte dostupnosť kontroléra a autorizáciu uzla.
Žiadna peer-to-peer cesta: DERP relaye proxujú prevádzku; skontrolujte výkon, zvážte vlastné moony.
IP konflikt s lokálnou LAN: Zmeňte rozsah pridelený ZeroTier alebo lokálnu LAN.

Porovnanie s inými riešeniami

Riešenie	Verejné IP potrebné	Jednoduchosť	Najvhodnejšie pre
ZeroTier	Nie	Veľmi jednoduché	Rýchle mesh, zariadenia za NAT
Tailscale	Nie	Veľmi jednoduché	Identitné riadenie, tímy
WireGuard (manuálne)	Nie vždy	Stredné	Výkonné, vlastné nastavenia
OpenVPN / IPSec	Nie vždy	Zložité	Legacy kompatibilita, PKI kontrola

Kedy zvoliť ZeroTier

Ak potrebujete rýchly, nenáročný mesh viacerých zariadení.
Ak musíte dosiahnuť zariadenia za CGNAT bez verejných IP.
Ak chcete hybrid: peer-to-peer s možnými relaymi a jednoduchým UI.

Ak potrebujete prísne ACL viazané na korporátne SSO, zvážte Tailscale.

Kde pomáha MKController: Pre tímy so širokým MikroTik fleetom MKController NATCloud centralizuje prístup a monitoring — znižuje prácu na každom zariadení a zachováva prehľad aj správu.

Záver

ZeroTier výrazne zjednodušuje vzdialenú správu.

Je rýchly, bezpečný a vhodný do zmiešaných prostredí.

S pár príkazmi v RouterOS pripojíte MikroTik a bezpečne sprístupníte interné služby.

Začnite jednoducho: autorizujte router, sprístupnite jednu službu, potom rozšírte trasy a ACL.

O MKController

Dúfame, že vám tieto poznatky pomohli lepšie sa vyznať vo svete MikroTik a internetu! 🚀
Či už ladíte konfigurácie alebo len chcete priniesť poriadok do siete, MKController je tu, aby vám uľahčil život.

S centralizovanou správou v cloude, automatickou aktualizáciou zabezpečenia a prehľadným dashboardom, máme všetko potrebné na zdokonalenie vašej prevádzky.

👉 Vyskúšajte 3-dňovú skúšobnú verziu zdarma na mkcontroller.com — a presvedčte sa, ako vyzerá nenáročná kontrola siete naozaj.