Upravljanje Mikrotika prek ZeroTier

Povzetek
ZeroTier ustvari varen, enakovredno povezan virtualni LAN, ki omogoča dostop do oddaljenih MikroTik naprav brez javnih IP-jev ali zapletenih VPN-jev. Ta vodič zajema namestitev, integracijo z MikroTik, usmerjanje podomrežij in uporabne nasvete.

Oddaljeno upravljanje MikroTik naprav z ZeroTier

ZeroTier deluje kot lokalno omrežje, razširjeno po vsem svetu.

Vzpostavlja šifrirane povezave med enakovrednimi napravami in vsakemu članu dodeli interno IP-naslov.

Brez javnih IP-jev.
Brez zapletenega posredovanja vrat.
Brez težkih PKI sistemov.

Ta vodič prikazuje praktične korake za vključitev MikroTik naprav v ZeroTier omrežje in varno izpostavitev lokalnih storitev.

Kaj je ZeroTier?

ZeroTier je virtualna omrežna platforma – kombinacija VPN, P2P in SD-WAN.

Na vsaki napravi ustvari virtualni vmesnik (običajno zt0).

Naprave se pridružijo omrežju z ID-jem omrežja.

Člani prejmejo zasebne IP-je in varno komunicirajo.

Planetski/lunini strežniki pomagajo le pri odkrivanju.

Promet je po možnosti neposredno P2P.

Kako ZeroTier deluje (na kratko)

• Krmilnik (Network): omrežja ustvarjate in upravljate na my.zerotier.com ali preko svojega krmilnika.
• Enakovredne naprave: naprave, ki poganjajo ZeroTier klienta in se pridružijo omrežju.
• Planet/Moone: pomoč pri odkrivanju in posredovanju (javni ali samostojni).

ZeroTier samodejno uredi prehod preko NAT.

Avtentikacijo izvaja administrator, ki odobri nove naprave v spletni konzoli.

Varnostni model

ZeroTier uporablja napredne kriptografske metode (Curve25519, overjeni začasni ključi).

Vsaka naprava ima par ključev in 40-bitni naslov, podoben strojni opremi.

Administratorji nadzorujejo, kdo se lahko pridruži.

ZeroTier ne dešifrira prometa na javnih krmilnikih.

Opomba: Za popolno neodvisnost gostite svoj krmilnik in moone.

Hitra nastavitev (strežnik, namizje)

1. Ustvarite račun in omrežje na https://my.zerotier.com.

2. Zabeležite si Network ID (primer: 8056c2e21c000001).

3. Namestite klienta na Linux strežniku ali VPS:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

4. V spletni konzoli odobrite novo napravo (preklopite Auth?).

5. Potrdite interne IP-je z zerotier-cli listnetworks.

Preprosto.

Namestitev ZeroTier na MikroTik (RouterOS 7.5+)

MikroTik ponuja uradni ZeroTier paket za RouterOS 7.x.

Koraki:

1. Prenesite ustrezno zerotier-7.x-<arch>.npk na mikrotik.com.
2. Naložite .npk na usmerjevalnik in ga ponovno zaženite.
3. Ustvarite ZeroTier vmesnik in se pridružite omrežju:

/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print

4. V ZeroTier spletni konzoli odobrite MikroTik.

Ko status pokaže connected, je usmerjevalnik povezan v Tailnet.

Nasvet: Po nadgradnji RouterOS poskrbite za posodobitev ZeroTier paketa.

Oglašanje in usmerjanje lokalnih podomrežij

Če želite, da so naprave v lokalnem LAN dosegljive preko ZeroTier, dodajte usmerjevalne ali NAT pravila.

Možnost A — usmerjanje LAN (priporočeno, če je mogoče)

Na MikroTiku objavite lokalno podomrežje z dodajanjem poti in omogočanjem posredovanja:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Prepričajte se, da ZeroTier vozlišča poznajo pot (oglašeno prek krmilnika ali sprejeto v nastavitvah).

Možnost B — dst-nat za določeno storitev (ozko in varno)

Preslikajte ZeroTier IP/vrata na notranji naslov:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Dostopajte do storitve preko http://<zerotier-ip>:8081 iz druge naprave.

Opozorilo: Izpostavite samo potrebne storitve. Izogibajte se široki izpostavitvi omrežij, razen če imate strogo kontrolo dostopa.

Uporabni operativni nasveti

• Izberite neprekrivajoča zasebna podomrežja za lokalne mreže na lokaciji, da se izognete konfliktom.
• Uporabljajte opisna imena v ZeroTier konzoli za lažje sledenje usmerjevalnikom.
• Združujte vozlišča z oznakami in ACL-ji za enostavnejši nadzor.
• Spremljajte izhode zerotier-cli in RouterOS dnevnike za reševanje težav.

Odpravljanje pogostih težav

• Vozlišče se obdrži na REQUESTING_CONFIGURATION: Preverite, ali je krmilnik dosegljiv in naprava avtorizirana.
• Ni P2P poti: DERP releji posredujejo promet; preverite zmogljivost in razmislite o lastnih moon strežnikih.
• IP konflikt z lokalnim LAN: Spremenite ZeroTier dodeljeni obseg ali lokalni LAN.

Primerjava z drugimi rešitvami

Kdaj izbrati ZeroTier

• Potrebujete hitro, neposredno mreženje med številnimi napravami.
• Morate dostopati do naprav za napravo CGNAT brez javnih IP-jev.
• Želite hibrid rešitev – P2P z možnostjo relays in uporabniku prijazen vmesnik.

Če potrebujete strogo identitetno osnovane ACL-je povezane s corporate SSO, preizkusite Tailscale.

Kje pomaga MKController: Za ekipe, ki upravljajo velike MikroTik flote, MKController NATCloud poenostavi oddaljeni dostop in nadzor, zmanjša delo na posamezni napravi ob ohranitvi upravljanja in opazovanja.

Zaključek

ZeroTier močno zmanjša ovire oddaljenega upravljanja.

Je hiter, varen in primeren za mešana okolja.

S nekaj ukazi na RouterOS lahko povežete MikroTik in varno dostopate do notranjih storitev.

Začnite z majhnim: avtorizirajte usmerjevalnik, izpostavite eno storitev, nato razširite poti in ACL-je.

O MKController

Upamo, da vam so zgornje informacije pomagale bolje upravljati vaš MikroTik in internetni svet! 🚀
Ne glede na to, ali optimizirate konfiguracije ali urejate mrežni kaos, MKController vam poenostavi delo.

Z osrednjim oblačnim upravljanjem, samodejnimi varnostnimi posodobitvami in uporabo prijazno nadzorno ploščo imamo orodja, ki nadgradijo vašo operacijo.

👉 Začnite brezplačno 3-dnevno preskusno obdobje na mkcontroller.com in odkrijte, kako je lahko upravljanje omrežja enostavno.