จัดการ Mikrotik ของคุณด้วย ZeroTier
สรุป
ZeroTier สร้างเครือข่ายเสมือนแบบ peer-to-peer ที่ปลอดภัย ทำให้เข้าถึงอุปกรณ์ MikroTik ระยะไกลได้โดยไม่ต้องมี IP สาธารณะหรือ VPN ซับซ้อน คู่มือนี้ครอบคลุมการติดตั้ง การรวม MikroTik การตั้งค่าเส้นทาง subnet และเคล็ดลับการใช้งาน
การจัดการ MikroTik ระยะไกลด้วย ZeroTier
ZeroTier เหมือนกับ LAN ที่ขยายไปทั่วโลก
มันสร้างลิงก์ peer-to-peer ที่เข้ารหัส และมอบ IP ภายในให้กับสมาชิกทุกคน
ไม่มี IP สาธารณะ
ไม่มีการส่งต่อพอร์ตที่ยุ่งยาก
ไม่ต้องใช้ PKI หนักหน่วง
คู่มือนี้แสดงขั้นตอนปฏิบัติสำหรับการนำ MikroTik เข้าสู่เครือข่าย ZeroTier และเผยบริการภายในอย่างปลอดภัย
ZeroTier คืออะไร?
ZeroTier คือแพลตฟอร์มเครือข่ายเสมือน — ผสมผสานระหว่าง VPN, P2P และ SD‑WAN
มันสร้างอินเทอร์เฟซเสมือน (โดยทั่วไปคือ zt0) บนอุปกรณ์แต่ละตัว
อุปกรณ์เข้าร่วมเครือข่ายโดยใช้ Network ID
สมาชิกได้รับ IP ส่วนตัวและสื่อสารกันอย่างปลอดภัย
เซิร์ฟเวอร์ Planet/moon ช่วยแค่การค้นหา
ทราฟฟิกจะเป็นแบบ peer-to-peer เมื่อเป็นไปได้
ZeroTier ทำงานอย่างไร (สั้น ๆ)
- Controller (เครือข่าย): คุณสร้างและจัดการเครือข่ายได้ที่ my.zerotier.com หรือควบคุมด้วย controller ของตัวเอง
- Peers: อุปกรณ์ที่รันไคลเอนต์ ZeroTier และเข้าร่วมเครือข่าย
- Planet/Moons: ตัวช่วยค้นหา/รีเลย์ (สาธารณะหรือโฮสต์เอง)
ZeroTier จัดการการเจาะผ่าน NAT ให้อัตโนมัติ
การตรวจสอบสิทธิ์: ผู้ดูแลระบบอนุมัติโหนดใหม่ผ่านเว็บคอนโซล
แบบจำลองความปลอดภัย
ZeroTier ใช้ระบบเข้ารหัสสมัยใหม่ (Curve25519, กุญแจ ephemeral ที่ตรวจสอบสิทธิ์แล้ว)
แต่ละโหนดมีคีย์คู่และที่อยู่เหมือนฮาร์ดแวร์ยาว 40 บิต
ผู้ดูแลระบบควบคุมโหนดที่ได้รับอนุญาตเข้าร่วม
ZeroTier ไม่ถอดรหัสทราฟฟิกบน controller สาธารณะ
หมายเหตุ: โฮสต์ controller หรือ moons ของคุณเองถ้าต้องการความเป็นอิสระเต็มที่
การตั้งค่าอย่างรวดเร็ว (เซิร์ฟเวอร์, เดสก์ท็อป)
-
สร้างบัญชีและเครือข่ายที่
https://my.zerotier.com -
จด Network ID (ตัวอย่าง:
8056c2e21c000001) -
ติดตั้งไคลเอนต์บนเซิร์ฟเวอร์ Linux หรือ VPS:
curl -s https://install.zerotier.com | sudo bashsudo zerotier-cli join 8056c2e21c000001sudo zerotier-cli listnetworks-
ในเว็บคอนโซล อนุมัติโหนดใหม่ (เปิดสวิตช์ Auth?)
-
ตรวจสอบ IP ภายในด้วยคำสั่ง
zerotier-cli listnetworks
ง่ายมาก
ติดตั้ง ZeroTier บน MikroTik (RouterOS 7.5+)
MikroTik มีแพ็กเกจ ZeroTier อย่างเป็นทางการสำหรับ RouterOS 7.x
ขั้นตอน:
- ดาวน์โหลดไฟล์
zerotier-7.x-<arch>.npkที่ตรงกับสถาปัตยกรรมจาก mikrotik.com - อัปโหลด
.npkไปยังไฟล์ในเราเตอร์แล้วรีบูตอุปกรณ์ - สร้างอินเทอร์เฟซ ZeroTier และเข้าร่วมเครือข่าย:
/interface zerotier add name=zt1 network=8056c2e21c000001/interface zerotier print- อนุมัติ MikroTik ในเว็บคอนโซล ZeroTier
เมื่อสถานะ connected หมายความว่าเราเตอร์อยู่ใน Tailnet
คำแนะนำ: อัปเดตแพ็กเกจ ZeroTier หลังจากอัปเกรด RouterOS
ประกาศและตั้งค่าเส้นทาง subnet ภายใน
ถ้าต้องการให้อุปกรณ์ใน LAN ของเราเตอร์เข้าถึงได้ผ่าน ZeroTier ให้เพิ่มกฎเส้นทางหรือ NAT
ตัวเลือก A — เส้นทาง LAN (แนะนำถ้าเป็นไปได้)
บน MikroTik ประกาศ subnet ภายในโดยเพิ่มเส้นทางและอนุญาตการฟอร์เวิร์ด:
/ip route add dst-address=192.168.88.0/24 gateway=zt1/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=acceptจากนั้นตรวจสอบให้เพียร์ ZeroTier รู้เส้นทางนี้ (ประกาศผ่าน controller หรือยอมรับในตั้งค่า)
ตัวเลือก B — dst-nat ไปยังบริการเฉพาะ (จำกัดและปลอดภัย)
แมป IP/พอร์ต ZeroTier ไปยังโฮสต์ภายใน:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \ action=dst-nat to-addresses=192.168.88.10 to-ports=80เข้าถึงจากเพียร์อื่นด้วย http://<zerotier-ip>:8081
คำเตือน: เผยบริการเฉพาะที่จำเป็นเท่านั้น หลีกเลี่ยงการเปิดเส้นทางกว้างๆ เว้นแต่ควบคุมการเข้าถึงอย่างเข้มงวด
เคล็ดลับการใช้งานที่เป็นประโยชน์
- เลือก subnet ส่วนตัวไม่ทับซ้อนกันสำหรับ LAN ของแต่ละไซต์เพื่อหลีกเลี่ยงปัญหาเส้นทาง
- ใช้ชื่อที่อธิบายในเว็บคอนโซล ZeroTier เพื่อการติดตามเราเตอร์
- จัดกลุ่มโหนดด้วยแท็กและ ACL เพื่อควบคุมการเข้าถึงง่ายขึ้น
- ตรวจสอบผลลัพธ์
zerotier-cliและล็อก RouterOS เมื่อมีปัญหาการเชื่อมต่อ
แก้ไขปัญหาพื้นฐานทั่วไป
- โหนดค้างที่
REQUESTING_CONFIGURATION: ตรวจสอบว่า controller เชื่อมต่อได้และโหนดได้รับอนุญาต - ไม่มีเส้นทาง peer-to-peer: relays DERP จะช่วยถ่ายโอนทราฟฟิก; ตรวจสอบประสิทธิภาพและพิจารณาใช้ moons โฮสต์เอง
- IP ขัดแย้งกับ LAN ท้องถิ่น: เปลี่ยนช่วง IP ที่ ZeroTier กำหนด หรือเปลี่ยน LAN ภายใน
เปรียบเทียบกับโซลูชันอื่น ๆ
| โซลูชัน | ต้องมี IP สาธารณะ | ความง่าย | เหมาะกับ |
|---|---|---|---|
| ZeroTier | ไม่ต้องใช้ | ง่ายมาก | สร้าง mesh รวดเร็ว, อุปกรณ์ระยะไกลหลัง NAT |
| Tailscale | ไม่ต้องใช้ | ง่ายมาก | ควบคุมด้วยตัวตน, ทีมงาน |
| WireGuard (ตั้งค่าด้วยมือ) | บางครั้ง | ปานกลาง | ประสิทธิภาพสูง, ทำเองได้ |
| OpenVPN / IPSec | บางครั้ง | ซับซ้อน | รองรับของเก่า, ควบคุม PKI |
เมื่อไรควรเลือก ZeroTier
- ต้องการ mesh เร็วและไม่มีความยุ่งยากในอุปกรณ์จำนวนมาก
- ต้องการเข้าถึงอุปกรณ์หลัง CGNAT โดยไม่ต้องมี IP สาธารณะ
- ต้องการโซลูชันผสม—peer-to-peer พร้อม relays ทางเลือกและ UI ใช้งานง่าย
ถ้าต้องการ ACL ระดับตัวตนที่ผูกกับ SSO ขององค์กร แนะนำพิจารณา Tailscale
MKController ช่วยได้อย่างไร: สำหรับทีมดูแล MikroTik จำนวนมาก MKController พร้อม NATCloud ช่วยจัดการและมอนิเตอร์ระยะไกล ศูนย์กลาง ลดงานแต่ละอุปกรณ์พร้อมคุมระบบและตรวจสอบ
สรุป
ZeroTier ลดความยุ่งยากในการจัดการระยะไกลได้อย่างมาก
รวดเร็ว ปลอดภัย และเหมาะกับสภาพแวดล้อมผสม
แค่คำสั่ง RouterOS ง่ายๆ ก็เชื่อม MikroTik และเข้าถึงบริการภายในได้อย่างปลอดภัย
เริ่มจากเล็ก ๆ อนุมัติเราเตอร์ เผยบริการหนึ่ง จากนั้นขยายเส้นทางและ ACL
เกี่ยวกับ MKController
หวังว่าข้อมูลข้างต้นจะช่วยให้คุณจัดการ MikroTik และโลกอินเทอร์เน็ตได้ดีขึ้น! 🚀
ไม่ว่าคุณจะตั้งค่าระบบหรือจัดการความวุ่นวายของเครือข่าย MKController พร้อมช่วยให้งานของคุณง่ายขึ้น
ด้วยการจัดการระบบคลาวด์ศูนย์กลาง อัปเดตความปลอดภัยอัตโนมัติ และแดชบอร์ดที่ใครก็ใช้งานได้ เราพร้อมอัพเกรดงานของคุณ
👉 เริ่มทดลองใช้งานฟรี 3 วันเลย ที่ mkcontroller.com — สัมผัสการควบคุมเครือข่ายที่ง่ายดายจริง ๆ ได้ที่นี่