Перейти до вмісту
MKController Blog
InstagramYouTubeFacebook

Remote Access

Віддалене керування MikroTik по ZeroTier

Використовуйте ZeroTier на RouterOS 7.5+, щоб побудувати P2P віртуальну LAN до MikroTik за CGNAT чи NAT без публічних IP та проброса портів.

MKController5 min read

Стисло ZeroTier будує захищену peer-to-peer віртуальну LAN, завдяки якій маршрутизатори MikroTik стають доступними через інтернет без публічних IP, без проброса портів і без PKI, який треба підтримувати. RouterOS 7.5+ постачається з офіційним пакетом ZeroTier; цей посібник охоплює встановлення на MikroTik, налаштування мережі на my.zerotier.com, анонсування підмережі LAN, NAT для вузької експозиції сервісів та операційні поради, які тримають мультисайт-розгортання ZeroTier керованим.

Як ZeroTier забезпечує віддалене керування MikroTik?

ZeroTier — це віртуальна мережева платформа, що поєднує риси VPN, peer-to-peer-меш і SD-WAN у єдиному overlay. Кожен вузол запускає клієнт ZeroTier, який створює віртуальний інтерфейс (зазвичай zt0 у Linux, zt1 на MikroTik), приєднується до мережі за Network ID і отримує приватну IP з цієї мережі. Peer-вузли спілкуються напряму, коли це дозволяють умови мережі; публічні сервери «planet» і «moon» допомагають з виявленням і ретранслюють трафік, коли прямі шляхи неможливі. З погляду MikroTik, ZeroTier перетворює кожен маршрутизатор у Tailnet на учасника плоскої віртуальної LAN з автоматичним обходом NAT — без публічних IP, без проброса портів, без керування ключами по пристроях.

Для парків MikroTik сильні сторони — це швидкість розгортання й операційна простота: встановіть пакет, приєднайтесь до одного Network ID, схваліть у адмін-консолі — і маршрутизатор доступний. Компроміси — залежність від control plane ZeroTier (або власних самохостингових moons для повної незалежності) та менш гранулярний контроль ACL за ідентичністю, ніж у Tailscale. Про близьку альтернативу Tailscale дивіться наш гайд із Tailscale.

Архітектура ZeroTier

  • Controller (Network) — створюється та керується на my.zerotier.com або через самохостинговий controller.
  • Peers — пристрої з клієнтом ZeroTier, що приєднались до мережі.
  • Planet / Moons — публічні чи самохостингові помічники для виявлення та ретрансляції.

Обхід NAT відбувається автоматично. Автентифікація — коли адміністратор схвалює нові peer у вебконсолі. ZeroTier не розшифровує трафік на публічних controllers — шифрування наскрізне на сучасній криптографії (Curve25519, автентифіковані ефемерні ключі), і кожен вузол має унікальну пару ключів плюс 40-бітну «hardware-like» адресу. Хостуйте controllers і moons самостійно, якщо потрібна повна операційна незалежність.

Крок 1: Створіть мережу ZeroTier

  1. Відкрийте https://my.zerotier.com й увійдіть (або створіть акаунт).
  2. Створіть нову мережу.
  3. Запишіть Network ID — шістнадцяткосимвольний шістнадцятковий рядок (наприклад, 8056c2e21c000001).

Крок 2: Швидке налаштування на сервері чи робочій станції

Встановіть клієнт ZeroTier на Linux-сервері або VPS, щоб перевірити мережу:

curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

У вебконсолі авторизуйте новий вузол (перемкніть Auth?). Перевірте призначену ZeroTier-адресу через zerotier-cli listnetworks. Це і є перший peer.

Крок 3: Встановіть ZeroTier на MikroTik (RouterOS 7.5+)

MikroTik надає офіційний пакет ZeroTier для RouterOS 7.x:

  1. Завантажте відповідний zerotier-7.x-<arch>.npk з mikrotik.com.
  2. Завантажте .npk на маршрутизатор (киньте у вікно Files через Winbox) і перезавантажте.
  3. Створіть інтерфейс ZeroTier і приєднайтесь до мережі:
/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print
  1. Схваліть MikroTik у вебконсолі ZeroTier (перемкніть Auth?).

Коли status показує connected, маршрутизатор у Tailnet. Тримайте пакет ZeroTier оновленим після кожного апгрейду RouterOS — це дві незалежні гілки версій, і відставання на будь-якій спричиняє тихі проблеми зі зв’язком.

Крок 4: Анонсуйте та маршрутизуйте локальні підмережі

Щоб пристрої LAN маршрутизатора стали доступними через ZeroTier, оберіть між маршрутизацією усієї підмережі та вузькою експозицією окремих сервісів.

Варіант A: маршрутизувати LAN (бажано, коли можливо)

На MikroTik анонсуйте локальну підмережу через ZeroTier та дозвольте форвардинг:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 \
    dst-address=!192.168.88.0/24 action=accept

Далі прийміть анонсований маршрут в адмін-консолі ZeroTier, щоб інші peer-и його дізнались.

Варіант B: dst-nat одного сервісу (вузько та безпечно)

Зіставте порт з боку ZeroTier з одним внутрішнім хостом:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Доступ з іншого peer через http://<zerotier-ip>:8081. Використовуйте Варіант B, коли не потрібна експозиція всієї підмережі, а потрібні конкретні доступні сервіси.

Операційні поради

  • Обирайте непересічні приватні підмережі для LAN різних майданчиків, аби уникнути конфліктів маршрутизації при підключенні кількох майданчиків до однієї Tailnet.
  • Використовуйте описові імена в консолі ZeroTier, щоб розуміти, який маршрутизатор де.
  • Групуйте вузли тегами й ACL для простішого контролю доступу зі зростанням парку.
  • Слідкуйте за виводом zerotier-cli та логами RouterOS на предмет проблем зі зв’язком — ретрансльований трафік добре видно в метриках.

Усунення поширених несправностей

  • Вузол застряг у REQUESTING_CONFIGURATION — перевірте, що controller досяжний з маршрутизатора і що вузол авторизований.
  • Немає peer-to-peer шляху — релеї проксіюватимуть трафік через planet/moons; оцініть продуктивність і розгляньте власні moons для вимог до низької латентності.
  • Конфлікт IP з локальною LAN — змініть або діапазон IP, виданий ZeroTier, або підмережу локальної LAN.

Порівняння з іншими опціями VPN

РішенняПотрібен публічний IPПростота налаштуванняНайкраще для
ZeroTierНіДуже простоШвидкий mesh, пристрої за NAT/CGNAT
TailscaleНіДуже простоControl plane за ідентичністю, команди
WireGuard (вручну)ІнодіСередньоВисока продуктивність, DIY-збірки
OpenVPN / IPsecІнодіСкладноСумісність із застарілим, контроль PKI

Про WireGuard у цьому порівнянні — наш гайд із віддаленого керування WireGuard; про патерн OpenVPN — гайд OpenVPN.

Коли обирати ZeroTier

Обирайте ZeroTier, коли потрібен швидкий mesh з низьким тертям між багатьма пристроями, коли треба дістатися до пристроїв за CGNAT без публічних IP, або коли потрібен гібрид — peer-to-peer з опційними ретрансляторами і дружнім адмін-UI. Якщо важливіші суворі ACL за ідентичністю з прив’язкою до корпоративного SSO, краще пасує Tailscale.

Зробіть наступний крок

ZeroTier суттєво знижує тертя віддаленого керування — швидко, безпечно, добре підходить для змішаних середовищ. Кілька команд RouterOS — і MikroTik уже в Tailnet, а внутрішні сервіси доступні безпечно. Починайте з малого: авторизуйте один маршрутизатор, виставте один сервіс, далі розширюйте маршрути й ACL.

Для команд, які керують більшими парками MikroTik, NATCloud від MKController централізує віддалений доступ і моніторинг багатьох пристроїв в одному дашборді, скорочуючи мережеву роботу на пристрій і зберігаючи узгодженість керування й спостережуваності.

Розпочніть безкоштовний пробний період MKController