Bỏ qua nội dung
Blog

Quản lý MikroTik của bạn với ZeroTier

Tóm tắt
ZeroTier tạo ra mạng LAN ảo ngang hàng bảo mật giúp thiết bị MikroTik từ xa có thể truy cập mà không cần IP công khai hay VPN phức tạp. Hướng dẫn này bao gồm cài đặt, tích hợp MikroTik, định tuyến mạng con và mẹo vận hành.

Quản lý MikroTik từ xa với ZeroTier

ZeroTier giống như một mạng LAN trải rộng khắp toàn cầu.

Nó tạo các liên kết ngang hàng mã hóa và cấp IP nội bộ cho từng thành viên.

Không cần IP công khai.
Không cần chuyển tiếp cổng rườm rà.
Không cần PKI phức tạp.

Hướng dẫn này trình bày các bước thực tiễn để đưa MikroTik vào mạng ZeroTier và mở dịch vụ nội bộ an toàn.

ZeroTier là gì?

ZeroTier là nền tảng mạng ảo — kết hợp VPN, P2P và SD-WAN.

Nó tạo giao diện ảo (thường là zt0) trên mỗi nút.

Các nút tham gia mạng bằng ID mạng.

Thành viên nhận IP riêng và kết nối an toàn.

Máy chủ Planet/Moon chỉ hỗ trợ phát hiện.

Lưu lượng ưu tiên ngang hàng khi có thể.

Cách ZeroTier hoạt động (tóm tắt)

  • Bộ điều khiển (Network): bạn tạo và quản lý mạng tại my.zerotier.com hoặc bộ điều khiển riêng.
  • Peers: thiết bị chạy client ZeroTier và tham gia mạng.
  • Planet/Moons: công cụ phát hiện/điều phối (công khai hoặc tự lưu trữ).

ZeroTier tự động xử lý vượt NAT.

Xác thực: quản trị viên phê duyệt thiết bị mới trên giao diện web.

Mô hình bảo mật

ZeroTier dùng mật mã hiện đại (Curve25519, khóa tạm thời xác thực).

Mỗi nút có cặp khóa và địa chỉ phần cứng 40-bit.

Quản trị viên kiểm soát thiết bị được phép tham gia.

ZeroTier không giải mã lưu lượng trên bộ điều khiển công khai.

Lưu ý: Tự lưu trữ bộ điều khiển/moons nếu cần độc lập hoàn toàn về vận hành.

Cài đặt nhanh (máy chủ, desktop)

  1. Tạo tài khoản và mạng tại https://my.zerotier.com.

  2. Ghi lại Network ID (ví dụ: 8056c2e21c000001).

  3. Cài client trên máy chủ Linux hoặc VPS:

Terminal window
curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join 8056c2e21c000001
sudo zerotier-cli listnetworks

  1. Trên giao diện web, cấp phép nút mới (bật công tắc Auth?).

  2. Xác nhận IP nội bộ với zerotier-cli listnetworks.

Rất đơn giản.

Cài ZeroTier trên MikroTik (RouterOS 7.5+)

MikroTik cung cấp gói ZeroTier chính thức cho RouterOS 7.x.

Các bước:

  1. Tải file zerotier-7.x-<arch>.npk phù hợp trên mikrotik.com.
  2. Upload .npk vào router rồi khởi động lại thiết bị.
  3. Tạo giao diện ZeroTier và tham gia mạng:
/interface zerotier add name=zt1 network=8056c2e21c000001
/interface zerotier print
  1. Phê duyệt MikroTik trong giao diện web ZeroTier.

Khi status hiện connected, router đã nằm trong Tailnet.

Mẹo: Cập nhật gói ZeroTier sau khi nâng cấp RouterOS.

Quảng bá và định tuyến mạng con địa phương

Nếu muốn thiết bị trên LAN router có thể truy cập qua ZeroTier, thêm luật định tuyến hoặc NAT.

Lựa chọn A — Định tuyến LAN (ưu tiên nếu được)

Trên MikroTik, khai báo mạng con nội bộ bằng cách thêm route và cho phép chuyển tiếp:

/ip route add dst-address=192.168.88.0/24 gateway=zt1
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=!192.168.88.0/24 action=accept

Đảm bảo các nút ZeroTier biết về route (qua bộ điều khiển hoặc thiết lập được chấp nhận).

Lựa chọn B — dst-nat dịch vụ cụ thể (hẹp và an toàn)

Map IP/port ZeroTier tới host nội bộ:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.10 to-ports=80

Truy cập từ nút khác qua http://<zerotier-ip>:8081.

Cảnh báo: Chỉ mở dịch vụ cần thiết. Tránh công khai route rộng trừ khi kiểm soát truy cập chặt.

Mẹo vận hành hữu ích

  • Chọn mạng con riêng không chồng chéo cho LAN site để tránh xung đột định tuyến.
  • Dùng tên mô tả trong web console ZeroTier để dễ quản lý router.
  • Nhóm nút qua tag và ACL để đơn giản hóa kiểm soát truy cập.
  • Giám sát zerotier-cli và log RouterOS khi có sự cố kết nối.

Khắc phục sự cố phổ biến

  • Nút bị kẹt tại REQUESTING_CONFIGURATION: Kiểm tra bộ điều khiển có đang hoạt động và nút đã được phê duyệt.
  • Không có đường ngang hàng: Relay DERP sẽ chuyển tiếp; kiểm tra hiệu năng và cân nhắc tự lưu trữ moons.
  • Xung đột IP với LAN: Thay đổi dải ZeroTier hoặc LAN cục bộ.

So sánh với các giải pháp khác

Giải phápCần IP công khaiDễ dùngPhù hợp với
ZeroTierKhôngRất dễLưới nhanh, thiết bị sau NAT từ xa
TailscaleKhôngRất dễĐiều khiển dựa trên danh tính, nhóm
WireGuard (thủ công)Thỉnh thoảngTrung bìnhHiệu năng cao, tự cấu hình
OpenVPN / IPSecThỉnh thoảngPhức tạpTương thích cũ, kiểm soát PKI

Khi nào chọn ZeroTier

  • Cần lưới nhanh, ít phiền hà trên nhiều thiết bị.
  • Muốn truy cập thiết bị sau CGNAT không phải cấp IP công khai.
  • Muốn hệ hybrid — ngang hàng với relay tùy chọn và UI thân thiện.

Nếu cần ACL chặt chẽ gắn với SSO công ty, xem xét Tailscale.

MKController hỗ trợ: Với đội nhóm quản lý nhiều MikroTik, MKController NATCloud tập trung truy cập và giám sát — giảm công sức mạng trên từng thiết bị đồng thời duy trì quản trị và quan sát.

Kết luận

ZeroTier giảm thiểu tối đa khó khăn khi quản lý từ xa.

Nó nhanh, an toàn và phù hợp môi trường đa dạng.

Chỉ với vài lệnh RouterOS, bạn kết nối MikroTik và truy cập dịch vụ nội bộ an toàn.

Bắt đầu nhỏ: cấp phép router, mở một dịch vụ, rồi mở rộng định tuyến và ACL.

Về MKController

Hy vọng những thông tin trên giúp bạn điều hướng MikroTik và hệ thống mạng tốt hơn! 🚀
Dù bạn tinh chỉnh cấu hình hay chỉ muốn tổ chức lại mạng phức tạp, MKController luôn hỗ trợ bạn làm việc hiệu quả hơn.

Với quản lý đám mây trung tâm, cập nhật bảo mật tự động và bảng điều khiển dễ sử dụng, chúng tôi có giải pháp nâng tầm vận hành của bạn.

👉 Bắt đầu dùng thử miễn phí 3 ngày tại mkcontroller.com — và trải nghiệm kiểm soát mạng dễ dàng thực sự.