MikroTik + ZeroTier VPN: site-to-site povezivanje dvije udaljene lokacije

Spajanje više fizičkih lokacija koje su međusobno udaljene kilometrima u jednu logičku računalnu mrežu je stvarna potreba ali i praktična. Pogotovo to vrijedi za tvrtke koje imaju više manjih ureda raštrkanih po cijelom gradu, državi, kontinentu. I onda je odličan osjećaj kad nečemu možemo pristupiti kao da je to smješteno kod nas u lokalnoj mreži, a zapravo se nalazi negdje tamo daleko.

Da bi to sve radilo i na siguran način, bez da netko može upasti u našu mrežu i slušati podatke, treba osigurati da je veza između lokacija kriptirana na neki način.
Nekad je za to trebalo imati kompleksnija VPN rješenja poput IPsec i uložiti sate u konfiguraciju.

Danas imamo više mogućih alata poput WireGuard i Tailscale, koji su sigurni i relativno jednostavni za složiti. U ovom članku opisujem kako sam to postigao korištenjem ZeroTier servisa.

Scenarij

Moja potreba je bila da spojim dvije lokacije koji su fizički udaljene jedna od druge 50ak km.
Svaka lokacija ima svoju privatnu LAN mrežu.
Iako nebitno za ovu priču; svaka lokacija ima svog različitog pružatelja Internet usluga (ISP).

Kako Mikrotik ima službenu podršku za ZeroTier sa svoje strane, odlučio sam se da na obje lokacije bude Mikrotik router.

Korištena oprema:

• Lokacija A: Mikrotik RB4011iGS+5HacQ2HnD-IN
• Lokacija B: Mikrotik Chateau PRO ax
• RouterOS: 7.20.6

Cilj je povezati ove dvije lokacije u jednu cjelinu. Da mogu s računala „A lokacije“ doći do računala na „B lokaciji“. Sve naravno korištenjem privatnih IP adresa.

Prije nego krenemo s konfiguracijom, da prvo vidimo što je to ZeroTier i kako radi.

ZeroTier teorija

ZeroTier je softverska platforma koja omogućuje sigurno povezivanje računala, servera i mrežnih uređaja u jednu virtualnu privatnu mrežu, bez obzira na njihovu fizičku lokaciju. Temelji se na konceptu Software Defined Networking (SDN), gdje se mrežna logika odvaja od fizičke infrastrukture. Uređaji povezani putem ZeroTier-a ponašaju se kao da su spojeni na istu lokalnu mrežu (LAN), iako se u stvarnosti nalaze na različitim lokacijama.

ZeroTier arhitektura se dijeli na tri sloja:

1. Client/Node – softver instaliran na uređajima koji želi biti dio mreže (računala, serveri, routeri …)
2. Controller/Network Server – centralno mjesto, odnosno konzola, koje autorizira uređaje, dodjeljuje virtualne adrese i propagira mrežne informacije
3. Rendezvous i Root servers – serveri koji pomažu u peer discovery i NAT traversal kada uređaji nisu direktno dostupni

Svaki uređaj u ZeroTier mreži instalira ZeroTier klijent, koji uspostavlja peer-to-peer (P2P) tunel s ostalim članovima mreže.

Kada se uređaj pridruži mreži:

• Klijenti pokušavaju uspostaviti direktnu peer-to-peer (P2P) vezu koristeći UDP hole punching tehniku
• Ako direktna veza nije moguća, promet se tunelira kroz relay node (root server)

Ovaj pristup smanjuje latenciju jer većina prometa ide direktno između uređaja, umjesto kroz centralni server.

ZeroTier komunikacija ide preko UDP 9993 porta. Ovo je glavni port koji ZeroTier koristi za sve P2P komunikacije između klijenata i za komunikaciju s Rendezvous/Root serverima.

Nakon što se uspostave tuneli, svaki klijent dobije virtualnu IP adresu unutar ZeroTier mreže (IPv4 i/ili IPv6).

ZeroTier implementira end-to-end enkripciju:

• Svaki peer ima javne i privatne ključeve (elliptic curve cryptography – ECC)
• Promet između dva uređaja je kriptiran koristeći AES-256-GCM ili slične moderne algoritme
• Centralno mjesto, odnosno konzola, vidi samo topologiju mreže i članstvo, ali ne i sadržaj prometa

Kontrola pristupa i konfiguracija prometa se određuje tako da svaka ZeroTier mreža koja se napravi u konzoli dobije svoj network ID. Samo uređaji s istim network ID mogu međusobno komunicirati.
U konzoli se također autoriziraju uređaji koji će sudjelovati u mrežnom prometu. Ovo je najbolje raditi ručno – jer se time ima kontrola uređaja koje dodajemo u svoju mrežu.

Ovo je ovako ugrubo objašnjenje.

Za one koji žele znati više, evo par linkova:

• Guides | ZeroTier Documentation
• ZeroTier Security | ZeroTier Documentation
• The Protocol | ZeroTier Documentation
• ZeroTier – RouterOS – MikroTik Documentation

ZeroTier besplatni i plaćeni

U trenutku pisanja ovog članka ZeroTier omogućuje besplatni plan te plaćeni plan.

Besplatni (onaj koji mi ovdje koristimo) uključuje:

• Spajanje do 10 uređaja u mrežu
• Kreiranje jedne mreže

To će biti dovoljno za scenarij koji slažemo.

Detaljnije razlike i cijene na linku.

Idemo napokon na Mikrotik i ZeroTier konfiguraciju …

Mikrotik i ZeroTier konfiguracija

1. Na Mikrotik routeru potrebno je instalirati ZeroTier paket.
   
   Otići na System > Packages.
   
   Paket ZeroTier će biti zasivljen.
   Potrebno ga je označiti, a zatim na Enable.
   Za kraj treba kliknuti na Apply Changes – time će se router restartati automatski i ZeroTier paket će biti instaliran.
   
   Nakon što se Mikrotik router restarta, u glavnom izborniku na lijevoj strani pojaviti će se ZeroTier.
   
   

2. Slijedi ZeroTier konfiguracija.
   Prvi dio treba napraviti u ZeroTier web sučelju koje je centralno mjesto u kojem se konfiguriraju virtualne IP adrese i odobravaju uređaji koji će se spajati u ZeroTier mrežu.
   
   To je ZeroTier Central: https://central.zerotier.com/
   
   Može se napraviti potpuno novi korisnički račun ili koristiti postojeći uz pomoć od nekog od pružatelja identiteta.
   
   Kako već imam privatni Microsoft račun, koristi ću to – najviše zbog toga što na njemu imam složenu MFA i passwordless zaštitu, tako da ne moram upisivati lozinku nigdje.
   A i imam jedan korisnički račun manje za pamtiti.
   
   Kad se uđe u ZeroTier Central, potrebno je napraviti slijedeće:
   1. Kreirati svoju organizaciju. Dati joj prepoznatljivo ime, da znate o čemu se radi.
      
      
   2. Kreirati Network grupu – služi za organizaciju svih mreža koje se mogu slagati.
      Ovo je korisno ako se npr. unutar firme nalaze razni odjeli, pa da ih se organizacijski odvoji.
      No kako besplatni plan dozvoljava kreiranje samo jedne grupe, ovdje nemamo puno za raditi.
      
      
   3. Networks – služi za kreiranje mreža koje ćemo koristiti.
      U ovom koraku se dodavaju uređaji u ZeroTier mrežu i upravlja uređajima za korištenje.
      • Pod Networks > Settings staviti neko ime mreže i opis.
        Ovdje će biti naveden jedinstveni Network ID – to treba kopirati jer taj broj će nam trebati kasnije.
        Svaka nova mreža će imati svoj jedinstveni Network ID.
      • Još uvijek pod Settings, ali sad pod IPv4 Assignment – ovdje se može ostaviti da se koristi default subnet koji je ZeroTier generirao, ali možemo i definirati svoj subnet.
        
        Tako sam i napravio; definirao sam svoj neki privatni subnet najviše zbog toga da mi uređaji imaju IP adrese slijedno a ne nasumično.
        
        Također, unaprijed određena opcija je da automatski dodjeli IP adrese uređajima koji se dodaju. Ja sam to ugasio, zato jer želim ručno dodavati IP adrese uređajima koje dodajem u ZeroTier. Ovime dobijem bolju organiziranost uređaja ali i jedan dodatni sloj zaštite, zato jer dodani uređaji neće raditi dok im ručno ne dodijelim IP adresu.

3. Vraćamo se natrag u Mikrotik na konfiguraciju.
   1. Ako imate Firewall aktivan na Mikrotiku, prvo ćemo propustiti ZeroTier port da se konekcija može ostvariti:
      
      add chain=input action=accept protocol=udp src-port=9993 log=no log-prefix=””
      
      Source port zato jer promet izvana (ZeroTier serveri) dolaze s tog porta. Ako imate kontrolu nad Outgoing prometom, onda treba propustiti port i u tom smjeru. Firewall postavke znate najbolje sami ako ga održavate.
      
      
   2. U izborniku otići na ZeroTier.
      
      
   3. Pod tabom ZeroTier, kliknuti na znak plus i dodati novi zerotier interface.
      Unijeti neko svoje ime za naziv interface-a. Pod Network unijeti onaj network ID kôd koji je naveden na ZeroTier stranici (u koraku 2c gore).
      Kliknuti OK da se spreme postavke.
      
      
   4. Pod tabom Instance se nalazi default instanca koju treba aktivirati (ako već nije). Ovo služi kao ZeroTier kontroler i preko njega se Mikrotik javlja na ZeroTier server odnosno u našu ZeroTier privatnu mrežu.
      
      
   5. Povratak u tab ZeroTier.
      Ovdje sad pod status piše “REQUESTING_CONFIGURATION”. Treba će proći par minuta (obično do 3 minute) dok ne kontaktira ZeroTier servere. Pričekati dok se status ne promijeni (napomena: ako se status ne promijeni unutar 10 minuta, onda je nešto krivo konfigurirano).
      
      Kad naš Mikrotik kontaktira ZeroTier, status će se promijeniti u “ACCESS DENIED”. Ovo je normalno i očekivano zato jer mi moramo ručno odobriti dodavanje novog uređaja u našu ZeroTier mrežu. Ovo je isto još jedan sloj zaštite mreže – da imamo potpunu kontrolu koji uređaji se smiju spajati u mrežu.
      
      Otići na ZeroTier Central web i autorizirati spajanje novog uređaja. Nakon toga će se u Mikrotiku status promijeniti u “OK”, a pod Network Name će se pojavit ime mreže koje smo definirali na ZeroTier Central webu.

Napomena: ako je stavljena opcija da treba ručno dodati IP adresu uređaju a ne automatski, onda na ZeroTier Central webu pod “Edit Member” treba ručno dodijeliti IP adresu uređaju iz mreže koja je definirana gore u koraku 2 c ii.

U Mikrotiku, pod IP > Addresses se može vidjeti za zerotier interface da ima IP adresu koja je definirana na ZeroTier Central webu.

4. Ovime je gotova Mikrotik – ZeroTier konfiguracija.
   Sad ovo sve treba ponoviti na drugom Mikrotik uređaju (uz drugu različitu ZeroTier virtualnu IP adresu naravno).

Kad je završena konfiguracija na oba Mikrotik routera, s jednog Mikrotika treba pingati ZeroTier virtualnu IP adresu od onog drugog Mikrotika. Ping naravno treba proći (napomena: ako ima Firewall, treba ga privremeno ugasiti ili dodati Rule da propušta ping).

U ZeroTier Central webu, pod „Member Devices“ vidjet će se svi podaci od oba Mikrotik routera – javne IP adrese, privatne ZeroTier adrese i da li su routeri autorizirani za sudjelovanje u mreži ili nisu.

Sve mora biti u zelenom, a pod „Last Active“ treba biti „a few seconds ago“. To znači da je aktivna veza. Ako je naveden neki drugi tekst (npr. „a few minutes ago“ ili „hours“), onda promet između dva Mikrotika nije baš aktivan.

Mikrotik rute između lokacija

Konfigurirali smo oba Mikrotik routera za ZeroTier.
No kako promet iz mreže 192.168.1.0/24 može doći do mreže 192.168.2.0/24 koja je fizički u drugoj zgradi udaljenoj 50 km?

Za to moramo još postaviti rute.

1. Na Mikrotiku s „A lokacije“, otići na IP > Routes.
2. Kliknuti na znak plus za dodavanje nove rute
   1. Destination Address – adresa mreže koja je na drugoj lokaciji a do koje želim doći: 192.168.2.0/24
   2. Gateway – navesti ZeroTier IP adresu od Mikrotik routera s „B lokacije“, jer preko nje se ide van na željenu privatnu mrežu s druge lokacije (koja je točno adresa može se vidjeti u pod IP > Addresses).

3. Ovaj postupak ponoviti na Mikrotiku s „B lokacije“, pazeći da se unese mreža od prve lokacije (192.168.1.0/24) i Gateway adresa od Mikrotik routera „A lokacije“.
4. Da li su rute dobro postavljene može se provjeriti npr. pinganjem IP adrese s jednog Mikrotik routera na drugi Mikrotik router ali ovaj put privatne IP adrese (npr. ako drugi Mikrotik ima adresu 192.168.2.1). Ping bi trebao prolaziti (paziti da Firewall ne blokira!).
   
   Ako ping prolazi od jednog routera do drugog po njihovim privatnim IP adresama (ne na one ZeroTier virtualne IP adrese), to je to. Znači da ZeroTier radi kao i promet između tih dviju mreža iz scenarija.

Za one koji imaju složen Firewall na Mikrotiku (ili negdje drugdje), ostaje vam da još propustite željeni promet između mreža, jer to sada možete raditi kao da su obje mreže u istoj zgradi.

Završna riječ

ZeroTier zaista je jednostavno za postaviti i koristiti, a sigurnost tunela je zajamčena enkripcijom. Naravno, treba uvijek biti na oprezu na svim nivoima; tako da paziti tko je sve administrator na ZeroTier Central webu, koji uređaji su autorizirani za sudjelovanje u mreži.

ZeroTier kao servis je stabilan, radi svoj posao kako se i reklamira a enkripcija osigurava da nitko ne može njuškati promet između routera, čak ni sami ZeroTier.

Ono što vidim kao manu je da promet između fizičkih lokacija ovisi o trećoj strani (ZeroTier). Ako treća strana padne, padne i veza između mojih lokacija.

Neovisnije rješenje bi bilo složiti Wireguard lokalno i tako povezati lokacije.

Ali ZeroTier radi svoj posao na siguran način, to mi je bitno i svakako preporučam. Pogotovo za lokacije gdje nemate kontrolu nad (CG)NAT konfiguracijom.