Frecuentemente se tiene el escenario en el cual tenemos una red de algún negocio o empresa en la cual tenemos instalados equipos de redes o se tiene un servidor de algunos de los sistemas del edificio, sin embargo algún miembro del personal debe salir o se encuentra fuera de sitio pero necesita acceder al servidor o a un equipo en especifico de la red interna.

Para solucionar este tipo de situaciones se puede hacer uso de una VPN ("Virtual Privade Network" o red privada virtual) para tener conexión desde una red distinta a la red interna del edificio en el que se trabaja desde nuestra PC. Sin embargo a veces puede ser algo complejo configurar VPN dado que se requiere de una IP publica fija en un punto, o un DDNS o apertura de puertos en el router de proveedor por lo que su uso puede ser limitado.

En esta ocasión se presenta la opción de ZeroTier como una alternativa más sencilla y de menos requerimientos para realizar conexiones de equipos externos a nuestra red interna gestionada por un router Mikrotik como router principal de esa red. De esta manera nosotros podemos se capaces de comunicar clientes de redes externas como se ve en el siguiente diagrama:

Para poder hacer esta configuración se considera que ya tiene una cuenta y por lo menos una Network creada en ZeroTier y su router principal de la red es un Mikrotik compatible con ZeroTier ya registrado en su Network. Puede revisar los siguientes artículos:

Para poder conectar nuestro dispositivo a la red de ZeroTier debemos de descargar el software o la aplicación celular correspondiente para que puedan registrar como equipos en nuestra Network de ZeroTier, podemos descargar las aplicaciones desde esta página:

https://www.zerotier.com/download/

Seguimos los pasos del asistente de instalación como cualquier otro programa. Cuando ya se haya instalado se ejecutara en segundo plano.

Una vez que se haya instalado el software o la aplicación es necesario darlo de alta en la plataforma de ZeroTier así como se dio de alta el router en un inicio, para esto debemos ir a la barra de inicio y dar clic en la tarea de ZeroTier donde nos aparecerán varias opciones, debemos seleccionar la de Join New Network:

Se nos desplegara una ventana donde debemos de colocar el Network ID de nuestra red ZeroTier, simplemente lo llenamos y le damos clic en Join

Con esto nuestra computadora nos indicara que se ha creado una nueva conexión, sin embargo aun no esta vinculada nuestra red de ZeroTier, debemos de autorizarlos en el Network correspondiente en la sección de miembros, le damos clic en la casilla de Auth y podemos colocarle un nombre y usuario para identificarlo:

Para los dispositivos celulares el procedimiento es el mismo desde su App, debemos ingresar el Network ID y lo autorizamos:

De esta manera podemos ir agregando los dispositivos que se quieran conectar en la red de manera remota y desde la opción de la aplicación del software podemos activar o desactivar la conexión de nuestra red VPN.

Si bien los equipos ya están dentro de nuestra red de ZeroTier se debe de crear una ruta de comunicación en esa red de ZeroTier de los equipos de exterior con la red LAN del router mikrotik aquí debemos de entender que nuestros dispositivos tienen "dos" direcciones IP.

La primera es la dirección IP física del equipo, es decir la IP que le da el router con salida a internet y la segunda es la IP privada de la red de ZeroTier, esta IP es una en otro segmento, por lo general ZeroTier la da en automático. A continuación se muestra de manera gráfica como es que quedarían distribuidas las IPs para nuestro ejemplo y como redactar la ruta:

Las IPs de los equipos en el ZeroTier las podemos ver en nuestra Network en el menú de members:

Debemos declarar la ruta que nos dará acceso a la red LAN:

Donde 192.168.10.0/24 es la red LAN de nuestro router Mikrotik y con esa ruta le decimos a nuestros dispositivos que si quieren acceder a esa red deben pasar por el dispositivo 172.26.22.22 que es la IP de ZeroTier del Router, es decir que deben llegar por ese router.

Se puede declarar la ruta para que solo se pueda acceder al servidor por ejemplo escribiendo su IP con su mascara de red (192.168.10.50/24 por ejemplo) para que de esta manera solo se acceda a ese equipo y no a toda la red.

En donde esta la parte de "Physical IP" es la IP publica por lo general dinámica que asigna el proveedor de servicios de internet para dar salida a internet al dispositivo, no se debe confundir con las demás IPs de la red.