Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

Tailscale Afgeleë MikroTik-bestuur

Bestuur MikroTik-routers op afstand met Tailscale — 'n WireGuard-mesh met outomatiese NAT-deurkruising en identiteitsgebaseerde toegang.

MKController5 min read

Opsomming Tailscale plaas ‘n beheervlak bo-op WireGuard en outomatiseer sleuteldistribusie, NAT-deurkruising en identiteitsgebaseerde toegang. MikroTik ondersteun dit inheems op RouterOS 7.11+ via ‘n amptelike pakket, wat beteken jy kan ‘n router in ‘n Tailnet plaas, sy LAN-subnet adverteer en elke toestel daaragter bereik vanaf enige ander Tailnet-eweknie — geen openbare IP, geen poortverstelling, geen handmatige sleutelbestuur nie. Hierdie gids dek die installasie op bedieners en op MikroTik, subnet-roete-advertensie en die sekuriteits-ACL’s wat jy behoort op te stel voor jy opskaal.

Hoe bestuur Tailscale MikroTik-routers op afstand?

Tailscale is ‘n beheervlak bo-op WireGuard. Dit outomatiseer die dele van WireGuard wat lastig is op skaal — sleuteldistribusie, NAT-deurkruising, eweknie-ontdekking — en voeg ‘n identiteitslaag bo-op by sodat toegang aan mense verleen word, nie aan IP-adresse nie. Jy teken in by ‘n verskaffer wat jy reeds gebruik (Google, Microsoft, GitHub of jou SSO), toestelle sluit by jou private mesh aan (jou Tailnet) en ontvang 100.x.x.x Tailnet-IP’s, en DERP-aflospunte tree slegs in wanneer direkte eweknie-tot-eweknie-verbindings nie deur CGNAT of streng vuurmure kan onderhandel nie. Die beheervlak verifieer toestelle maar dekripteer nie verkeer nie — vraginhoud-enkripsie bly end-tot-end met WireGuard-kriptografie (ChaCha20-Poly1305).

Vir MikroTik spesifiek lewer RouterOS 7.11+ ‘n amptelike Tailscale-pakket. Installeer dit, verifieer die router op jou Tailnet, adverteer die LAN-subnet, en vanaf enige ander Tailnet-eweknie kan jy elke toestel op daardie LAN bereik asof dit op jou plaaslike netwerk is. Die kombinasie is buitengewoon skoon vir afgeleë bestuur: geen openbare IP, geen poortverstelling, geen handmatige eweknie-konfigurasie nie, en herroeping van ‘n gesteelde toestel is ‘n enkele klik in die adminkonsole.

Kernkonsepte

  • Tailnet — jou private mesh van gemagtigde toestelle.
  • Beheervlak — hanteer verifikasie, sleuteluitruil en admin-bewerkings.
  • DERP — Tailscale se geënkripteerde aflosnetwerk, slegs gebruik wanneer direkte eweknie-tot-eweknie misluk.
  • Eweknieë — elke toestel in die Tailnet (bediener, skootrekenaar, MikroTik, foon).
  • Subnet-roetes — ‘n eweknie kan ‘n hele CIDR deur homself adverteer, sodat nie-Tailscale-toestelle agter daardie eweknie bereikbaar word.

Hierdie saam is wat Tailscale veerkragtig maak oor CGNAT, dubbele NAT en die meeste korporatiewe vuurmuurbeleide.

Sekuriteitsmodel

Tailscale se vervoersekuriteit is WireGuard s’n: moderne kriptografie, klein aanvalsoppervlak. Toegangsbeheer is identiteitsgebaseerd — ACL’s verleen of weier toegang per gebruiker, groep of toesteletiket eerder as per IP. Verlore of gekompromitteerde toestelle word onmiddellik herroep vanaf die adminkonsole, en logs plus ouditsporings gee jou die sigbaarheid wat jy nodig het vir voldoeningshersienings. Aktiveer MFA op die identiteitsverskaffer en definieer ACL’s voor jy baie toestelle byvoeg; albei is dramaties makliker om vroeg reg te kry as om later by te voeg.

Stap 1: Installeer Tailscale op ‘n bediener of werkstasie

Op ‘n Linux-bediener of VPS:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
tailscale status

Desktop- en mobiele kliënte installeer vanaf die Tailscale-afsklaaibladsy en teken interaktief in. Sodra ten minste een eweknie op is, het jy ‘n Tailnet om die MikroTik by te voeg.

Stap 2: Installeer die Tailscale-pakket op MikroTik (RouterOS 7.11+)

MikroTik publiseer ‘n amptelike Tailscale-pakket as ‘n .npk-byvoeging:

  1. Laai die ooreenstemmende tailscale-7.x-<arch>.npk af van MikroTik se afsklaaibladsy vir jou spesifieke RouterOS-weergawe en argitektuur.
  2. Laai die .npk op na die router (sleep-en-los in Winbox se Files-venster).
  3. Herlaai die router sodat die pakket laai.

Stap 3: Verifieer die router

In ‘n Winbox-terminaal:

/tailscale up

Die router druk ‘n verifikasie-URL. Maak dit oop in ‘n blaaier, teken in met jou identiteitsverskaffer en keur die toestel in die Tailscale-adminkonsole goed. Verifieer:

/tailscale status

Wanneer status connected wys, is die MikroTik op die Tailnet en het ‘n 100.x.x.x-adres wat jy vanaf enige ander Tailnet-eweknie kan ping.

Stap 4: Adverteer die LAN-subnet

Om toestelle op die router se LAN (sê 192.168.88.0/24) bereikbaar te maak vanaf die Tailnet:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Maak dan die Tailscale-adminkonsole oop en keur die geadverteerde roete goed — dit is ‘n doelbewuste tweestap-proses sodat ‘n router nie stilweg ‘n openbare subnet kan begin adverteer sonder operateur-hersiening nie. Sodra dit goedgekeur is, kan elke Tailnet-eweknie direk deur die MikroTik na 192.168.88.x roete.

Adverteer slegs netwerke wat jy werklik beheer. Om groot of openbare subnetwerke deur subnet-roetes bloot te lê kan onverwagte aanvalsoppervlak skep.

Stap 5: Gebruik die Tailnet

SSH na ‘n gasheer agter die MikroTik:

ssh admin@100.x.x.x

Of gebruik MagicDNS om die IP-opsoek heeltemal oor te slaan:

ping mikrotik.yourtailnet.ts.net

Subnet-roetes maak IP-kameras, NAS-eenhede, bestuur-VLAN’s en enige ander LAN-toestel bereikbaar sonder per-diens-poortverstelling.

Vergelyk met ander VPN-opsies

OplossingBasisOpstellingsgemakWerkverrigtingBeste vir
TailscaleWireGuard + beheervlakBaie maklikHoogSpanne, verskaffers, gemengde infrastruktuur
WireGuard (handmatig)WireGuardMatigBaie hoogMinimalistiese ontplooiings, DIY-beheer
OpenVPN / IPsecTLS / IPsecKompleksMediumErfenis-toestelle, gedetailleerde PKI-vereistes
ZeroTierPasgemaakte mesh-protokolMaklikHoogNie-identiteit-mesh-netwerke

Vir die handmatige WireGuard-variant van dieselfde doel, sien ons WireGuard afgeleë MikroTik-bestuurtutoriaal. Vir die VPS-gebaseerde patroon sonder WireGuard glad nie, sien die VPS-gebaseerde afgeleë bestuurgids.

Beste praktyke

  • Aktiveer ACL’s vroeg met minste-voorreg-reëls. Etikette en groepe vereenvoudig die beleid namate die Tailnet groei.
  • Gebruik MagicDNS om te verhoed dat IP’s deur dokumentasie versprei word. Name is makliker om te herroep en oor te bind.
  • Dwing MFA af op die identiteitsverskaffer — jou Tailnet se sekuriteit is slegs so goed soos die identiteitslaag daaronder.
  • Hou die router en Tailscale-pakket opgedateer. Albei dateer op onafhanklike skedules op, en agterloop op enige een is ‘n verdedigbare-konfigurasie-oortreding.
  • Oudit die toestellys maandeliks en herroep hardeware wat uit die vloot uitgeouderd het.

Neem die volgende stap

Tailscale moderniseer afgeleë toegang deur WireGuard-werkverrigting te meng met ‘n beheervlak wat die meeste handmatige opstelling verwyder. Vir MikroTik-vlote is dit ‘n praktiese, hoë-werkverrigting-manier om routers en hul LAN’s te bestuur sonder openbare IP’s of selfgemaakte tonnels.

As jy eerder per-toestel-agentinstallasies en roete-goedkeurings heeltemal wil oorslaan, lewer MKController se NATCloud sentraal-bestuurde afgeleë toegang, monitering en aanboording sonder om te vereis dat jy ‘n derdeparty-VPN-pakket op elke router installeer of ‘n Tailscale-admin afsonderlik van die res van jou vlootbestuur onderhou.

Begin jou gratis MKController-proeftydperk