إدارة MikroTik عن بُعد عبر Tailscale

الملخص يضع Tailscale طبقة تحكم فوق WireGuard، تؤتمت توزيع المفاتيح، واجتياز NAT، والوصول القائم على الهوية. يدعمه MikroTik أصلياً على RouterOS 7.11+ عبر حزمة رسمية، مما يعني أنك تستطيع إدخال موجه إلى Tailnet، والإعلان عن شبكة LAN الفرعية الخاصة به، والوصول إلى كل جهاز خلفه من أي نظير آخر في Tailnet — بدون عنوان IP عام، ولا إعادة توجيه منافذ، ولا إدارة يدوية للمفاتيح. يغطي هذا الدليل التثبيت على الخوادم وعلى MikroTik، والإعلان عن مسارات الشبكة الفرعية، وقوائم ACL الأمنية التي ينبغي إعدادها قبل التوسع.

كيف يدير Tailscale موجهات MikroTik عن بُعد؟

Tailscale هو طبقة تحكم مبنية فوق WireGuard. تؤتمت أجزاء WireGuard المتعبة على نطاق واسع — توزيع المفاتيح، اجتياز NAT، اكتشاف النظراء — وتضيف طبقة هوية فوقها بحيث يُمنح الوصول للأشخاص لا لعناوين IP. تسجّل الدخول بمزوّد تستخدمه فعلاً (Google أو Microsoft أو GitHub أو SSO الخاص بك)، تنضم الأجهزة إلى شبكتك المتشابكة الخاصة (Tailnet) وتحصل على عناوين Tailnet بالشكل 100.x.x.x، وتتدخل مرحلات DERP فقط عندما تفشل اتصالات نظير-إلى-نظير المباشرة في التفاوض عبر CGNAT أو الجدران النارية الصارمة. تصادق طبقة التحكم الأجهزة لكنها لا تفك تشفير حركة المرور — يبقى تشفير الحمولة من طرف إلى طرف بتشفير WireGuard (ChaCha20-Poly1305).

بالنسبة لـ MikroTik تحديداً، يأتي RouterOS 7.11+ مع حزمة Tailscale رسمية. ثبّتها، صادق الموجه على Tailnet، أعلن عن شبكة LAN الفرعية، ومن أي نظير Tailnet آخر يمكنك الوصول إلى كل جهاز على تلك الشبكة كما لو كان على شبكتك المحلية. التركيبة نظيفة بشكل غير معتاد للإدارة عن بُعد: بدون IP عام، بدون إعادة توجيه منافذ، بدون تكوين نظراء يدوي، وإلغاء جهاز مسروق هو نقرة واحدة في وحدة التحكم الإدارية.

المفاهيم الأساسية

• Tailnet — شبكتك المتشابكة الخاصة من الأجهزة المصرح بها.
• طبقة التحكم — تعالج المصادقة وتبادل المفاتيح والعمليات الإدارية.
• DERP — شبكة مرحلات Tailscale المشفرة، تُستخدم فقط عند فشل نظير-إلى-نظير المباشر.
• النظراء — كل جهاز في Tailnet (خادم، حاسوب محمول، MikroTik، هاتف).
• مسارات الشبكات الفرعية — يستطيع نظير أن يعلن عن CIDR كامل عبر نفسه، فتصبح الأجهزة غير المثبّت عليها Tailscale خلف ذلك النظير قابلة للوصول.

هذه مجتمعة هي ما يجعل Tailscale صامداً عبر CGNAT و NAT المزدوج ومعظم سياسات جدران الشركات النارية.

نموذج الأمان

أمان نقل Tailscale هو نفسه أمان WireGuard: تشفير حديث، وسطح هجوم صغير. التحكم في الوصول قائم على الهوية — تمنح أو ترفض ACL الوصول حسب المستخدم أو المجموعة أو وسم الجهاز بدلاً من IP. تُلغى الأجهزة المفقودة أو المخترقة فوراً من وحدة التحكم الإدارية، وتوفر السجلات ومسارات التدقيق الرؤية اللازمة لمراجعات الامتثال. فعّل MFA على موفر الهوية وعرّف ACL قبل إضافة العديد من الأجهزة؛ كلاهما أسهل بكثير في ضبطه مبكراً من تعديله لاحقاً.

الخطوة 1: ثبّت Tailscale على خادم أو محطة عمل

على خادم Linux أو VPS:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
tailscale status

تُثبَّت عملاء سطح المكتب والجوال من صفحة تنزيلات Tailscale ويسجّلون الدخول تفاعلياً. بمجرد تشغيل نظير واحد على الأقل، يصبح لديك Tailnet لإضافة MikroTik إليه.

الخطوة 2: ثبّت حزمة Tailscale على MikroTik (RouterOS 7.11+)

ينشر MikroTik حزمة Tailscale رسمية كإضافة .npk:

1. نزّل tailscale-7.x-<arch>.npk المطابقة من صفحة تنزيلات MikroTik لإصدار RouterOS والمعمارية المحددين لديك.
2. ارفع .npk إلى الموجه (بالسحب والإفلات في نافذة Files في Winbox).
3. أعد تشغيل الموجه ليتم تحميل الحزمة.

الخطوة 3: صادق الموجه

في طرفية Winbox:

/tailscale up

يطبع الموجه رابط مصادقة. افتحه في متصفح، سجّل الدخول بموفر الهوية، واعتمد الجهاز في وحدة التحكم الإدارية في Tailscale. تحقّق:

/tailscale status

عندما تُظهر الحالة connected، يكون MikroTik على Tailnet ولديه عنوان 100.x.x.x يمكنك إرسال ping إليه من أي نظير Tailnet آخر.

الخطوة 4: أعلن عن شبكة LAN الفرعية

لجعل الأجهزة على شبكة LAN الخاصة بالموجه (لنقل 192.168.88.0/24) قابلة للوصول من Tailnet:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

ثم افتح وحدة التحكم الإدارية في Tailscale واعتمد المسار المُعلن — هذه عملية ذات خطوتين متعمدة بحيث لا يستطيع موجه أن يبدأ في الإعلان عن شبكة فرعية عامة بصمت دون مراجعة المشغل. بمجرد اعتمادها، يستطيع كل نظير Tailnet التوجيه إلى 192.168.88.x مباشرة عبر MikroTik.

أعلن فقط عن شبكات تتحكم فيها فعلاً. كشف شبكات فرعية كبيرة أو عامة عبر مسارات الشبكة الفرعية قد يخلق سطح هجوم غير متوقع.

الخطوة 5: استخدم Tailnet

SSH إلى مضيف خلف MikroTik:

ssh admin@100.x.x.x

أو استخدم MagicDNS لتخطّي البحث عن IP بالكامل:

ping mikrotik.yourtailnet.ts.net

تجعل مسارات الشبكة الفرعية كاميرات IP، ووحدات NAS، و VLAN الإدارة، وأي جهاز LAN آخر قابلاً للوصول دون إعادة توجيه منافذ لكل خدمة.

مقارنة مع خيارات VPN أخرى

للنسخة اليدوية من WireGuard لنفس الهدف، انظر دليل إدارة MikroTik عن بُعد عبر WireGuard. للنمط القائم على VPS بدون WireGuard على الإطلاق، انظر دليل الإدارة عن بُعد القائم على VPS.

أفضل الممارسات

• فعّل ACL مبكراً بقواعد أقل الامتيازات. تبسّط الوسوم والمجموعات السياسة كلما نما Tailnet.
• استخدم MagicDNS لتجنب تشتيت عناوين IP في الوثائق. الأسماء أسهل في الإلغاء وإعادة الربط.
• افرض MFA على موفر الهوية — أمن Tailnet لا يتجاوز أمن طبقة الهوية تحته.
• حافظ على تحديث الموجه وحزمة Tailscale. كلاهما يُحدَّث بجداول مستقلة، والتأخر في أي منهما انتهاك للتكوين الدفاعي.
• دقّق قائمة الأجهزة شهرياً وألغِ الأجهزة التي تجاوزت عمرها في الأسطول.

اتخذ الخطوة التالية

يحدّث Tailscale الوصول عن بُعد بدمج أداء WireGuard مع طبقة تحكم تزيل معظم الإعداد اليدوي. لأساطيل MikroTik، إنها طريقة عملية وعالية الأداء لإدارة الموجهات وشبكات LAN الخاصة بها دون عناوين IP عامة أو أنفاق مصنوعة يدوياً.

إذا كنت تفضّل تخطي تثبيتات الوكيل لكل جهاز واعتمادات المسارات بالكامل، فإن NATCloud من MKController يقدم وصولاً عن بُعد محكوماً مركزياً ومراقبة وإعداداً دون أن يتطلب منك تثبيت حزمة VPN لطرف ثالث على كل موجه أو الحفاظ على مدير Tailscale منفصل عن باقي إدارة الأسطول.

ابدأ تجربتك المجانية مع MKController