Gestiona el teu Mikrotik amb Tailscale

Resum
Tailscale crea una malla basada en WireGuard (Tailnet) que fa que els dispositius MikroTik i altres siguin accessibles sense IPs públiques ni NAT manual. Aquesta guia explica instal·lació, integració amb RouterOS, rutes de subxarxa, consells de seguretat i casos d’ús.

Gestió remota de MikroTik amb Tailscale

Tailscale transforma WireGuard en una eina gairebé màgica.

Et dóna una malla privada — Tailnet — on els dispositius es comuniquen com si fossin a una LAN.

Sense IPs públiques. Sense perforacions manuals de forats. Sense gestionar PKI.

Aquest article explica com funciona Tailscale, com instal·lar-lo a servidors i MikroTik, i com exposar subxarques senceres de forma segura.

Què és Tailscale?

Tailscale és un pla de control per a WireGuard.

Automatitza la distribució de claus i el traversament NAT.

Inicies sessió amb un proveïdor d’identitat (Google, Microsoft, GitHub o SSO).

Els dispositius s’uneixen a un Tailnet i reben IPs 100.x.x.x.

Els relés DERP s’interposen només quan fallen connexions directes.

Resultat: connexió ràpida, xifrada i senzilla.

Nota: El pla de control autentica dispositius però no desxifra el teu tràfic.

Conceptes clau

• Tailnet: la teva malla privada.
• Pla de control: gestiona l’autenticació i l’intercanvi de claus.
• DERP: xarxa de relé xifrada opcional.
• Peers: cada dispositiu — servidor, portàtil, router.

Aquestes parts fan Tailscale resilient davant CGNAT i NAT corporatius.

Model de seguretat

Tailscale fa servir la criptografia WireGuard (ChaCha20-Poly1305).

El control d’accés és basat en identitat.

Les ACL et permeten restringir qui accedeix a què.

Els dispositius compromesos es poden revocar a l’instant.

Hi ha registres i traços d’auditoria per a monitorització.

Consell: Activa MFA i configura ACL abans d’afegir molts dispositius.

Configuració ràpida — servidors i escriptoris

En un servidor Linux o VPS:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
# comprova l’estat
tailscale status

A l’escriptori o mòbil: descarrega l’app des de la pàgina de descàrregues de Tailscale i inicia sessió.

MagicDNS i MagicSocket faciliten la resolució de noms i el traversament NAT:

# Exemple: comprova les IPs assignades al Tailnet
tailscale status --json

Integració MikroTik (RouterOS 7.11+)

Des de RouterOS 7.11, MikroTik suporta un paquet oficial de Tailscale.

Passos:

1. Descarrega el tailscale-7.x-<arch>.npk coincident des del lloc de descàrregues MikroTik.
2. Carrega el .npk al router i reinicia.
3. Engega i autentifica:

/tailscale up
# El router mostrarà una URL d’autenticació — obre-la al navegador i inicia sessió
/tailscale status

Quan estigui connected, el router és part del teu Tailnet.

Anunciar i acceptar rutes de subxarxa

Si vols que els dispositius de la LAN del router siguin accessibles pel Tailnet, anuncia la subxarxa.

A MikroTik:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Després, a la consola d’administració de Tailscale, accepta la ruta anunciada.

Un cop autoritzada, altres dispositius del Tailnet poden accedir directament a les adreces 192.168.88.x.

Avís: Només anuncia xarxes sota el teu control. Exposar subxarxes grans o públiques pot obrir vulnerabilitats.

Exemples pràctics

SSH a un Raspberry Pi darrere un MikroTik:

ssh admin@100.x.x.x

Ping per nom amb MagicDNS:

ping mikrotik.yourtailnet.ts.net

Utilitza rutes de subxarxa per accedir a càmeres IP, NAS o VLANs de gestió sense reenviament de ports VPN.

Avantatges resumits

• Gestió de claus manual zero.
• Funciona darrere CGNAT i NAT estricte.
• Rendiment ràpid de WireGuard.
• Control d’accés basat en identitat.
• Rutes de subxarxa fàcils per a xarxes completes.

Comparació de solucions

Integració amb entorns híbrids

Tailscale s’integra bé amb núvol, local i edge.

Ús com a:

• Crear passarel·les entre centres de dades i llocs de camp.
• Donar accés segur a serveis interns per a pipelines CI/CD.
• Exposar temporalment serveis interns amb Tailscale Funnel.

Millors pràctiques

• Activa ACLs i regles de mínims privilegis.
• Usa MagicDNS per evitar dispersió d’IPs.
• Aplica MFA als proveïdors d’identitat.
• Mantingues el router i paquets Tailscale actualitzats.
• Audita la llista de dispositius i revoca equips perduts ràpid.

Consell: Usa etiquetes i grups a Tailscale per simplificar ACLs per molts dispositius.

Quan triar Tailscale

Escull Tailscale si vols una configuració ràpida i seguretat basada en identitat.

És ideal per gestionar flotes MikroTik distribuides, depurar remotament o connectar sistemes al núvol sense complicar regles de tallafocs.

Si necessites un control total PKI local o suport per dispositius antics sense agent, considera OpenVPN o IPSec.

On ajuda MKController: Si prefereixes un accés remot senzill, centralitzat, sense agents per dispositiu ni aprovacions de rutes, NATCloud de MKController ofereix accés centralitzat, monitoratge i integració fàcil per a flotes MikroTik.

Conclusió

Tailscale modernitza l’accés remot.

Combina la velocitat de WireGuard amb un pla de control que simplifica la gestió.

Per a usuaris MikroTik, és una manera pràctica i eficient de gestionar routers i LANs sense IPs públiques ni tunel·latges manuals.

Sobre MKController

Esperem que els coneixements compartits t’ajudin a gestionar millor el teu univers MikroTik i Internet! 🚀
Siguis ajustant configuracions o ordenant el caos de xarxa, MKController està aquí per simplificar la teva vida.

Amb gestió centralitzada al núvol, actualitzacions automàtiques de seguretat i un panell fàcil d’usar, tenim tot el que cal per actualitzar la teva operativa.

👉 Comença ara la teva prova gratuïta de 3 dies a mkcontroller.com — i descobreix què significa controlar la xarxa fàcilment.