Gå til indhold
Blog

Administrer din MikroTik med Tailscale

Resumé
Tailscale skaber et WireGuard-baseret mesh (Tailnet), der gør MikroTik og andre enheder tilgængelige uden offentlige IP’er eller manuel NAT. Denne guide dækker installation, RouterOS-integration, subnetrouting, sikkerhedstips og anvendelsestilfælde.

Fjernstyring af MikroTik med Tailscale

Tailscale forvandler WireGuard til noget næsten magisk.

Det giver dig et privat mesh—Tailnet—hvor enheder kommunikerer, som om de var på et LAN.

Ingen offentlige IP’er. Ingen manuel hulbrydning. Ingen PKI at tage sig af.

Denne artikel forklarer, hvordan Tailscale fungerer, hvordan du installerer det på servere og MikroTik, og hvordan du sikkert eksponerer hele subnet.

Hvad er Tailscale?

Tailscale er et kontrolplan for WireGuard.

Det automatiserer nøgleudveksling og NAT-gennemtrængning.

Du logger ind via en identitetsudbyder (Google, Microsoft, GitHub eller SSO).

Enheder tilsluttes et Tailnet og får IP’er i 100.x.x.x-serien.

DERP-relæer træder kun til, når direkte forbindelser fejler.

Resultat: hurtig, krypteret og enkel forbindelse.

Bemærk: Kontrolplanet godkender enheder, men dekrypterer ikke din trafik.

Kernekoncepter

  • Tailnet: dit private mesh.
  • Kontrolplan: styrer autentificering og nøgleudveksling.
  • DERP: valgfrit krypteret relænetsværk.
  • Peers: hver enhed—server, laptop, router.

Disse dele gør Tailscale robust overfor CGNAT og firmalockers NAT.

Sikkerhedsmodel

Tailscale bruger WireGuard-kryptografi (ChaCha20-Poly1305).

Adgangskontrol er baseret på identitet.

ACL’er giver dig mulighed for at begrænse, hvem der når hvad.

Komprimerede enheder kan tilbagekaldes straks.

Logs og revisionsspor er tilgængelige til overvågning.

Tip: Aktiver MFA og opsæt ACL’er inden tilføjelse af mange enheder.

Hurtig opsætning — servere og desktops

På en Linux-server eller VPS:

Terminal window
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
# tjek status
tailscale status

På desktop eller mobil: download appen fra Tailscales downloadside og log ind.

MagicDNS og MagicSocket gør navneopløsning og NAT-gennemtrængning problemfri:

Terminal window
# Eksempel: tjek tildelte Tailnet-IP’er
tailscale status --json

MikroTik-integration (RouterOS 7.11+)

Fra RouterOS 7.11 understøtter MikroTik et officielt Tailscale-pakke.

Trin:

  1. Download den matchende tailscale-7.x-<arch>.npk fra MikroTiks downloadside.
  2. Upload .npk til routeren og genstart.
  3. Start og autentificer:
/tailscale up
# Routeren viser en auth-URL — åbn den i browseren og log ind
/tailscale status

Når status viser connected, er routeren i dit Tailnet.

Annoncér og accepter subnetruter

Hvis du vil have enheder på routerens LAN tilgængelige via Tailnet, skal subnettet annonceres.

På MikroTik:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

I Tailscales admin-konsol skal du acceptere den annoncerede rute.

Når autoriseret, kan andre Tailnet-enheder nå 192.168.88.x-adresser direkte.

Advarsel: Annoncér kun netværk, du kontrollerer. At eksponere store eller offentlige subnet kan åbne for angreb.

Praktiske eksempler

SSH til en Raspberry Pi bag en MikroTik:

ssh admin@100.x.x.x

Ping efter navn med MagicDNS:

ping mikrotik.yourtailnet.ts.net

Brug subnetruter til at nå IP-kameraer, NAS eller administrations-VLAN uden VPN-portforwarding.

Fordele overset

  • Ingen manuel nøgleadministration.
  • Fungerer bag CGNAT og streng NAT.
  • Hurtig WireGuard-ydelse.
  • Identitetsbaseret adgangskontrol.
  • Enkel subnetrouting for hele netværk.

Sammenligning af løsninger

LøsningBasisNemhedYdelseIdeel til
TailscaleWireGuard + kontrolplanMeget nemHøjTeams, udbydere, blandet infrastruktur
WireGuard (manuel)WireGuardModeratMeget højMinimalistiske installationer, DIY kontrol
OpenVPN / IPSecTLS/IPSecKompleksMellemArv-enheder, detaljeret PKI-behov
ZeroTierEget meshNemHøjMesh-netværk, ikke-identitetsbrug

Integration med hybride miljøer

Tailscale fungerer flot med cloud, on-prem og edge.

Brug det til at:

  • Oprette gateways mellem datacentre og feltsteder.
  • Give CI/CD-pipelines sikker adgang til interne tjenester.
  • Midlertidigt eksponere interne tjenester via Tailscale Funnel.

Bedste praksis

  • Aktiver ACL’er og mindst privilegerede regler.
  • Brug MagicDNS for at undgå IP-spredning.
  • Kræv MFA ved identitetsudbydere.
  • Hold routeren og Tailscale-pakker opdaterede.
  • Revider enhedsliste og tilbagekald mistet udstyr hurtigt.

Tip: Brug tags og grupper i Tailscale til at forenkle ACL’er for mange enheder.

Hvornår vælge Tailscale

Vælg Tailscale, når du ønsker hurtig opsætning og identitetsbaseret sikkerhed.

Det er ideelt til at styre distribuerede MikroTik-flåder, fejlfinde fjernproblemer og forbinde cloud-systemer uden komplicerede firewallregler.

Hvis du behøver fuld lokal PKI-kontrol eller skal støtte ældre ikke-agent-enheder, så overvej OpenVPN eller IPSec.

Hvor MKController hjælper: Hvis du foretrækker en problemfri, centralt styret fjernadgang uden agentper-enhed og rute-godkendelser, tilbyder MKController’s NATCloud central fjernadgang, overvågning og forenklet onboarding for MikroTik-flåder.

Konklusion

Tailscale moderniserer fjernadgang.

Det kombinerer WireGuard-hastighed med et kontrolplan, der fjerner størstedelen af besværet.

For MikroTik-brugere er det en praktisk og højtydende måde at administrere routere og deres LAN på – uden offentlige IP’er eller manuel tunneling.

Om MKController

Vi håber, at ovenstående indsigt har hjulpet dig til bedre at navigere i din MikroTik- og internetverden! 🚀
Uanset om du finjusterer konfigurationer eller bare vil bringe orden i netværkskaos, er MKController her for at gøre dit liv lettere.

Med centraliseret cloud-administration, automatiske sikkerhedsopdateringer og et dashboard, som alle kan mestre, har vi hvad der skal til for at opgradere din drift.

👉 Start din gratis 3-dages prøve numkcontroller.com — og oplev, hvordan nem netværksstyring virkelig ser ud.