Gå til indhold
MKController Blog
InstagramYouTubeFacebook

Remote Access

Tailscale Fjernstyring af MikroTik

Administrer MikroTik-routere eksternt med Tailscale — et WireGuard-mesh med automatisk NAT-traversering, identitetsbaseret adgang og ingen offentlige IP-adresser.

MKController5 min read

Resumé Tailscale lægger et kontrolplan oven på WireGuard og automatiserer nøgledistribution, NAT-traversering og identitetsbaseret adgang. MikroTik understøtter det indbygget på RouterOS 7.11+ via en officiel pakke, hvilket betyder, at du kan placere en router i et Tailnet, annoncere dens LAN-subnet og nå alle enheder bag den fra enhver anden Tailnet-peer — ingen offentlig IP, ingen portvideresendelse, ingen manuel nøgleadministration. Denne guide dækker installation på servere og på MikroTik, annoncering af subnetruter og de sikkerheds-ACL’er, du bør opsætte, før du skalerer.

Hvordan administrerer Tailscale MikroTik-routere eksternt?

Tailscale er et kontrolplan bygget oven på WireGuard. Det automatiserer de dele af WireGuard, der er besværlige i stor skala — nøgledistribution, NAT-traversering, opdagelse af peers — og tilføjer et identitetslag ovenpå, så adgang gives til personer, ikke til IP-adresser. Du logger ind med en udbyder, du allerede bruger (Google, Microsoft, GitHub eller dit SSO), enhederne slutter sig til dit private mesh (dit Tailnet) og modtager 100.x.x.x Tailnet-IP’er, og DERP-relæer træder kun til, når direkte peer-to-peer-forbindelser ikke kan forhandles gennem CGNAT eller restriktive firewalls. Kontrolplanet autentificerer enheder, men dekrypterer ikke trafik — payload-kryptering forbliver ende-til-ende med WireGuard-krypto (ChaCha20-Poly1305).

For MikroTik specifikt leverer RouterOS 7.11+ en officiel Tailscale-pakke. Installer den, godkend routeren i dit Tailnet, annoncér LAN-subnettet, og fra enhver anden Tailnet-peer kan du nå alle enheder på det LAN, som om det var på dit lokale netværk. Kombinationen er usædvanligt ren til fjernadministration: ingen offentlig IP, ingen portvideresendelse, ingen manuel peer-konfiguration, og tilbagekaldelse af en stjålet enhed er et enkelt klik i administrationskonsollen.

Kernebegreber

  • Tailnet — dit private mesh af autoriserede enheder.
  • Kontrolplan — håndterer autentificering, nøgleudveksling og administrative handlinger.
  • DERP — Tailscales krypterede relænetværk, der kun bruges, når direkte peer-to-peer fejler.
  • Peers — hver enhed i Tailnet (server, laptop, MikroTik, telefon).
  • Subnetruter — en peer kan annoncere en hel CIDR gennem sig selv, så ikke-Tailscale-enheder bag den peer bliver tilgængelige.

Disse tilsammen er det, der gør Tailscale modstandsdygtig over for CGNAT, dobbelt-NAT og de fleste virksomheders firewallpolitikker.

Sikkerhedsmodel

Tailscales transportsikkerhed er WireGuards: moderne krypto, lille angrebsoverflade. Adgangskontrol er identitetsbaseret — ACL’er giver eller nægter adgang efter bruger, gruppe eller enhedstag i stedet for efter IP. Tabte eller kompromitterede enheder tilbagekaldes øjeblikkeligt fra administrationskonsollen, og logge plus revisionsspor giver dig den synlighed, du har brug for til compliance-gennemgange. Aktivér MFA hos identitetsudbyderen og definer ACL’er, før du tilføjer mange enheder; begge er dramatisk lettere at få rigtigt tidligt end at eftermontere senere.

Trin 1: Installer Tailscale på en server eller arbejdsstation

På en Linux-server eller VPS:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
tailscale status

Desktop- og mobilklienter installeres fra Tailscales downloadside og logger ind interaktivt. Når mindst én peer er oppe, har du et Tailnet, som MikroTik kan tilføjes til.

Trin 2: Installer Tailscale-pakken på MikroTik (RouterOS 7.11+)

MikroTik udgiver en officiel Tailscale-pakke som en .npk-tilføjelse:

  1. Hent den matchende tailscale-7.x-<arch>.npk fra MikroTiks downloadside for din specifikke RouterOS-version og arkitektur.
  2. Upload .npk-filen til routeren (træk-og-slip i Winbox’ Files-vindue).
  3. Genstart routeren, så pakken indlæses.

Trin 3: Godkend routeren

I en Winbox-terminal:

/tailscale up

Routeren udskriver en autentificerings-URL. Åbn den i en browser, log ind med din identitetsudbyder, og godkend enheden i Tailscale-administrationskonsollen. Verificér:

/tailscale status

Når status viser connected, er MikroTik på Tailnet og har en 100.x.x.x-adresse, som du kan pinge fra enhver anden Tailnet-peer.

Trin 4: Annoncér LAN-subnettet

For at gøre enheder på routerens LAN (f.eks. 192.168.88.0/24) tilgængelige fra Tailnet:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Åbn derefter Tailscale-administrationskonsollen og godkend den annoncerede rute — dette er en bevidst totrinsproces, så en router ikke stille kan begynde at annoncere et offentligt subnet uden operatørens gennemgang. Når den er godkendt, kan hver Tailnet-peer rute direkte til 192.168.88.x gennem MikroTik.

Annoncér kun netværk, du faktisk kontrollerer. Eksponering af store eller offentlige subnetter gennem subnetruter kan skabe uventet angrebsoverflade.

Trin 5: Brug Tailnet

SSH til en host bag MikroTik:

ssh admin@100.x.x.x

Eller brug MagicDNS til helt at springe IP-opslaget over:

ping mikrotik.yourtailnet.ts.net

Subnetruter gør IP-kameraer, NAS-enheder, administrations-VLAN’er og enhver anden LAN-enhed tilgængelige uden portvideresendelse per service.

Sammenlignet med andre VPN-muligheder

LøsningBasisOpsætningsletthedYdeevneBedst til
TailscaleWireGuard + kontrolplanMeget letHøjTeams, udbydere, blandet infrastruktur
WireGuard (manuel)WireGuardModeratMeget højMinimalistiske implementeringer, DIY-kontrol
OpenVPN / IPsecTLS / IPsecKompleksMellemÆldre enheder, granulære PKI-krav
ZeroTierBrugerdefineret mesh-protokolLetHøjMesh-netværk uden identitet

For den manuelle WireGuard-variant af samme mål, se vores WireGuard-tutorial til fjernstyring af MikroTik. For det VPS-baserede mønster helt uden WireGuard, se VPS-baseret guide til fjernadministration.

Bedste praksis

  • Aktivér ACL’er tidligt med mindst-privilegium-regler. Tags og grupper forenkler politikken, efterhånden som Tailnet vokser.
  • Brug MagicDNS for at undgå at sprede IP-adresser i dokumentation. Navne er nemmere at tilbagekalde og rebinde.
  • Håndhæv MFA hos identitetsudbyderen — sikkerheden i dit Tailnet er kun så god som identitetslaget under det.
  • Hold routeren og Tailscale-pakken opdaterede. Begge opdateres på uafhængige tidsplaner, og at halte bagud på en af dem er en overtrædelse af forsvarlig konfiguration.
  • Revidér enhedslisten månedligt og tilbagekald hardware, der er udfaset.

Tag det næste skridt

Tailscale moderniserer fjernadgang ved at blande WireGuards ydeevne med et kontrolplan, der fjerner det meste af den manuelle opsætning. For MikroTik-flåder er det en praktisk, højtydende måde at administrere routere og deres LAN’er på uden offentlige IP’er eller hjemmebyggede tunneler.

Hvis du hellere helt vil springe agentinstallationer per enhed og ruteregodkendelser over, leverer MKControllers NATCloud centralt styret fjernadgang, overvågning og onboarding uden at kræve, at du installerer en tredjeparts-VPN-pakke på hver router eller vedligeholder en Tailscale-administrator adskilt fra resten af din flådestyring.

Start din gratis MKController-prøveperiode