Remote Access
Tailscale Remote-MikroTik-Verwaltung
Verwalten Sie MikroTik-Router remote mit Tailscale — ein WireGuard-Mesh mit automatischem NAT-Traversal, identitätsbasiertem Zugriff und ohne öffentliche IPs.
Zusammenfassung Tailscale legt eine Steuerungsebene über WireGuard und automatisiert Schlüsselverteilung, NAT-Traversal und identitätsbasierten Zugriff. MikroTik unterstützt es nativ auf RouterOS 7.11+ über ein offizielles Paket, was bedeutet, dass Sie einen Router in ein Tailnet einbringen, sein LAN-Subnetz ankündigen und jedes Gerät dahinter von jedem anderen Tailnet-Peer aus erreichen können — keine öffentliche IP, keine Portweiterleitung, keine manuelle Schlüsselverwaltung. Diese Anleitung behandelt die Installation auf Servern und auf MikroTik, die Ankündigung von Subnet-Routen und die Sicherheits-ACLs, die Sie vor der Skalierung einrichten sollten.
Wie verwaltet Tailscale MikroTik-Router remote?
Tailscale ist eine Steuerungsebene auf Basis von WireGuard. Sie automatisiert die Teile von WireGuard, die im großen Maßstab mühsam sind — Schlüsselverteilung, NAT-Traversal, Peer-Discovery — und fügt eine Identitätsebene hinzu, sodass Zugriff Personen statt IP-Adressen gewährt wird. Sie melden sich mit einem Anbieter an, den Sie bereits nutzen (Google, Microsoft, GitHub oder Ihr SSO), Geräte treten Ihrem privaten Mesh (Ihrem Tailnet) bei und erhalten 100.x.x.x-Tailnet-IPs, und DERP-Relays kommen nur zum Einsatz, wenn direkte Peer-to-Peer-Verbindungen nicht durch CGNAT oder restriktive Firewalls ausgehandelt werden können. Die Steuerungsebene authentifiziert Geräte, entschlüsselt aber keinen Datenverkehr — die Payload-Verschlüsselung bleibt mit WireGuard-Krypto (ChaCha20-Poly1305) Ende-zu-Ende.
Speziell für MikroTik liefert RouterOS 7.11+ ein offizielles Tailscale-Paket. Installieren Sie es, authentifizieren Sie den Router in Ihrem Tailnet, kündigen Sie das LAN-Subnetz an, und von jedem anderen Tailnet-Peer aus können Sie jedes Gerät in diesem LAN erreichen, als wäre es in Ihrem lokalen Netzwerk. Die Kombination ist für die Fernverwaltung ungewöhnlich sauber: keine öffentliche IP, keine Portweiterleitung, keine manuelle Peer-Konfiguration, und der Entzug eines gestohlenen Geräts ist ein einziger Klick in der Adminkonsole.
Kernkonzepte
- Tailnet — Ihr privates Mesh aus autorisierten Geräten.
- Steuerungsebene — übernimmt Authentifizierung, Schlüsselaustausch und Admin-Operationen.
- DERP — das verschlüsselte Relay-Netzwerk von Tailscale, das nur verwendet wird, wenn direktes Peer-to-Peer fehlschlägt.
- Peers — jedes Gerät im Tailnet (Server, Laptop, MikroTik, Telefon).
- Subnet-Routen — ein Peer kann eine ganze CIDR über sich selbst ankündigen, sodass Nicht-Tailscale-Geräte hinter diesem Peer erreichbar werden.
Zusammen machen diese Tailscale widerstandsfähig gegen CGNAT, Double-NAT und die meisten Unternehmens-Firewall-Richtlinien.
Sicherheitsmodell
Die Transportsicherheit von Tailscale ist die von WireGuard: moderne Kryptographie, geringe Angriffsfläche. Die Zugriffskontrolle ist identitätsbasiert — ACLs gewähren oder verweigern Zugriff nach Benutzer, Gruppe oder Gerätetag statt nach IP. Verlorene oder kompromittierte Geräte werden sofort aus der Adminkonsole entzogen, und Logs sowie Audit-Spuren bieten Ihnen die Transparenz, die Sie für Compliance-Prüfungen benötigen. Aktivieren Sie MFA beim Identitätsanbieter und definieren Sie ACLs, bevor Sie viele Geräte hinzufügen; beides ist dramatisch einfacher früh richtig zu machen als später nachzurüsten.
Schritt 1: Tailscale auf einem Server oder einer Workstation installieren
Auf einem Linux-Server oder VPS:
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --authkey <AUTHKEY>tailscale statusDesktop- und Mobil-Clients werden von der Tailscale-Downloadseite installiert und melden sich interaktiv an. Sobald mindestens ein Peer aktiv ist, haben Sie ein Tailnet, dem der MikroTik hinzugefügt werden kann.
Schritt 2: Tailscale-Paket auf MikroTik installieren (RouterOS 7.11+)
MikroTik veröffentlicht ein offizielles Tailscale-Paket als .npk-Add-on:
- Laden Sie die passende
tailscale-7.x-<arch>.npkvon der MikroTik-Downloadseite für Ihre spezifische RouterOS-Version und Architektur herunter. - Laden Sie die
.npkauf den Router hoch (Drag-and-Drop im Files-Fenster von Winbox). - Starten Sie den Router neu, damit das Paket geladen wird.
Schritt 3: Router authentifizieren
In einem Winbox-Terminal:
/tailscale upDer Router gibt eine Authentifizierungs-URL aus. Öffnen Sie sie in einem Browser, melden Sie sich mit Ihrem Identitätsanbieter an und genehmigen Sie das Gerät in der Tailscale-Adminkonsole. Verifizieren:
/tailscale statusWenn der Status connected anzeigt, ist der MikroTik im Tailnet und hat eine 100.x.x.x-Adresse, die Sie von jedem anderen Tailnet-Peer aus pingen können.
Schritt 4: LAN-Subnetz ankündigen
Um Geräte im LAN des Routers (z. B. 192.168.88.0/24) vom Tailnet aus erreichbar zu machen:
/ip route add dst-address=192.168.88.0/24 gateway=tailscale0/tailscale up --advertise-routes=192.168.88.0/24Öffnen Sie dann die Tailscale-Adminkonsole und genehmigen Sie die angekündigte Route — dies ist ein bewusster zweistufiger Prozess, damit ein Router nicht stillschweigend mit der Ankündigung eines öffentlichen Subnetzes beginnen kann, ohne dass der Betreiber dies prüft. Nach der Genehmigung kann jeder Tailnet-Peer direkt über den MikroTik nach 192.168.88.x routen.
Kündigen Sie nur Netzwerke an, die Sie tatsächlich kontrollieren. Die Freigabe großer oder öffentlicher Subnetze über Subnet-Routen kann unerwartete Angriffsflächen schaffen.
Schritt 5: Tailnet nutzen
SSH zu einem Host hinter dem MikroTik:
ssh admin@100.x.x.xOder verwenden Sie MagicDNS, um die IP-Suche ganz zu überspringen:
ping mikrotik.yourtailnet.ts.netSubnet-Routen machen IP-Kameras, NAS-Einheiten, Verwaltungs-VLANs und jedes andere LAN-Gerät erreichbar, ohne dass eine Portweiterleitung pro Dienst nötig ist.
Vergleich mit anderen VPN-Optionen
| Lösung | Basis | Einrichtung | Leistung | Am besten für |
|---|---|---|---|---|
| Tailscale | WireGuard + Steuerungsebene | Sehr einfach | Hoch | Teams, Provider, gemischte Infrastruktur |
| WireGuard (manuell) | WireGuard | Mittel | Sehr hoch | Minimalistische Deployments, DIY-Kontrolle |
| OpenVPN / IPsec | TLS / IPsec | Komplex | Mittel | Altgeräte, granulare PKI-Anforderungen |
| ZeroTier | Eigenes Mesh-Protokoll | Einfach | Hoch | Mesh-Netzwerke ohne Identität |
Für die manuelle WireGuard-Variante desselben Ziels siehe unser Tutorial zur WireGuard-Remoteverwaltung von MikroTik. Für das VPS-basierte Muster ganz ohne WireGuard siehe den Leitfaden zur VPS-basierten Fernverwaltung.
Best Practices
- Aktivieren Sie ACLs frühzeitig mit Least-Privilege-Regeln. Tags und Gruppen vereinfachen die Richtlinie, wenn das Tailnet wächst.
- Verwenden Sie MagicDNS, um zu vermeiden, dass IPs in der Dokumentation verstreut werden. Namen sind einfacher zu widerrufen und neu zuzuweisen.
- Erzwingen Sie MFA beim Identitätsanbieter — die Sicherheit Ihres Tailnets ist nur so gut wie die darunterliegende Identitätsebene.
- Halten Sie Router und Tailscale-Paket aktuell. Beide werden nach unabhängigen Zeitplänen aktualisiert, und ein Hinterherhinken bei einem von beiden ist eine Verletzung einer verteidigungsfähigen Konfiguration.
- Prüfen Sie die Geräteliste monatlich und entziehen Sie Hardware, die aus der Flotte ausgemustert wurde.
Den nächsten Schritt machen
Tailscale modernisiert den Fernzugriff, indem es WireGuard-Leistung mit einer Steuerungsebene kombiniert, die den größten Teil der manuellen Einrichtung entfernt. Für MikroTik-Flotten ist es ein praktischer, leistungsstarker Weg, Router und ihre LANs ohne öffentliche IPs oder selbstgebaute Tunnel zu verwalten.
Wenn Sie lieber gänzlich auf geräteindividuelle Agenteninstallationen und Routen-Genehmigungen verzichten möchten, bietet NATCloud von MKController zentral gesteuerten Fernzugriff, Monitoring und Onboarding, ohne dass Sie ein Drittanbieter-VPN-Paket auf jedem Router installieren oder eine Tailscale-Verwaltung getrennt vom Rest Ihres Flottenmanagements pflegen müssen.