Saltearse al contenido
Blog

Gestiona tu Mikrotik con Tailscale de forma segura

Resumen
Tailscale crea una malla basada en WireGuard (Tailnet) que hace accesibles dispositivos MikroTik y otros sin IPs públicas ni NAT manual. Esta guía cubre instalación, integración con RouterOS, rutas de subred, seguridad y casos de uso.

Gestión remota de MikroTik con Tailscale

Tailscale convierte WireGuard en algo casi mágico.

Te ofrece una malla privada—Tailnet—donde los dispositivos hablan como si estuvieran en una LAN.

Sin IPs públicas. Sin abrir puertos manualmente. Sin PKI que supervisar.

Esta publicación explica cómo funciona Tailscale, cómo instalarlo en servidores y MikroTik, y cómo exponer subredes completas con seguridad.

¿Qué es Tailscale?

Tailscale es un plano de control para WireGuard.

Automatiza distribución de claves y el paso NAT.

Inicias sesión con un proveedor de identidad (Google, Microsoft, GitHub o SSO).

Los dispositivos se unen a una Tailnet y reciben IPs 100.x.x.x.

Los relés DERP actúan solo si fallan conexiones directas.

Resultado: conectividad rápida, cifrada y sencilla.

Nota: El plano de control autentica dispositivos, pero no descifra tu tráfico.

Conceptos clave

  • Tailnet: tu malla privada.
  • Plano de control: gestiona autenticación e intercambio de claves.
  • DERP: red opcional de relés cifrados.
  • Equipos (Peers): todos los dispositivos—servidores, portátiles, routers.

Estos elementos hacen a Tailscale resistente frente a CGNAT y NAT corporativos.

Modelo de seguridad

Tailscale usa criptografía WireGuard (ChaCha20-Poly1305).

Control de acceso basado en identidad.

Las ACL permiten restringir quien accede a qué.

Dispositivos comprometidos se pueden revocar al instante.

Disponibles logs y auditorías para monitoreo.

Consejo: Habilita MFA y configura ACLs antes de añadir muchos dispositivos.

Configuración rápida — servidores y escritorios

En un servidor Linux o VPS:

Terminal window
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
# revisar estado
tailscale status

En escritorio o móvil: descarga la app desde la página de descargas de Tailscale y accede.

MagicDNS y MagicSocket facilitan resolución de nombres y NAT:

Terminal window
# Ejemplo: revisar IPs asignadas en Tailnet
tailscale status --json

Integración MikroTik (RouterOS 7.11+)

Desde RouterOS 7.11, MikroTik ofrece paquete oficial Tailscale.

Pasos:

  1. Descarga tailscale-7.x-<arch>.npk compatible desde el sitio MikroTik.
  2. Sube el .npk al router y reinicia.
  3. Arranca y autentica:
/tailscale up
# Router mostrará URL de autenticación — ábrela en el navegador y accede
/tailscale status

Cuando el estado muestre connected, el router está en tu Tailnet.

Anunciar y aceptar rutas de subred

Si quieres que dispositivos en la LAN del router sean accesibles vía Tailnet, anuncia la subred.

En MikroTik:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Luego, en la consola admin de Tailscale, acepta la ruta anunciada.

Autorizada, otros dispositivos del Tailnet accederán directo a 192.168.88.x.

Advertencia: Anuncia solo redes que controles. Exponer subredes grandes o públicas aumenta riesgos.

Ejemplos prácticos

SSH a un Raspberry Pi tras MikroTik:

ssh admin@100.x.x.x

Ping por nombre con MagicDNS:

ping mikrotik.yourtailnet.ts.net

Usa rutas de subred para acceder a cámaras IP, NAS o VLANs de gestión sin reenvío VPN.

Beneficios resumidos

  • Cero gestión manual de claves.
  • Funciona tras CGNAT y NAT estrictos.
  • Excelente rendimiento WireGuard.
  • Control de acceso basado en identidad.
  • Enrutamiento de subred fácil para redes completas.

Comparativa de soluciones

SoluciónBaseFacilidadRendimientoIdeal para
TailscaleWireGuard + plano de controlMuy fácilAltoEquipos, proveedores, infra mixta
WireGuard (manual)WireGuardModeradoMuy altoDespliegues minimalistas, control propio
OpenVPN / IPSecTLS/IPSecComplejoMedioEquipos legacy, necesidades de PKI fina
ZeroTierMalla propiaFácilAltoRedes mesh, casos sin identidad

Integración en entornos híbridos

Tailscale funciona bien con cloud, on-prem y edge.

Úsalo para:

  • Crear gateways entre datacenters y sitios remotos.
  • Dar acceso seguro a pipelines CI/CD a servicios internos.
  • Exponer temporalmente servicios internos con Tailscale Funnel.

Buenas prácticas

  • Activa ACLs y reglas de mínimo privilegio.
  • Usa MagicDNS para evitar dispersión IP.
  • Obliga MFA en proveedores de identidad.
  • Mantén router y paquetes Tailscale actualizados.
  • Audita lista de dispositivos y revoca hardware perdido rápido.

Consejo: Usa etiquetas y grupos en Tailscale para simplificar ACLs con muchos dispositivos.

Cuándo elegir Tailscale

Escoge Tailscale para setups rápidos y seguridad basada en identidad.

Ideal para administrar flotas distribuidas MikroTik, depurar remotamente y conectar sistemas cloud sin lidiar con reglas de firewall.

Si requieres control PKI absoluto en sitio o soportar dispositivos legacy sin agentes, considera OpenVPN o IPSec.

Dónde ayuda MKController: Si prefieres acceso remoto sin complicaciones, con gestión centralizada que evita agentes y aprobaciones por ruta, NATCloud de MKController ofrece acceso remoto, monitoreo y onboarding simplificado para flotas MikroTik.

Conclusión

Tailscale moderniza el acceso remoto.

Combina rapidez WireGuard con un plano de control que elimina la mayoría de dificultades.

Para usuarios MikroTik, es una forma práctica y potente de gestionar routers y sus LANs, sin IP pública ni túneles manuales.

Sobre MKController

¡Esperamos que estas ideas te hayan ayudado a manejar mejor tu universo MikroTik e Internet! 🚀
Ya sea afinando configs o trayendo orden al caos de red, MKController está para facilitarte la vida.

Con gestión cloud centralizada, actualizaciones automáticas de seguridad y un panel que cualquiera domina, tenemos lo necesario para elevar tu operación.

👉 Comienza tu prueba gratis de 3 días en mkcontroller.com — y descubre el verdadero control de redes sin esfuerzo.