Remote Access
Gestión remota de MikroTik con Tailscale
Gestiona routers MikroTik de forma remota con Tailscale: malla WireGuard, NAT traversal automático, acceso por identidad y sin IPs públicas.
Resumen Tailscale añade un plano de control sobre WireGuard, automatizando la distribución de claves, el NAT traversal y el acceso basado en identidad. MikroTik lo soporta de forma nativa en RouterOS 7.11+ mediante un paquete oficial, lo que permite añadir un router a una Tailnet, anunciar su subred LAN y alcanzar cada dispositivo detrás de él desde cualquier otro peer del Tailnet — sin IP pública, sin redireccionamiento de puertos y sin gestión manual de claves. Esta guía cubre la instalación en servidores y en MikroTik, el anuncio de rutas de subred y las ACL de seguridad que conviene definir antes de escalar.
¿Cómo gestiona Tailscale routers MikroTik de forma remota?
Tailscale es un plano de control construido sobre WireGuard. Automatiza las partes de WireGuard que se vuelven tediosas a escala — distribución de claves, NAT traversal, descubrimiento de peers — y añade una capa de identidad encima para que el acceso se conceda a personas, no a direcciones IP. Inicias sesión con un proveedor que ya usas (Google, Microsoft, GitHub o tu SSO), los dispositivos se unen a tu malla privada (tu Tailnet) y reciben IPs de Tailnet 100.x.x.x, y los relays DERP entran en juego solo cuando las conexiones directas peer-to-peer no logran negociar a través de CGNAT o firewalls restrictivos. El plano de control autentica dispositivos pero no descifra tráfico: el cifrado del payload se mantiene de extremo a extremo con la criptografía de WireGuard (ChaCha20-Poly1305).
Para MikroTik en concreto, RouterOS 7.11+ incluye un paquete oficial de Tailscale. Instálalo, autentica el router en tu Tailnet, anuncia la subred LAN y desde cualquier otro peer del Tailnet podrás alcanzar todos los dispositivos de esa LAN como si estuvieran en tu red local. La combinación es inusualmente limpia para gestión remota: sin IP pública, sin port forwarding, sin configuración manual de peers y la revocación de un dispositivo robado se hace con un solo clic en la consola de administración.
Conceptos clave
- Tailnet — tu malla privada de dispositivos autorizados.
- Plano de control — gestiona autenticación, intercambio de claves y operaciones administrativas.
- DERP — la red de relays cifrados de Tailscale, usada solo cuando falla la conexión directa peer-to-peer.
- Peers — cada dispositivo del Tailnet (servidor, portátil, MikroTik, teléfono).
- Rutas de subred — un peer puede anunciar todo un CIDR a través de sí mismo, de modo que los dispositivos no-Tailscale detrás de él pasan a ser alcanzables.
Estos elementos juntos son los que hacen a Tailscale resistente frente a CGNAT, doble NAT y la mayoría de políticas de firewall corporativas.
Modelo de seguridad
La seguridad del transporte de Tailscale es la de WireGuard: criptografía moderna y superficie de ataque reducida. El control de acceso se basa en identidad — las ACL conceden o deniegan acceso por usuario, grupo o etiqueta de dispositivo, no por IP. Los dispositivos perdidos o comprometidos se revocan al instante desde la consola de administración, y los registros y rastros de auditoría dan la visibilidad necesaria para revisiones de cumplimiento. Activa MFA en el proveedor de identidad y define las ACL antes de añadir muchos dispositivos; ambos son mucho más fáciles de hacer bien al principio que de reajustar después.
Paso 1: Instalar Tailscale en un servidor o estación de trabajo
En un servidor Linux o VPS:
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up --authkey <AUTHKEY>tailscale statusLos clientes de escritorio y móvil se instalan desde la página de descargas de Tailscale e inician sesión interactivamente. Una vez que al menos un peer esté activo, ya tienes una Tailnet a la que añadir el MikroTik.
Paso 2: Instalar el paquete Tailscale en MikroTik (RouterOS 7.11+)
MikroTik publica un paquete oficial de Tailscale como add-on .npk:
- Descarga el
tailscale-7.x-<arch>.npkcorrespondiente desde la página de descargas de MikroTik para tu versión y arquitectura específica de RouterOS. - Sube el
.npkal router (arrastra y suelta en la ventana de Files de Winbox). - Reinicia el router para que el paquete se cargue.
Paso 3: Autenticar el router
En un terminal de Winbox:
/tailscale upEl router imprime una URL de autenticación. Ábrela en un navegador, inicia sesión con tu proveedor de identidad y aprueba el dispositivo en la consola de administración de Tailscale. Verifica:
/tailscale statusCuando el estado muestre connected, el MikroTik está en el Tailnet y tiene una dirección 100.x.x.x que puedes hacer ping desde cualquier otro peer del Tailnet.
Paso 4: Anunciar la subred LAN
Para que los dispositivos en la LAN del router (por ejemplo 192.168.88.0/24) sean alcanzables desde el Tailnet:
/ip route add dst-address=192.168.88.0/24 gateway=tailscale0/tailscale up --advertise-routes=192.168.88.0/24Luego abre la consola de administración de Tailscale y aprueba la ruta anunciada — es un proceso deliberado de dos pasos para que un router no pueda empezar a anunciar silenciosamente una subred pública sin revisión del operador. Una vez aprobada, cada peer del Tailnet podrá enrutar hacia 192.168.88.x directamente a través del MikroTik.
Anuncia solo redes que realmente controles. Exponer subredes grandes o públicas a través de rutas de subred puede crear una superficie de ataque inesperada.
Paso 5: Usar el Tailnet
SSH a un host detrás del MikroTik:
ssh admin@100.x.x.xO usa MagicDNS para evitar la búsqueda de IP por completo:
ping mikrotik.yourtailnet.ts.netLas rutas de subred hacen que cámaras IP, NAS, VLAN de gestión y cualquier otro dispositivo de la LAN sean accesibles sin port forwarding por servicio.
Comparativa con otras opciones de VPN
| Solución | Base | Facilidad de configuración | Rendimiento | Mejor para |
|---|---|---|---|---|
| Tailscale | WireGuard + plano de control | Muy fácil | Alto | Equipos, proveedores, infraestructura mixta |
| WireGuard (manual) | WireGuard | Moderada | Muy alto | Despliegues minimalistas, control DIY |
| OpenVPN / IPsec | TLS / IPsec | Compleja | Medio | Dispositivos heredados, PKI granular |
| ZeroTier | Protocolo de malla propio | Fácil | Alto | Redes mesh sin identidad |
Para la variante manual de WireGuard del mismo objetivo, consulta nuestro tutorial de gestión remota de MikroTik con WireGuard. Para el patrón basado en VPS sin WireGuard en absoluto, consulta la guía de gestión remota basada en VPS.
Buenas prácticas
- Activa las ACL desde el principio con reglas de mínimo privilegio. Las etiquetas y grupos simplifican la política a medida que crece el Tailnet.
- Usa MagicDNS para evitar dispersar IPs por la documentación. Los nombres son más fáciles de revocar y reasignar.
- Aplica MFA en el proveedor de identidad — la seguridad de tu Tailnet solo es tan buena como la capa de identidad que la soporta.
- Mantén el router y el paquete Tailscale actualizados. Ambos se actualizan en calendarios independientes, y quedarse atrás en cualquiera es una violación de configuración defendible.
- Audita la lista de dispositivos mensualmente y revoca el hardware que ya no esté en uso.
Da el siguiente paso
Tailscale moderniza el acceso remoto combinando el rendimiento de WireGuard con un plano de control que elimina la mayor parte de la configuración manual. Para flotas de MikroTik, es una forma práctica y de alto rendimiento de gestionar routers y sus LAN sin IPs públicas ni túneles artesanales.
Si prefieres saltarte por completo las instalaciones de agentes en cada dispositivo y las aprobaciones de rutas, NATCloud de MKController ofrece acceso remoto, monitoreo y onboarding gestionados de forma centralizada sin necesidad de instalar un paquete VPN de terceros en cada router ni mantener un administrador de Tailscale separado del resto de la gestión de tu flota.