Skip to content
MKController Blog
InstagramYouTubeFacebook

Remote Access

Tailscale MikroTikin etähallinta

Hallitse MikroTik-reitittimiä etänä Tailscalen avulla — WireGuard-mesh, automaattinen NAT-läpäisy, identiteettiperustainen pääsy, ei julkisia IP-osoitteita.

MKController4 min read

Yhteenveto Tailscale lisää ohjaustason WireGuardin päälle ja automatisoi avainten jakelun, NAT-läpäisyn ja identiteettiperustaisen pääsyn. MikroTik tukee sitä natiivisti RouterOS 7.11+ -versiossa virallisen paketin kautta, mikä tarkoittaa, että voit liittää reitittimen Tailnettiin, mainostaa sen LAN-aliverkkoa ja saavuttaa jokaisen sen takana olevan laitteen mistä tahansa muusta Tailnet-vertaisesta — ei julkista IP-osoitetta, ei porttiohjausta, ei manuaalista avainten hallintaa. Tämä opas kattaa asennuksen palvelimille ja MikroTikiin, aliverkkoreittien mainostuksen sekä ACL-suojaukset, jotka kannattaa asettaa ennen skaalausta.

Miten Tailscale hallitsee MikroTik-reitittimiä etänä?

Tailscale on WireGuardin päälle rakennettu ohjaustaso. Se automatisoi WireGuardin osat, jotka ovat suuressa mittakaavassa työläitä — avainten jakelu, NAT-läpäisy, vertaislaitteiden löytäminen — ja lisää identiteettikerroksen päälle, jotta pääsy myönnetään ihmisille, ei IP-osoitteille. Kirjaudut sisään palveluntarjoajalla, jota jo käytät (Google, Microsoft, GitHub tai SSO:si), laitteet liittyvät yksityiseen meshiisi (Tailnettiisi) ja saavat 100.x.x.x Tailnet-IP-osoitteet, ja DERP-välittäjät astuvat mukaan vain, kun suorat vertaisyhteydet eivät onnistu neuvottelemaan CGNATin tai tiukkojen palomuurien läpi. Ohjaustaso tunnistaa laitteet mutta ei pura liikennettä — hyötykuorman salaus pysyy päästä päähän WireGuard-salauksella (ChaCha20-Poly1305).

Erityisesti MikroTikille RouterOS 7.11+ toimitetaan virallisen Tailscale-paketin kanssa. Asenna se, tunnista reititin Tailnettiisi, mainosta LAN-aliverkkoa, ja mistä tahansa muusta Tailnet-vertaisesta voit saavuttaa jokaisen LAN:in laitteen aivan kuin se olisi paikallisverkossasi. Yhdistelmä on epätavallisen siisti etähallintaan: ei julkista IP-osoitetta, ei porttiohjausta, ei manuaalista vertaiskonfiguraatiota, ja varastetun laitteen kumoaminen on yksi klikkaus hallintakonsolissa.

Peruskäsitteet

  • Tailnet — yksityinen mesh-verkko valtuutetuista laitteistasi.
  • Ohjaustaso — käsittelee tunnistuksen, avainvaihdon ja hallintaoperaatiot.
  • DERP — Tailscalen salattu välitysverkko, käytetään vain kun suora vertaisyhteys epäonnistuu.
  • Vertaislaitteet — jokainen Tailnetin laite (palvelin, kannettava, MikroTik, puhelin).
  • Aliverkkoreitit — vertaislaite voi mainostaa kokonaista CIDR:ää itsensä kautta, jolloin sen takana olevat ei-Tailscale-laitteet tulevat saavutettaviksi.

Nämä yhdessä tekevät Tailscalesta vankan CGNATin, kaksinkertaisen NATin ja useimpien yritysten palomuurikäytäntöjen läpi.

Turvallisuusmalli

Tailscalen siirtoturva on WireGuardin: moderni salaus, pieni hyökkäyspinta. Pääsynvalvonta on identiteettiperustaista — ACL:t myöntävät tai estävät pääsyn käyttäjän, ryhmän tai laitetunnisteen mukaan, eivät IP-osoitteen mukaan. Kadonneet tai vaarantuneet laitteet kumotaan välittömästi hallintakonsolista, ja lokit sekä auditointijäljet antavat näkyvyyden, jota tarvitset vaatimustenmukaisuusarvioinneissa. Ota MFA käyttöön identiteettipalveluntarjoajassa ja määrittele ACL:t ennen kuin lisäät paljon laitteita; molemmat on dramaattisesti helpompi tehdä oikein varhaisessa vaiheessa kuin asentaa jälkikäteen.

Vaihe 1: Asenna Tailscale palvelimelle tai työasemalle

Linux-palvelimelle tai VPS:lle:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
tailscale status

Työpöytä- ja mobiiliasiakkaat asennetaan Tailscalen latauksien sivulta ja kirjautuminen tehdään interaktiivisesti. Kun ainakin yksi vertaislaite on käynnissä, sinulla on Tailnet, johon lisätä MikroTik.

Vaihe 2: Asenna Tailscale-paketti MikroTikiin (RouterOS 7.11+)

MikroTik julkaisee virallisen Tailscale-paketin .npk-lisäosana:

  1. Lataa sopiva tailscale-7.x-<arch>.npk MikroTikin lataussivulta omalle RouterOS-versiollesi ja arkkitehtuurillesi.
  2. Lataa .npk reitittimelle (raahaa ja pudota Winboxin Files-ikkunaan).
  3. Käynnistä reititin uudelleen, jotta paketti latautuu.

Vaihe 3: Tunnista reititin

Winbox-päätteessä:

/tailscale up

Reititin tulostaa tunnistautumis-URL:n. Avaa se selaimessa, kirjaudu sisään identiteettipalveluntarjoajallasi ja hyväksy laite Tailscalen hallintakonsolissa. Tarkista:

/tailscale status

Kun tila näyttää connected, MikroTik on Tailnetissä ja sillä on 100.x.x.x-osoite, jota voit pingata mistä tahansa muusta Tailnet-vertaisesta.

Vaihe 4: Mainosta LAN-aliverkkoa

Tehdäksesi reitittimen LAN:in laitteet (esim. 192.168.88.0/24) saavutettaviksi Tailnetistä:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Avaa sitten Tailscalen hallintakonsoli ja hyväksy mainostettu reitti — tämä on tarkoituksellinen kaksivaiheinen prosessi, jotta reititin ei voi hiljaa alkaa mainostaa julkista aliverkkoa ilman operaattorin tarkastusta. Hyväksynnän jälkeen jokainen Tailnet-vertaislaite voi reitittää suoraan 192.168.88.x-osoitteisiin MikroTikin kautta.

Mainosta vain verkkoja, jotka todella hallitset. Suurten tai julkisten aliverkkojen paljastaminen aliverkkoreittien kautta voi luoda odottamatonta hyökkäyspintaa.

Vaihe 5: Käytä Tailnettiä

SSH-yhteys MikroTikin takana olevaan isäntään:

ssh admin@100.x.x.x

Tai käytä MagicDNS:ää ohittaaksesi IP-haun kokonaan:

ping mikrotik.yourtailnet.ts.net

Aliverkkoreitit tekevät IP-kameroista, NAS-yksiköistä, hallinta-VLAN:eista ja kaikista muista LAN-laitteista saavutettavissa olevia ilman palvelukohtaista porttiohjausta.

Vertailu muihin VPN-vaihtoehtoihin

RatkaisuPohjaAsennuksen helppousSuorituskykyParas käyttötarkoitus
TailscaleWireGuard + ohjaustasoErittäin helppoKorkeaTiimit, palveluntarjoajat, sekainen infrastruktuuri
WireGuard (manuaalinen)WireGuardKohtalainenErittäin korkeaMinimalistiset käyttöönotot, DIY-hallinta
OpenVPN / IPsecTLS / IPsecMonimutkainenKeskitasoVanhat laitteet, tarkat PKI-vaatimukset
ZeroTierMukautettu mesh-protokollaHelppoKorkeaMesh-verkot ilman identiteettiä

Saman tavoitteen manuaalisesta WireGuard-versiosta katso WireGuard MikroTikin etähallinta -opas. VPS-pohjaisesta mallista ilman WireGuardia katso VPS-pohjaisen etähallinnan opas.

Parhaat käytännöt

  • Ota ACL:t käyttöön varhaisessa vaiheessa vähäisimmän oikeuden säännöillä. Tunnisteet ja ryhmät yksinkertaistavat käytäntöä Tailnetin kasvaessa.
  • Käytä MagicDNS:ää välttääksesi IP-osoitteiden hajauttamisen dokumentaatioon. Nimet on helpompi kumota ja sitoa uudelleen.
  • Pakota MFA identiteettipalveluntarjoajassa — Tailnetisi turvallisuus on vain niin hyvä kuin sen alla oleva identiteettikerros.
  • Pidä reititin ja Tailscale-paketti päivitettyinä. Molemmat päivittyvät itsenäisillä aikatauluilla, ja kummankin jälkeenjääminen on puolustettavan konfiguraation rikkomus.
  • Auditoi laitelistaa kuukausittain ja kumoa laitteistot, jotka ovat poistuneet käytöstä.

Ota seuraava askel

Tailscale modernisoi etäkäytön yhdistämällä WireGuardin suorituskyvyn ohjaustasoon, joka poistaa suurimman osan manuaalisesta asetuksesta. MikroTik-laivastoille se on käytännöllinen, korkeatehoinen tapa hallita reitittimiä ja niiden LAN:eja ilman julkisia IP-osoitteita tai käsin tehtyjä tunneleita.

Jos haluaisit mieluummin ohittaa laitekohtaiset agenttiasennukset ja reittien hyväksynnät kokonaan, MKControllerin NATCloud tarjoaa keskitetysti hallinnoidun etäkäytön, valvonnan ja käyttöönoton vaatimatta sinua asentamaan kolmannen osapuolen VPN-pakettia jokaiseen reitittimeen tai ylläpitämään Tailscale-hallintaa erillään muusta laivastonhallinnastasi.

Aloita ilmainen MKController-kokeilu