Gérer votre Mikrotik avec Tailscale

Résumé
Tailscale crée un mesh WireGuard (Tailnet) permettant d’accéder aux appareils MikroTik sans IP publique ni NAT manuel. Ce guide couvre installation, intégration RouterOS, routage subnet, conseils de sécurité et usages.

Gestion à distance des MikroTik avec Tailscale

Tailscale transforme WireGuard en une solution quasi magique.

Il vous offre un mesh privé — Tailnet — où les appareils communiquent comme sur un LAN.

Pas d’IP publique. Pas de trous manuels. Pas de PKI à gérer.

Cet article explique le fonctionnement de Tailscale, son installation sur serveurs et MikroTik, et comment exposer des sous-réseaux en toute sécurité.

Qu’est-ce que Tailscale ?

Tailscale est un plan de contrôle pour WireGuard.

Il automatise la distribution de clés et le contournement de NAT.

Vous vous connectez via un fournisseur d’identité (Google, Microsoft, GitHub ou SSO).

Les appareils rejoignent un Tailnet et reçoivent des IP 100.x.x.x.

Les relais DERP interviennent uniquement en cas d’échec de connexion directe.

Résultat : une connectivité rapide, chiffrée et simple.

Note : Le plan de contrôle authentifie les appareils, mais ne déchiffre pas le trafic.

Concepts clés

• Tailnet : votre mesh privé.
• Plan de contrôle : gère l’authentification et l’échange de clés.
• DERP : réseau de relais chiffrés optionnel.
• Pairs : chaque appareil — serveur, portable, routeur.

Ces éléments rendent Tailscale résilient face au CGNAT et NAT d’entreprise.

Modèle de sécurité

Tailscale utilise la crypto WireGuard (ChaCha20-Poly1305).

Le contrôle d’accès est basé sur l’identification.

Les ACL permettent de restreindre les accès.

Les appareils compromis peuvent être révoqués immédiatement.

Des logs et audits sont disponibles pour le suivi.

Conseil : Activez l’authentification multifactorielle et configurez les ACL avant d’ajouter de nombreux appareils.

Installation rapide — serveurs et postes

Sur un serveur Linux ou VPS :

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
# vérifier le statut
tailscale status

Sur desktop ou mobile : téléchargez l’application depuis la page Tailscale et connectez-vous.

MagicDNS et MagicSocket simplifient la résolution de noms et le NAT traversal :

# Exemple : afficher les IP Tailnet attribuées
tailscale status --json

Intégration MikroTik (RouterOS 7.11+)

Depuis RouterOS 7.11, MikroTik propose un paquet Tailscale officiel.

Étapes :

1. Téléchargez le fichier tailscale-7.x-<arch>.npk correspondant sur le site MikroTik.
2. Transférez le .npk sur le routeur et redémarrez.
3. Lancez et authentifiez :

/tailscale up
# Le routeur affiche une URL d'authentification — ouvrez-la dans un navigateur et connectez-vous
/tailscale status

Lorsque le statut indique connected, le routeur est dans votre Tailnet.

Annoncer et accepter les routes subnet

Pour que les appareils du LAN du routeur soient accessibles via le Tailnet, annoncez le sous-réseau.

Sur MikroTik :

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Puis dans la console d’administration Tailscale, acceptez la route annoncée.

Une fois autorisés, les appareils Tailnet peuvent joindre directement les adresses 192.168.88.x.

Attention : N’annoncez que les réseaux que vous possédez. Exposer de grands sous-réseaux publics peut augmenter la surface d’attaque.

Exemples pratiques

SSH vers un Raspberry Pi derrière un MikroTik :

ssh admin@100.x.x.x

Ping par nom avec MagicDNS :

ping mikrotik.yourtailnet.ts.net

Utilisez les routes subnet pour accéder aux caméras IP, NAS, ou VLAN de gestion sans redirection de ports VPN.

Avantages en un coup d’œil

• Gestion de clés sans intervention.
• Fonctionne derrière CGNAT et NAT restrictifs.
• Performance WireGuard rapide.
• Contrôle d’accès basé sur l’identité.
• Routage subnet simple pour réseaux entiers.

Comparatif des solutions

Intégration en environnements hybrides

Tailscale s’intègre avec cloud, on-premise et edge.

Utilisez-le pour :

• Créer des passerelles entre datacenter et sites distants.
• Donner accès sécurisé aux services internes via CI/CD.
• Exposer temporairement des services internes avec Tailscale Funnel.

Bonnes pratiques

• Activez ACL et règles de moindre privilège.
• Utilisez MagicDNS pour éviter la dispersion des IP.
• Forcez l’authentification MFA chez les fournisseurs d’identité.
• Maintenez à jour routeur et paquets Tailscale.
• Auditez les appareils et révoquez le matériel perdu rapidement.

Conseil : Employez tags et groupes dans Tailscale pour simplifier les ACL quand les appareils sont nombreux.

Quand choisir Tailscale

Optez pour Tailscale quand vous voulez une mise en place rapide et une sécurité par identité.

Il est idéal pour gérer des flottes MikroTik distribuées, dépanner à distance et connecter des systèmes cloud sans jongler avec des règles de firewall.

Pour un contrôle PKI on-prem complet ou le support d’appareils non-agent legacy, songez à OpenVPN ou IPSec.

Où MKController intervient : Pour un accès distant centralisé, sans agent par appareil ni approbations de routes, MKController NATCloud propose un accès unifié, une surveillance et un onboarding simplifié pour MikroTik.

Conclusion

Tailscale modernise l’accès distant.

Il combine la rapidité de WireGuard avec un plan de contrôle supprimant la majorité des contraintes.

Pour les utilisateurs MikroTik, c’est une solution pratique et performante pour gérer routeurs et LAN — sans IP publique ni tunneling manuel.

À propos de MKController

Nous espérons que ces informations vous aideront à mieux naviguer dans votre univers MikroTik et Internet ! 🚀
Que vous optimisiez des configs ou cherchiez à organiser le réseau, MKController simplifie votre métier.

Avec une gestion cloud centralisée, des mises à jour automatiques de sécurité et un tableau de bord accessible, nous avons ce qu’il faut pour faire évoluer vos opérations.

👉 Essayez gratuitement 3 jours maintenant sur mkcontroller.com — découvrez ce qu’est un vrai contrôle réseau simplifié.