Gestion MikroTik à distance via Tailscale

Résumé Tailscale superpose un plan de contrôle à WireGuard, automatisant la distribution des clés, le NAT traversal et l’accès par identité. MikroTik le prend en charge nativement sur RouterOS 7.11+ via un paquet officiel, ce qui permet d’intégrer un routeur dans un Tailnet, d’annoncer son sous-réseau LAN et d’atteindre chaque appareil derrière lui depuis n’importe quel autre peer du Tailnet — sans IP publique, sans redirection de ports, sans gestion manuelle des clés. Ce guide couvre l’installation sur serveurs et sur MikroTik, l’annonce de routes de sous-réseau et les ACL de sécurité à mettre en place avant tout passage à l’échelle.

Comment Tailscale gère-t-il les routeurs MikroTik à distance ?

Tailscale est un plan de contrôle bâti sur WireGuard. Il automatise les parties de WireGuard qui deviennent fastidieuses à grande échelle — distribution de clés, NAT traversal, découverte des peers — et y ajoute une couche d’identité afin que l’accès soit accordé à des personnes et non à des adresses IP. Vous vous connectez avec un fournisseur que vous utilisez déjà (Google, Microsoft, GitHub ou votre SSO), les appareils rejoignent votre maillage privé (votre Tailnet) et reçoivent des IPs Tailnet 100.x.x.x, et les relais DERP n’interviennent que lorsque les connexions directes peer-to-peer ne parviennent pas à se négocier à travers le CGNAT ou des pare-feux restrictifs. Le plan de contrôle authentifie les appareils mais ne déchiffre pas le trafic — le chiffrement du payload reste de bout en bout avec la cryptographie WireGuard (ChaCha20-Poly1305).

Pour MikroTik en particulier, RouterOS 7.11+ embarque un paquet officiel Tailscale. Installez-le, authentifiez le routeur dans votre Tailnet, annoncez le sous-réseau LAN et, depuis tout autre peer du Tailnet, vous pourrez atteindre chaque appareil de cette LAN comme s’il était sur votre réseau local. La combinaison est remarquablement propre pour la gestion à distance : pas d’IP publique, pas de redirection de ports, pas de configuration manuelle de peers, et la révocation d’un appareil volé se fait en un clic dans la console d’administration.

Concepts clés

• Tailnet — votre maillage privé d’appareils autorisés.
• Plan de contrôle — gère l’authentification, l’échange de clés et les opérations administratives.
• DERP — le réseau de relais chiffrés de Tailscale, utilisé seulement quand la connexion peer-to-peer directe échoue.
• Peers — chaque appareil du Tailnet (serveur, ordinateur portable, MikroTik, téléphone).
• Routes de sous-réseau — un peer peut annoncer un CIDR entier via lui-même, rendant accessibles les appareils non-Tailscale qui sont derrière.

Ensemble, ces éléments rendent Tailscale résilient face au CGNAT, au double NAT et à la plupart des politiques de pare-feu d’entreprise.

Modèle de sécurité

La sécurité de transport de Tailscale est celle de WireGuard : cryptographie moderne, surface d’attaque réduite. Le contrôle d’accès repose sur l’identité — les ACL accordent ou refusent l’accès par utilisateur, groupe ou tag d’appareil, et non par IP. Les appareils perdus ou compromis sont révoqués instantanément depuis la console d’administration, et les logs et pistes d’audit fournissent la visibilité nécessaire aux revues de conformité. Activez le MFA sur le fournisseur d’identité et définissez vos ACL avant d’ajouter de nombreux appareils ; il est nettement plus simple de bien les faire dès le départ que de les rétro-adapter plus tard.

Étape 1 : Installer Tailscale sur un serveur ou un poste de travail

Sur un serveur Linux ou un VPS :

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
tailscale status

Les clients bureau et mobile s’installent depuis la page de téléchargement Tailscale et se connectent de manière interactive. Une fois qu’au moins un peer est actif, vous disposez d’un Tailnet auquel ajouter le MikroTik.

Étape 2 : Installer le paquet Tailscale sur MikroTik (RouterOS 7.11+)

MikroTik publie un paquet officiel Tailscale sous forme d’add-on .npk :

1. Téléchargez le tailscale-7.x-<arch>.npk correspondant depuis la page de téléchargement MikroTik pour votre version et votre architecture RouterOS.
2. Transférez le .npk sur le routeur (glisser-déposer dans la fenêtre Files de Winbox).
3. Redémarrez le routeur pour que le paquet soit chargé.

Étape 3 : Authentifier le routeur

Dans un terminal Winbox :

/tailscale up

Le routeur affiche une URL d’authentification. Ouvrez-la dans un navigateur, connectez-vous avec votre fournisseur d’identité et approuvez l’appareil dans la console d’administration Tailscale. Vérifiez :

/tailscale status

Quand le statut indique connected, le MikroTik est sur le Tailnet et possède une adresse 100.x.x.x que vous pouvez pinger depuis n’importe quel autre peer du Tailnet.

Étape 4 : Annoncer le sous-réseau LAN

Pour rendre les appareils de la LAN du routeur (par exemple 192.168.88.0/24) accessibles depuis le Tailnet :

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Ouvrez ensuite la console d’administration Tailscale et approuvez la route annoncée — c’est un processus délibéré en deux étapes pour qu’un routeur ne puisse pas se mettre à annoncer en silence un sous-réseau public sans revue d’opérateur. Une fois approuvée, chaque peer du Tailnet peut router vers 192.168.88.x directement à travers le MikroTik.

N’annoncez que des réseaux que vous contrôlez réellement. Exposer des sous-réseaux étendus ou publics via les routes de sous-réseau peut créer une surface d’attaque inattendue.

Étape 5 : Utiliser le Tailnet

SSH vers un hôte derrière le MikroTik :

ssh admin@100.x.x.x

Ou utilisez MagicDNS pour éviter la recherche d’IP :

ping mikrotik.yourtailnet.ts.net

Les routes de sous-réseau rendent caméras IP, NAS, VLAN de gestion et tout autre appareil de la LAN accessibles sans redirection de ports par service.

Comparaison avec d’autres options VPN

Pour la variante WireGuard manuelle du même objectif, voyez notre tutoriel de gestion MikroTik à distance avec WireGuard. Pour le schéma basé sur VPS sans WireGuard, voyez le guide de gestion à distance basée sur VPS.

Bonnes pratiques

• Activez les ACL dès le départ avec des règles de moindre privilège. Les tags et groupes simplifient la politique à mesure que le Tailnet grandit.
• Utilisez MagicDNS pour éviter d’éparpiller des IPs dans la documentation. Les noms se révoquent et se réaffectent plus facilement.
• Imposez le MFA sur le fournisseur d’identité — la sécurité de votre Tailnet ne vaut que celle de la couche d’identité sous-jacente.
• Maintenez le routeur et le paquet Tailscale à jour. Les deux suivent des calendriers indépendants, et prendre du retard sur l’un ou l’autre est une faille de configuration défendable.
• Auditez la liste des appareils chaque mois et révoquez le matériel qui ne fait plus partie du parc.

Passez à l’étape suivante

Tailscale modernise l’accès à distance en mariant les performances de WireGuard à un plan de contrôle qui supprime l’essentiel de la configuration manuelle. Pour les parcs MikroTik, c’est une manière pratique et performante de gérer routeurs et LAN sans IP publique ni tunnels artisanaux.

Si vous préférez éviter complètement les installations d’agents par appareil et les approbations de routes, NATCloud de MKController offre un accès à distance, une supervision et un onboarding gouvernés de manière centralisée, sans avoir à installer un paquet VPN tiers sur chaque routeur ni à maintenir une administration Tailscale distincte du reste de la gestion de votre parc.

Démarrez votre essai gratuit MKController