Lewati ke konten
MKController Blog
InstagramYouTubeFacebook

Remote Access

Manajemen MikroTik Jarak Jauh Tailscale

Kelola router MikroTik dari jarak jauh dengan Tailscale — mesh WireGuard dengan NAT traversal otomatis, akses berbasis identitas, tanpa IP publik.

MKController5 min read

Ringkasan Tailscale menambahkan control plane di atas WireGuard, mengotomatiskan distribusi kunci, NAT traversal, dan akses berbasis identitas. MikroTik mendukungnya secara native pada RouterOS 7.11+ melalui paket resmi, yang berarti Anda dapat menempatkan router ke dalam Tailnet, mengiklankan subnet LAN-nya, dan menjangkau setiap perangkat di belakangnya dari peer Tailnet lain mana pun — tanpa IP publik, tanpa port forwarding, tanpa manajemen kunci manual. Panduan ini mencakup instalasi pada server dan MikroTik, pengumuman rute subnet, dan ACL keamanan yang harus Anda siapkan sebelum melakukan scaling.

Bagaimana Tailscale mengelola router MikroTik dari jarak jauh?

Tailscale adalah control plane yang dibangun di atas WireGuard. Ia mengotomatiskan bagian-bagian WireGuard yang melelahkan saat skala besar — distribusi kunci, NAT traversal, penemuan peer — dan menambahkan lapisan identitas di atasnya sehingga akses diberikan kepada orang, bukan ke alamat IP. Anda masuk dengan penyedia yang sudah Anda gunakan (Google, Microsoft, GitHub, atau SSO Anda), perangkat bergabung ke mesh privat Anda (Tailnet) dan menerima IP Tailnet 100.x.x.x, dan relay DERP hanya ikut campur ketika koneksi peer-to-peer langsung gagal bernegosiasi melalui CGNAT atau firewall ketat. Control plane mengautentikasi perangkat tetapi tidak mendekripsi lalu lintas — enkripsi payload tetap end-to-end dengan kripto WireGuard (ChaCha20-Poly1305).

Khusus untuk MikroTik, RouterOS 7.11+ menyertakan paket Tailscale resmi. Instal, autentikasi router ke Tailnet Anda, iklankan subnet LAN, dan dari peer Tailnet lain mana pun Anda dapat menjangkau setiap perangkat di LAN tersebut seolah-olah berada di jaringan lokal Anda. Kombinasi ini luar biasa bersih untuk manajemen jarak jauh: tanpa IP publik, tanpa port forwarding, tanpa konfigurasi peer manual, dan pencabutan perangkat yang dicuri hanya butuh satu klik di konsol admin.

Konsep inti

  • Tailnet — mesh privat Anda yang berisi perangkat-perangkat yang diotorisasi.
  • Control plane — menangani autentikasi, pertukaran kunci, dan operasi admin.
  • DERP — jaringan relay terenkripsi Tailscale, hanya digunakan saat peer-to-peer langsung gagal.
  • Peer — setiap perangkat di Tailnet (server, laptop, MikroTik, ponsel).
  • Subnet routes — sebuah peer dapat mengiklankan seluruh CIDR melalui dirinya, sehingga perangkat non-Tailscale di belakang peer tersebut menjadi dapat dijangkau.

Semua ini bersama-sama membuat Tailscale tangguh melintasi CGNAT, double NAT, dan sebagian besar kebijakan firewall korporat.

Model keamanan

Keamanan transport Tailscale adalah milik WireGuard: kripto modern, permukaan serangan kecil. Kontrol akses berbasis identitas — ACL memberikan atau menolak akses berdasarkan pengguna, grup, atau tag perangkat, bukan berdasarkan IP. Perangkat yang hilang atau disusupi dicabut secara instan dari konsol admin, dan log plus jejak audit memberi Anda visibilitas yang dibutuhkan untuk tinjauan kepatuhan. Aktifkan MFA pada penyedia identitas dan tentukan ACL sebelum menambahkan banyak perangkat; keduanya jauh lebih mudah diatur dengan benar di awal daripada di-retrofit kemudian.

Langkah 1: Instal Tailscale di server atau workstation

Pada server Linux atau VPS:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
tailscale status

Klien desktop dan mobile diinstal dari halaman unduhan Tailscale dan masuk secara interaktif. Setelah setidaknya satu peer aktif, Anda memiliki Tailnet untuk menambahkan MikroTik.

Langkah 2: Instal paket Tailscale di MikroTik (RouterOS 7.11+)

MikroTik menerbitkan paket Tailscale resmi sebagai add-on .npk:

  1. Unduh tailscale-7.x-<arch>.npk yang sesuai dari halaman unduhan MikroTik untuk versi RouterOS dan arsitektur spesifik Anda.
  2. Unggah .npk ke router (drag-drop di jendela Files Winbox).
  3. Reboot router agar paket dimuat.

Langkah 3: Autentikasi router

Di terminal Winbox:

/tailscale up

Router mencetak URL autentikasi. Buka di browser, masuk dengan penyedia identitas Anda, dan setujui perangkat di konsol admin Tailscale. Verifikasi:

/tailscale status

Saat status menunjukkan connected, MikroTik sudah berada di Tailnet dan memiliki alamat 100.x.x.x yang dapat di-ping dari peer Tailnet lain mana pun.

Langkah 4: Iklankan subnet LAN

Untuk membuat perangkat di LAN router (misalnya 192.168.88.0/24) dapat dijangkau dari Tailnet:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Kemudian buka konsol admin Tailscale dan setujui rute yang diiklankan — ini adalah proses dua langkah yang disengaja sehingga router tidak diam-diam mulai mengiklankan subnet publik tanpa tinjauan operator. Setelah disetujui, setiap peer Tailnet dapat melakukan routing ke 192.168.88.x langsung melalui MikroTik.

Hanya iklankan jaringan yang benar-benar Anda kendalikan. Mengekspos subnet besar atau publik melalui subnet routes dapat menciptakan permukaan serangan yang tidak terduga.

Langkah 5: Gunakan Tailnet

SSH ke host di belakang MikroTik:

ssh admin@100.x.x.x

Atau gunakan MagicDNS untuk melewati pencarian IP sepenuhnya:

ping mikrotik.yourtailnet.ts.net

Subnet routes membuat kamera IP, unit NAS, VLAN manajemen, dan perangkat LAN lain mana pun dapat dijangkau tanpa port forwarding per layanan.

Dibandingkan dengan opsi VPN lain

SolusiBasisKemudahan setupKinerjaPaling cocok untuk
TailscaleWireGuard + control planeSangat mudahTinggiTim, penyedia, infrastruktur campuran
WireGuard (manual)WireGuardSedangSangat tinggiDeployment minimalis, kontrol DIY
OpenVPN / IPsecTLS / IPsecKompleksSedangPerangkat lawas, persyaratan PKI granular
ZeroTierProtokol mesh kustomMudahTinggiJaringan mesh non-identitas

Untuk varian WireGuard manual dari tujuan yang sama, lihat tutorial manajemen MikroTik jarak jauh WireGuard kami. Untuk pola berbasis VPS tanpa WireGuard sama sekali, lihat panduan manajemen jarak jauh berbasis VPS.

Praktik terbaik

  • Aktifkan ACL sejak awal dengan aturan hak akses paling minim. Tag dan grup menyederhanakan kebijakan saat Tailnet bertumbuh.
  • Gunakan MagicDNS untuk menghindari penyebaran IP melalui dokumentasi. Nama lebih mudah dicabut dan diikat ulang.
  • Wajibkan MFA pada penyedia identitas — keamanan Tailnet Anda hanya sebaik lapisan identitas di bawahnya.
  • Pertahankan router dan paket Tailscale tetap diperbarui. Keduanya diperbarui pada jadwal yang independen, dan tertinggal pada salah satunya adalah pelanggaran konfigurasi yang dapat dipertanggungjawabkan.
  • Audit daftar perangkat setiap bulan dan cabut perangkat keras yang sudah usang dari armada.

Ambil langkah berikutnya

Tailscale memodernisasi akses jarak jauh dengan memadukan kinerja WireGuard dengan control plane yang menghilangkan sebagian besar setup manual. Untuk armada MikroTik, ini adalah cara praktis dan berkinerja tinggi untuk mengelola router dan LAN-nya tanpa IP publik atau tunnel buatan tangan.

Jika Anda lebih suka melewati instalasi agen per perangkat dan persetujuan rute sepenuhnya, NATCloud dari MKController menghadirkan akses jarak jauh, pemantauan, dan onboarding yang dikelola secara terpusat tanpa mengharuskan Anda menginstal paket VPN pihak ketiga di setiap router atau memelihara admin Tailscale terpisah dari manajemen armada Anda lainnya.

Mulai uji coba MKController gratis Anda