Salta ai contenuti
MKController Blog
InstagramYouTubeFacebook

Remote Access

Gestione Remota MikroTik con Tailscale

Gestisci router MikroTik da remoto con Tailscale — mesh WireGuard con NAT traversal automatico, accesso basato su identità, senza IP pubblici.

MKController6 min read

Riepilogo Tailscale aggiunge un control plane sopra WireGuard, automatizzando la distribuzione delle chiavi, il NAT traversal e l’accesso basato sull’identità. MikroTik lo supporta nativamente su RouterOS 7.11+ tramite un pacchetto ufficiale, il che significa che puoi inserire un router in un Tailnet, annunciarne la subnet LAN e raggiungere ogni dispositivo dietro di esso da qualsiasi altro peer del Tailnet — senza IP pubblico, senza port forwarding, senza gestione manuale delle chiavi. Questa guida copre l’installazione sui server e su MikroTik, l’annuncio delle rotte subnet e gli ACL di sicurezza che dovresti impostare prima di scalare.

Come Tailscale gestisce i router MikroTik da remoto?

Tailscale è un control plane costruito sopra WireGuard. Automatizza le parti di WireGuard che diventano tediose su larga scala — distribuzione delle chiavi, NAT traversal, discovery dei peer — e aggiunge sopra un livello di identità in modo che l’accesso venga concesso alle persone, non agli indirizzi IP. Accedi con un provider che già usi (Google, Microsoft, GitHub o il tuo SSO), i dispositivi si uniscono alla tua mesh privata (il tuo Tailnet) e ricevono indirizzi Tailnet 100.x.x.x, e i relay DERP intervengono solo quando le connessioni peer-to-peer dirette non riescono a negoziare attraverso CGNAT o firewall restrittivi. Il control plane autentica i dispositivi ma non decifra il traffico — la crittografia del payload rimane end-to-end con la crittografia di WireGuard (ChaCha20-Poly1305).

Specificamente per MikroTik, RouterOS 7.11+ include un pacchetto Tailscale ufficiale. Installalo, autentica il router nel tuo Tailnet, annuncia la subnet LAN e da qualsiasi altro peer del Tailnet puoi raggiungere ogni dispositivo su quella LAN come se fosse sulla tua rete locale. La combinazione è insolitamente pulita per la gestione remota: nessun IP pubblico, nessun port forwarding, nessuna configurazione peer manuale e la revoca di un dispositivo rubato è un singolo clic nella console di amministrazione.

Concetti chiave

  • Tailnet — la tua mesh privata di dispositivi autorizzati.
  • Control plane — gestisce autenticazione, scambio di chiavi e operazioni amministrative.
  • DERP — la rete di relay crittografati di Tailscale, usata solo quando il peer-to-peer diretto fallisce.
  • Peer — ogni dispositivo nel Tailnet (server, laptop, MikroTik, telefono).
  • Subnet routes — un peer può annunciare un intero CIDR attraverso sé stesso, in modo che i dispositivi non-Tailscale dietro quel peer diventino raggiungibili.

Insieme, questi elementi sono ciò che rende Tailscale resiliente attraverso CGNAT, double NAT e la maggior parte delle politiche di firewall aziendali.

Modello di sicurezza

La sicurezza del trasporto di Tailscale è quella di WireGuard: crittografia moderna, piccola superficie di attacco. Il controllo degli accessi è basato sull’identità — gli ACL concedono o negano l’accesso per utente, gruppo o tag del dispositivo invece che per IP. I dispositivi persi o compromessi vengono revocati istantaneamente dalla console di amministrazione e i log più gli audit trail ti danno la visibilità di cui hai bisogno per le revisioni di conformità. Abilita MFA sul provider di identità e definisci gli ACL prima di aggiungere molti dispositivi; entrambi sono drammaticamente più facili da impostare correttamente all’inizio rispetto a retrofittarli in seguito.

Passo 1: Installa Tailscale su un server o workstation

Su un server Linux o VPS:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
tailscale status

I client desktop e mobile si installano dalla pagina di download di Tailscale e accedono in modo interattivo. Una volta che almeno un peer è attivo, hai un Tailnet a cui aggiungere il MikroTik.

Passo 2: Installa il pacchetto Tailscale su MikroTik (RouterOS 7.11+)

MikroTik pubblica un pacchetto Tailscale ufficiale come add-on .npk:

  1. Scarica il tailscale-7.x-<arch>.npk corrispondente dalla pagina di download MikroTik per la tua specifica versione e architettura di RouterOS.
  2. Carica l’.npk sul router (drag-and-drop nella finestra Files di Winbox).
  3. Riavvia il router in modo che il pacchetto venga caricato.

Passo 3: Autentica il router

In un terminale Winbox:

/tailscale up

Il router stampa un URL di autenticazione. Aprilo in un browser, accedi con il tuo provider di identità e approva il dispositivo nella console di amministrazione Tailscale. Verifica:

/tailscale status

Quando lo status mostra connected, il MikroTik è sul Tailnet e ha un indirizzo 100.x.x.x che puoi pingare da qualsiasi altro peer del Tailnet.

Passo 4: Annuncia la subnet LAN

Per rendere i dispositivi sulla LAN del router (ad esempio 192.168.88.0/24) raggiungibili dal Tailnet:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Quindi apri la console di amministrazione Tailscale e approva la rotta annunciata — questo è un processo deliberato in due passaggi affinché un router non possa silenziosamente iniziare ad annunciare una subnet pubblica senza la revisione dell’operatore. Una volta approvata, ogni peer del Tailnet può instradare a 192.168.88.x direttamente attraverso il MikroTik.

Annuncia solo reti che effettivamente controlli. Esporre subnet grandi o pubbliche tramite subnet routes può creare una superficie di attacco inaspettata.

Passo 5: Usa il Tailnet

SSH a un host dietro il MikroTik:

ssh admin@100.x.x.x

O usa MagicDNS per saltare completamente la ricerca dell’IP:

ping mikrotik.yourtailnet.ts.net

Le subnet routes rendono telecamere IP, unità NAS, VLAN di gestione e qualsiasi altro dispositivo LAN raggiungibili senza port forwarding per servizio.

Confronto con altre opzioni VPN

SoluzioneBaseFacilità di setupPrestazioniIdeale per
TailscaleWireGuard + control planeMolto facileAlteTeam, provider, infrastruttura mista
WireGuard (manuale)WireGuardModerataMolto alteDeployment minimalisti, controllo DIY
OpenVPN / IPsecTLS / IPsecComplessaMedieDispositivi legacy, requisiti PKI granulari
ZeroTierProtocollo mesh personalizzatoFacileAlteReti mesh senza identità

Per la variante WireGuard manuale dello stesso obiettivo, consulta il nostro tutorial di gestione remota MikroTik con WireGuard. Per il modello basato su VPS senza WireGuard, vedi la guida alla gestione remota basata su VPS.

Best practice

  • Abilita gli ACL fin dall’inizio con regole di minimo privilegio. Tag e gruppi semplificano la policy man mano che il Tailnet cresce.
  • Usa MagicDNS per evitare di sparpagliare IP nella documentazione. I nomi sono più facili da revocare e rilegare.
  • Imponi MFA sul provider di identità — la sicurezza del tuo Tailnet è valida quanto il livello di identità sottostante.
  • Mantieni aggiornati il router e il pacchetto Tailscale. Entrambi si aggiornano su pianificazioni indipendenti, e ritardare su uno dei due è una violazione di configurazione difendibile.
  • Audita l’elenco dispositivi mensilmente e revoca l’hardware che è uscito dalla flotta.

Fai il passo successivo

Tailscale modernizza l’accesso remoto fondendo le prestazioni di WireGuard con un control plane che elimina la maggior parte della configurazione manuale. Per le flotte MikroTik, è un modo pratico e ad alte prestazioni per gestire router e relative LAN senza IP pubblici o tunnel artigianali.

Se preferisci saltare del tutto le installazioni di agent per dispositivo e le approvazioni di rotta, NATCloud di MKController offre accesso remoto, monitoraggio e onboarding governati centralmente senza richiederti di installare un pacchetto VPN di terze parti su ogni router o di mantenere un admin Tailscale separato dal resto della gestione della tua flotta.

Inizia la tua prova gratuita di MKController