Gå til innholdet
Blog

Administrer Mikrotik med Tailscale på en enkel måte

Sammendrag
Tailscale bygger et WireGuard-basert mesh (Tailnet) som gjør MikroTik og andre enheter tilgjengelige uten offentlige IP-adresser eller manuell NAT. Denne guiden dekker installasjon, RouterOS-integrasjon, subnettruting, sikkerhetstips og bruksområder.

Fjernstyring av MikroTik med Tailscale

Tailscale gjør WireGuard nesten magisk.

Det gir deg et privat mesh—Tailnet—hvor enheter kommuniserer som om de var på et LAN.

Ingen offentlige IP-adresser. Ingen manuell hullbuing. Ingen PKI å overvåke.

Dette innlegget forklarer hvordan Tailscale fungerer, hvordan du installerer det på servere og MikroTik, og hvordan du trygt eksponerer hele subnett.

Hva er Tailscale?

Tailscale er et kontrollplan for WireGuard.

Det automatiserer nøkkeldistribusjon og NAT-gjennomgang.

Du logger inn med en identitetsleverandør (Google, Microsoft, GitHub eller SSO).

Enheter blir med i et Tailnet og får tildelt IP-er i 100.x.x.x-serien.

DERP-reléer trer kun inn når direkte tilkoblinger mislykkes.

Resultat: rask, kryptert og enkel tilkobling.

Merk: Kontrollplanet autentiserer enheter, men dekrypterer ikke trafikken din.

Grunnleggende begreper

  • Tailnet: ditt private mesh.
  • Kontrollplan: håndterer autentisering og nøkkelutveksling.
  • DERP: valgfritt kryptert relénettverk.
  • Peers: alle enheter – servere, bærbare, rutere.

Disse delene gjør Tailscale robust over CGNAT og bedrifts-NAT.

Sikkerhetsmodell

Tailscale bruker WireGuard-kryptering (ChaCha20-Poly1305).

Tilgangskontroll er basert på identitet.

ACL-er lar deg begrense hvem som kan nå hva.

Kompromitterte enheter kan straks tilbakekalles.

Logger og revisjonsspor er tilgjengelig for overvåking.

Tips: Aktiver MFA og sett opp ACL-er før du legger til mange enheter.

Rask oppsett — servere og stasjonære

På en Linux-server eller VPS:

Terminal window
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
# sjekk status
tailscale status

På skrivebord eller mobil: last ned appen fra Tailscales nedlastingsside og logg inn.

MagicDNS og MagicSocket gjør navneresolusjon og NAT-traversering smidig:

Terminal window
# Eksempel: sjekk tildelte Tailnet-IP-er
tailscale status --json

MikroTik-integrasjon (RouterOS 7.11+)

Siden RouterOS 7.11 støtter MikroTik en offisiell Tailscale-pakke.

Steg:

  1. Last ned matchende tailscale-7.x-<arch>.npk fra MikroTiks nedlastingsside.
  2. Last opp .npk til ruteren og restart.
  3. Start og autentiser:
/tailscale up
# Ruteren viser en autentiserings-URL — åpne den i nettleseren og logg inn
/tailscale status

Når status viser connected, er ruteren med i ditt Tailnet.

Annonser og godta subnettruter

Hvis du ønsker at enheter på ruterens LAN skal være tilgjengelige via Tailnet, annonser subnettet.

På MikroTik:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Deretter, i Tailscale-administrasjonskonsollen, godta den annonserte ruten.

Når autorisert, kan andre Tailnet-enheter nå 192.168.88.x direkte.

Advarsel: Annonser bare nettverk du kontrollerer. Eksponering av store eller offentlige subnett kan øke angrepsflaten.

Praktiske eksempler

SSH til en Raspberry Pi bak en MikroTik:

ssh admin@100.x.x.x

Ping etter navn med MagicDNS:

ping mikrotik.yourtailnet.ts.net

Bruk subnettruter for å nå IP-kameraer, NAS eller administrasjons-VLAN uten VPN-portvideresending.

Fordeler på et øyeblikk

  • Ingen manuell nøkkelhåndtering.
  • Fungerer bak CGNAT og streng NAT.
  • Rask WireGuard-ytelse.
  • Identitetsbasert tilgangskontroll.
  • Enkel subnettruting for hele nettverk.

Sammenligning av løsninger

LøsningGrunnlagEnkelhetYtelseIdeelt for
TailscaleWireGuard + kontrollplanSvært enkelHøyTeam, leverandører, miks av infrastruktur
WireGuard (manuell)WireGuardModeratSvært høyMinimalistiske oppsett, egenkontroll
OpenVPN / IPSecTLS/IPSecKompleksMiddelsEldre enheter, krav til granulær PKI
ZeroTierEget meshEnkelHøyMesh-nettverk, ikke-identitetsbaserte scenarier

Integrasjon med hybride miljøer

Tailscale fungerer godt med sky, lokale og edge-miljøer.

Bruk det til:

  • Lage gateways mellom datasenter og feltsteder.
  • Gi CI/CD pipelines sikker tilgang til interne tjenester.
  • Midlertidig eksponere interne tjenester med Tailscale Funnel.

Beste praksis

  • Aktiver ACL og minste privilegium-regler.
  • Bruk MagicDNS for å unngå IP-spredning.
  • Krev MFA hos identitetsleverandører.
  • Hold router og Tailscale-pakker oppdatert.
  • Revider enhetslisten og tilbakekall mistet maskinvare raskt.

Tips: Bruk tagger og grupper i Tailscale for å forenkle ACL-er for mange enheter.

Når bør du velge Tailscale

Velg Tailscale for rask oppstart og identitetsbasert sikkerhet.

Det er ideelt for å administrere distribuerte MikroTik-flåter, feilsøke eksterne problemer og koble sammen sky-systemer uten å håndtere brannmurregler.

Hvis du trenger absolutt lokal PKI-kontroll eller støtte for eldre enheter uten agent, vurder OpenVPN eller IPSec.

Hvor MKController hjelper: Ønsker du enkel fjernstyring uten per-enhet-agenter og rute-godkjenninger? MKControllers NATCloud tilbyr sentralisert fjernstyring, overvåkning og forenklet onboarding for MikroTik-flåter.

Konklusjon

Tailscale moderniserer fjernstyring.

Det kombinerer WireGuards hastighet med et kontrollplan som fjerner mesteparten av kompleksiteten.

For MikroTik-brukere er det en praktisk, høyytelses måte å administrere rutere og LAN—uten offentlige IP-er eller manuell tunneling.

Om MKController

Vi håper innsiktene over hjalp deg med å navigere MikroTik- og internettuniverset ditt bedre! 🚀
Enten du finjusterer konfigurasjoner eller rydder opp i nettverkskaos, er MKController her for å gjøre livet ditt enklere.

Med sentralisert sky-administrasjon, automatiske sikkerhetsoppdateringer og et dashbord som alle kan mestre, har vi det som trengs for å løfte driften din.

👉 Start din gratis 3-dagers prøveperiode nåmkcontroller.com — og opplev ekte enkel nettverkskontroll.