Ga naar inhoud
MKController Blog
InstagramYouTubeFacebook

Remote Access

MikroTik-beheer op afstand met Tailscale

Beheer MikroTik-routers op afstand met Tailscale — een WireGuard-mesh met automatische NAT-traversal, identiteitsgebaseerde toegang en zonder publieke IP's.

MKController5 min read

Samenvatting Tailscale legt een control plane bovenop WireGuard en automatiseert sleuteldistributie, NAT-traversal en identiteitsgebaseerde toegang. MikroTik ondersteunt het native op RouterOS 7.11+ via een officieel pakket, wat betekent dat u een router in een Tailnet kunt plaatsen, het LAN-subnet kunt adverteren en elk apparaat erachter kunt bereiken vanaf elke andere Tailnet-peer — geen publiek IP, geen poortdoorsturing, geen handmatig sleutelbeheer. Deze gids behandelt de installatie op servers en op MikroTik, het adverteren van subnet-routes en de beveiligings-ACL’s die u moet instellen voordat u opschaalt.

Hoe beheert Tailscale MikroTik-routers op afstand?

Tailscale is een control plane bovenop WireGuard. Het automatiseert de onderdelen van WireGuard die op schaal omslachtig zijn — sleuteldistributie, NAT-traversal, peer discovery — en voegt daarbovenop een identiteitslaag toe, zodat toegang wordt verleend aan mensen, niet aan IP-adressen. U meldt zich aan met een provider die u al gebruikt (Google, Microsoft, GitHub of uw SSO), apparaten sluiten zich aan bij uw privé-mesh (uw Tailnet) en krijgen Tailnet-IP’s 100.x.x.x, en DERP-relays komen alleen tussenbeide als directe peer-to-peer-verbindingen niet via CGNAT of restrictieve firewalls kunnen worden onderhandeld. De control plane authenticeert apparaten maar ontsleutelt geen verkeer — payload-versleuteling blijft end-to-end met WireGuard-cryptografie (ChaCha20-Poly1305).

Specifiek voor MikroTik bevat RouterOS 7.11+ een officieel Tailscale-pakket. Installeer het, authenticeer de router in uw Tailnet, adverteer het LAN-subnet en vanaf elke andere Tailnet-peer kunt u elk apparaat op dat LAN bereiken alsof het zich op uw lokale netwerk bevindt. De combinatie is ongewoon zuiver voor beheer op afstand: geen publiek IP, geen poortdoorsturing, geen handmatige peer-configuratie en het intrekken van een gestolen apparaat is één klik in de beheerconsole.

Kernconcepten

  • Tailnet — uw privé-mesh van geautoriseerde apparaten.
  • Control plane — verzorgt authenticatie, sleuteluitwisseling en beheerbewerkingen.
  • DERP — het versleutelde relay-netwerk van Tailscale, alleen gebruikt wanneer directe peer-to-peer faalt.
  • Peers — elk apparaat in het Tailnet (server, laptop, MikroTik, telefoon).
  • Subnet-routes — een peer kan een hele CIDR via zichzelf adverteren, zodat niet-Tailscale-apparaten erachter bereikbaar worden.

Samen maken deze elementen Tailscale veerkrachtig tegen CGNAT, dubbele NAT en de meeste zakelijke firewall-beleidsregels.

Beveiligingsmodel

De transportbeveiliging van Tailscale is die van WireGuard: moderne cryptografie, klein aanvalsoppervlak. Toegangscontrole is identiteitsgebaseerd — ACL’s verlenen of weigeren toegang op gebruiker, groep of apparaattag in plaats van op IP. Verloren of gecompromitteerde apparaten worden direct ingetrokken vanuit de beheerconsole, en logs en audit trails geven u de zichtbaarheid die u nodig hebt voor compliance-reviews. Schakel MFA in op de identiteitsprovider en definieer ACL’s voordat u veel apparaten toevoegt; beide zijn dramatisch makkelijker vroeg goed te krijgen dan later achteraf in te bouwen.

Stap 1: Installeer Tailscale op een server of werkstation

Op een Linux-server of VPS:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
tailscale status

Desktop- en mobiele clients installeert u via de Tailscale-downloadpagina en u meldt zich interactief aan. Zodra ten minste één peer actief is, heeft u een Tailnet waaraan u de MikroTik kunt toevoegen.

Stap 2: Installeer het Tailscale-pakket op MikroTik (RouterOS 7.11+)

MikroTik publiceert een officieel Tailscale-pakket als een .npk-add-on:

  1. Download de bijbehorende tailscale-7.x-<arch>.npk van MikroTik’s downloadpagina voor uw specifieke RouterOS-versie en architectuur.
  2. Upload de .npk naar de router (sleep en plaats in het Files-venster van Winbox).
  3. Herstart de router zodat het pakket wordt geladen.

Stap 3: Authenticeer de router

In een Winbox-terminal:

/tailscale up

De router toont een authenticatie-URL. Open deze in een browser, meld u aan met uw identiteitsprovider en keur het apparaat goed in de Tailscale-beheerconsole. Verifieer:

/tailscale status

Wanneer de status connected toont, staat de MikroTik in het Tailnet en heeft hij een 100.x.x.x-adres dat u kunt pingen vanaf elke andere Tailnet-peer.

Stap 4: Adverteer het LAN-subnet

Om apparaten op het LAN van de router (bijvoorbeeld 192.168.88.0/24) bereikbaar te maken vanuit het Tailnet:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Open vervolgens de Tailscale-beheerconsole en keur de geadverteerde route goed — dit is een bewust tweestapsproces zodat een router niet stilletjes een publiek subnet kan beginnen te adverteren zonder beoordeling door de operator. Eenmaal goedgekeurd kan elke Tailnet-peer rechtstreeks via de MikroTik naar 192.168.88.x routeren.

Adverteer alleen netwerken die u daadwerkelijk beheert. Het blootstellen van grote of publieke subnets via subnet-routes kan onverwachte aanvalsoppervlakken creëren.

Stap 5: Gebruik het Tailnet

Maak een SSH-verbinding met een host achter de MikroTik:

ssh admin@100.x.x.x

Of gebruik MagicDNS om de IP-lookup volledig over te slaan:

ping mikrotik.yourtailnet.ts.net

Subnet-routes maken IP-camera’s, NAS-units, beheer-VLAN’s en elk ander LAN-apparaat bereikbaar zonder per-service poortdoorsturing.

Vergeleken met andere VPN-opties

OplossingBasisInstallatiegemakPrestatiesHet beste voor
TailscaleWireGuard + control planeZeer eenvoudigHoogTeams, providers, gemengde infrastructuur
WireGuard (handmatig)WireGuardGemiddeldZeer hoogMinimalistische deployments, DIY-controle
OpenVPN / IPsecTLS / IPsecComplexGemiddeldLegacy-apparaten, gedetailleerde PKI-eisen
ZeroTierEigen mesh-protocolEenvoudigHoogMesh-netwerken zonder identiteit

Voor de handmatige WireGuard-variant van hetzelfde doel, zie onze tutorial MikroTik-beheer op afstand met WireGuard. Voor het op VPS gebaseerde patroon zonder WireGuard, zie de gids voor op VPS gebaseerd beheer op afstand.

Beste praktijken

  • Schakel ACL’s vroeg in met regels van minste privilege. Tags en groepen vereenvoudigen het beleid naarmate het Tailnet groeit.
  • Gebruik MagicDNS om te voorkomen dat IP’s verspreid raken in documentatie. Namen zijn makkelijker in te trekken en opnieuw te binden.
  • Dwing MFA af op de identiteitsprovider — de beveiliging van uw Tailnet is alleen zo goed als de identiteitslaag eronder.
  • Houd de router en het Tailscale-pakket bijgewerkt. Beide updaten op onafhankelijke schema’s en achterblijven op een van beide is een verdedigbare configuratieovertreding.
  • Audit de apparaatlijst maandelijks en trek hardware in die uit de vloot is geraakt.

Zet de volgende stap

Tailscale moderniseert toegang op afstand door de prestaties van WireGuard te combineren met een control plane die het grootste deel van de handmatige configuratie wegneemt. Voor MikroTik-vloten is het een praktische, hoogwaardige manier om routers en hun LAN’s te beheren zonder publieke IP’s of zelfgemaakte tunnels.

Als u liever per-apparaat-agentinstallaties en route-goedkeuringen volledig overslaat, biedt NATCloud van MKController centraal beheerde toegang op afstand, monitoring en onboarding zonder dat u een derde-partij VPN-pakket op elke router hoeft te installeren of een Tailscale-beheerder hoeft te onderhouden los van de rest van uw vlootbeheer.

Start uw gratis MKController-proef