Pular para o conteúdo
Blog

Gerenciando seu Mikrotik com Tailscale

Resumo
Tailscale cria uma malha WireGuard (Tailnet) que torna dispositivos MikroTik e outros acessíveis sem IPs públicos ou NAT manual. Este guia ensina instalação, integração com RouterOS, roteamento de sub-redes, segurança e casos de uso.

Gerenciamento Remoto de MikroTik com Tailscale

Tailscale transforma WireGuard em algo quase mágico.

Ele cria uma malha privada — Tailnet — onde dispositivos comunicam como se estivessem numa LAN.

Sem IPs públicos. Sem abrir portas manualmente. Sem PKI para gerenciar.

Este post explica como Tailscale funciona, como instalá-lo em servidores e MikroTik, e como expor sub-redes inteiras com segurança.

O que é Tailscale?

Tailscale é um plano de controle para WireGuard.

Automatiza distribuição de chaves e atravessamento de NAT.

Você faz login com provedores de identidade (Google, Microsoft, GitHub ou SSO).

Os dispositivos entram no Tailnet e recebem IPs 100.x.x.x.

Relés DERP atuam só quando conexões diretas falham.

Resultado: conectividade rápida, criptografada e simples.

Nota: O plano de controle autentica os dispositivos, mas não descriptografa seu tráfego.

Conceitos principais

  • Tailnet: sua malha privada.
  • Plano de controle: gerencia autenticação e troca de keys.
  • DERP: rede de relés criptografados opcional.
  • Peers: todos os dispositivos — servidor, laptop, roteador.

Esses componentes tornam Tailscale resiliente a CGNAT e NAT corporativo.

Modelo de segurança

Tailscale usa criptografia WireGuard (ChaCha20-Poly1305).

Controle de acesso baseado em identidade.

ACLs permitem restringir quem acessa o quê.

Dispositivos comprometidos podem ser revogados instantaneamente.

Logs e auditoria disponíveis para monitoramento.

Dica: Ative MFA e configure ACLs antes de adicionar muitos dispositivos.

Configuração rápida — servidores e desktops

No servidor Linux ou VPS:

Terminal window
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
# verifique status
tailscale status

No desktop ou mobile: baixe o app na página de downloads do Tailscale e faça login.

MagicDNS e MagicSocket facilitam resolução de nomes e NAT traversal:

Terminal window
# Exemplo: verificar IPs atribuídos no Tailnet
tailscale status --json

Integração MikroTik (RouterOS 7.11+)

Desde RouterOS 7.11, MikroTik oferece pacote oficial Tailscale.

Passos:

  1. Baixe o arquivo tailscale-7.x-<arch>.npk correspondente no site MikroTik.
  2. Envie o .npk para o roteador e reinicie.
  3. Inicie e autentique:
/tailscale up
# O router exibirá uma URL para autenticação — abra no navegador e faça login
/tailscale status

Quando o status mostrar connected, o roteador está no seu Tailnet.

Anunciar e aceitar rotas de sub-rede

Para que dispositivos na LAN do roteador sejam acessíveis via Tailnet, anuncie a sub-rede.

No MikroTik:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Depois, no console administrativo do Tailscale, aceite a rota anunciada.

Autorizada, outros dispositivos do Tailnet alcançarão 192.168.88.x diretamente.

Aviso: Anuncie apenas redes que controla. Expor grandes ou públicas sub-redes pode abrir superfícies de ataque.

Exemplos práticos

SSH para Raspberry Pi atrás do MikroTik:

ssh admin@100.x.x.x

Ping por nome com MagicDNS:

ping mikrotik.seutailnet.ts.net

Use rotas de sub-rede para acessar câmeras IP, NAS ou VLANs de gerenciamento sem redirecionar portas VPN.

Benefícios em resumo

  • Gerenciamento de chaves sem esforço manual.
  • Funciona atrás de CGNAT e NAT restrito.
  • Performance WireGuard rápida.
  • Controle de acesso baseado em identidade.
  • Roteamento fácil de sub-redes completas.

Comparação de soluções

SoluçãoBaseFacilidadePerformanceIdeal para
TailscaleWireGuard + plano controleMuito fácilAltaEquipes, provedores, infra mista
WireGuard (manual)WireGuardModeradoMuito altaImplantações minimalistas, DIY
OpenVPN / IPSecTLS/IPSecComplexoMédiaDispositivos legados, PKI granular
ZeroTierMalha customizadaFácilAltaRedes mesh, casos sem identidade

Integração com ambientes híbridos

Tailscale funciona bem com cloud, on-prem e edge.

Use para:

  • Criar gateways entre datacenters e sites remotos.
  • Dar acesso seguro a serviços internos para pipelines CI/CD.
  • Expor temporariamente serviços internos com Tailscale Funnel.

Melhores práticas

  • Ative ACLs e políticas de menor privilégio.
  • Use MagicDNS para evitar dispersão de IPs.
  • Exija MFA nos provedores de identidade.
  • Mantenha roteador e pacotes Tailscale atualizados.
  • Audite lista de dispositivos e revogue hardware perdido rapidamente.

Dica: Use tags e grupos no Tailscale para simplificar ACLs em muitos dispositivos.

Quando escolher Tailscale

Opte por Tailscale para configuração rápida e segurança baseada em identidade.

Ideal para gerenciar frotas distribuídas MikroTik, diagnosticar remotamente e conectar sistemas cloud sem regras complicadas de firewall.

Se precisar de controle absoluto on-premise de PKI ou suportar dispositivos legados sem agente, considere OpenVPN ou IPSec.

Onde MKController ajuda: Para acesso remoto sem complicações, governado centralmente e sem agentes por dispositivo ou aprovações manuais, o NATCloud da MKController oferece acesso centralizado, monitoramento e onboarding fácil para frotas MikroTik.

Conclusão

Tailscale moderniza o acesso remoto.

Une a velocidade do WireGuard a um plano de controle que elimina a maior parte do trabalho.

Para usuários MikroTik, é uma forma prática e eficiente de gerenciar roteadores e suas LANs — sem IPs públicos ou túneis manuais.

Sobre MKController

Esperamos que as dicas acima tenham ajudado a aprimorar seu universo MikroTik e Internet! 🚀
Seja ajustando configurações ou buscando organizar a rede de forma limpa, o MKController está aqui para simplificar sua vida.

Com gerenciamento cloud centralizado, atualizações automáticas de segurança e dashboard fácil de usar, temos o que você precisa para elevar sua operação.

👉 Comece seu teste grátis de 3 dias agora em mkcontroller.com — e veja como é o controle de rede sem esforço.