Pular para o conteúdo
MKController Blog
InstagramYouTubeFacebook

Remote Access

Gestão remota MikroTik com Tailscale

Gerencie roteadores MikroTik remotamente com Tailscale — uma malha WireGuard com travessia NAT automática, acesso por identidade e sem IPs públicos.

MKController6 min read

Resumo O Tailscale adiciona um plano de controle sobre o WireGuard, automatizando a distribuição de chaves, travessia NAT e acesso baseado em identidade. O MikroTik oferece suporte nativo no RouterOS 7.11+ por meio de um pacote oficial, o que significa que você pode colocar um roteador em uma Tailnet, anunciar sua sub-rede LAN e alcançar todos os dispositivos atrás dele a partir de qualquer outro peer da Tailnet — sem IP público, sem encaminhamento de portas, sem gestão manual de chaves. Este guia cobre a instalação em servidores e no MikroTik, o anúncio de rotas de sub-rede e as ACLs de segurança que você deve configurar antes de escalar.

Como o Tailscale gerencia roteadores MikroTik remotamente?

Tailscale é um plano de controle construído sobre o WireGuard. Ele automatiza as partes do WireGuard que se tornam tediosas em escala — distribuição de chaves, travessia NAT, descoberta de peers — e adiciona uma camada de identidade no topo, de modo que o acesso é concedido a pessoas, não a endereços IP. Você faz login com um provedor que já utiliza (Google, Microsoft, GitHub ou seu SSO), os dispositivos entram na sua malha privada (sua Tailnet) e recebem IPs Tailnet 100.x.x.x, e os relés DERP só entram em ação quando as conexões diretas peer-to-peer não conseguem ser negociadas através de CGNAT ou firewalls restritivos. O plano de controle autentica os dispositivos, mas não descriptografa o tráfego — a criptografia da carga útil permanece ponta a ponta com a criptografia do WireGuard (ChaCha20-Poly1305).

Especificamente para o MikroTik, o RouterOS 7.11+ inclui um pacote oficial do Tailscale. Instale-o, autentique o roteador na sua Tailnet, anuncie a sub-rede LAN e, a partir de qualquer outro peer da Tailnet, você pode alcançar todos os dispositivos dessa LAN como se estivessem na sua rede local. A combinação é incomumente limpa para gerenciamento remoto: sem IP público, sem encaminhamento de portas, sem configuração manual de peers e a revogação de um dispositivo roubado é feita com um único clique no console administrativo.

Conceitos centrais

  • Tailnet — sua malha privada de dispositivos autorizados.
  • Plano de controle — lida com autenticação, troca de chaves e operações administrativas.
  • DERP — a rede de relés criptografada do Tailscale, usada apenas quando o peer-to-peer direto falha.
  • Peers — todos os dispositivos da Tailnet (servidor, laptop, MikroTik, celular).
  • Rotas de sub-rede — um peer pode anunciar um CIDR inteiro por si mesmo, tornando dispositivos não-Tailscale atrás dele acessíveis.

Juntos, esses elementos são o que torna o Tailscale resiliente em CGNAT, NAT duplo e na maioria das políticas de firewall corporativo.

Modelo de segurança

A segurança de transporte do Tailscale é a do WireGuard: criptografia moderna, pequena superfície de ataque. O controle de acesso é baseado em identidade — as ACLs concedem ou negam acesso por usuário, grupo ou tag de dispositivo, em vez de por IP. Dispositivos perdidos ou comprometidos são revogados instantaneamente no console administrativo, e os logs e trilhas de auditoria fornecem a visibilidade necessária para revisões de conformidade. Habilite MFA no provedor de identidade e defina ACLs antes de adicionar muitos dispositivos; ambos são dramaticamente mais fáceis de acertar cedo do que de adaptar depois.

Passo 1: Instale o Tailscale em um servidor ou estação de trabalho

Em um servidor Linux ou VPS:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
tailscale status

Clientes desktop e móveis são instalados a partir da página de downloads do Tailscale e fazem login de forma interativa. Assim que pelo menos um peer estiver ativo, você terá uma Tailnet para adicionar o MikroTik.

Passo 2: Instale o pacote Tailscale no MikroTik (RouterOS 7.11+)

A MikroTik publica um pacote oficial do Tailscale como um complemento .npk:

  1. Baixe o tailscale-7.x-<arch>.npk correspondente na página de downloads da MikroTik para sua versão específica do RouterOS e arquitetura.
  2. Envie o .npk para o roteador (arraste e solte na janela Files do Winbox).
  3. Reinicie o roteador para que o pacote seja carregado.

Passo 3: Autentique o roteador

Em um terminal do Winbox:

/tailscale up

O roteador exibe uma URL de autenticação. Abra-a em um navegador, faça login com seu provedor de identidade e aprove o dispositivo no console administrativo do Tailscale. Verifique:

/tailscale status

Quando o status mostrar connected, o MikroTik está na Tailnet e tem um endereço 100.x.x.x que pode ser pingado a partir de qualquer outro peer da Tailnet.

Passo 4: Anuncie a sub-rede LAN

Para tornar os dispositivos na LAN do roteador (por exemplo 192.168.88.0/24) acessíveis a partir da Tailnet:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Em seguida, abra o console administrativo do Tailscale e aprove a rota anunciada — este é um processo deliberadamente em duas etapas para que um roteador não comece silenciosamente a anunciar uma sub-rede pública sem revisão do operador. Uma vez aprovada, todos os peers da Tailnet podem rotear para 192.168.88.x diretamente através do MikroTik.

Anuncie apenas redes que você realmente controla. Expor sub-redes grandes ou públicas através de rotas de sub-rede pode criar uma superfície de ataque inesperada.

Passo 5: Use a Tailnet

Faça SSH em um host atrás do MikroTik:

ssh admin@100.x.x.x

Ou use o MagicDNS para pular a busca por IP por completo:

ping mikrotik.yourtailnet.ts.net

As rotas de sub-rede tornam câmeras IP, unidades NAS, VLANs de gerenciamento e qualquer outro dispositivo LAN acessível sem encaminhamento de portas por serviço.

Comparado com outras opções de VPN

SoluçãoBaseFacilidade de instalaçãoDesempenhoMelhor para
TailscaleWireGuard + plano de controleMuito fácilAltoEquipes, provedores, infraestrutura mista
WireGuard (manual)WireGuardModeradaMuito altoImplantações minimalistas, controle DIY
OpenVPN / IPsecTLS / IPsecComplexaMédioDispositivos legados, requisitos PKI granulares
ZeroTierProtocolo de malha próprioFácilAltoRedes em malha sem identidade

Para a variante manual do WireGuard com o mesmo objetivo, veja nosso tutorial de gerenciamento remoto MikroTik com WireGuard. Para o padrão baseado em VPS sem WireGuard, veja o guia de gerenciamento remoto baseado em VPS.

Melhores práticas

  • Habilite ACLs cedo com regras de privilégio mínimo. Tags e grupos simplificam a política à medida que a Tailnet cresce.
  • Use MagicDNS para evitar espalhar IPs pela documentação. Nomes são mais fáceis de revogar e reassociar.
  • Imponha MFA no provedor de identidade — a segurança da sua Tailnet só é tão boa quanto a camada de identidade subjacente.
  • Mantenha o roteador e o pacote Tailscale atualizados. Ambos atualizam em cronogramas independentes, e atrasar em qualquer um é uma violação de configuração defensável.
  • Audite a lista de dispositivos mensalmente e revogue hardware que envelheceu fora da frota.

Dê o próximo passo

O Tailscale moderniza o acesso remoto combinando o desempenho do WireGuard com um plano de controle que elimina a maior parte da configuração manual. Para frotas MikroTik, é uma maneira prática e de alto desempenho de gerenciar roteadores e suas LANs sem IPs públicos ou túneis feitos à mão.

Se você preferir pular completamente as instalações de agente por dispositivo e as aprovações de rotas, o NATCloud do MKController oferece acesso remoto, monitoramento e onboarding centralmente governados, sem exigir a instalação de um pacote VPN de terceiros em cada roteador ou a manutenção de um administrador Tailscale separado do restante do gerenciamento da sua frota.

Comece sua avaliação gratuita do MKController