Hoppa till innehåll
MKController Blog
InstagramYouTubeFacebook

Remote Access

Tailscale fjärrhantering av MikroTik

Hantera MikroTik-routrar på distans med Tailscale — ett WireGuard-mesh med automatisk NAT-traversering, identitetsbaserad åtkomst och inga publika IP-adresser.

MKController5 min read

Sammanfattning Tailscale lägger ett kontrollplan ovanpå WireGuard och automatiserar nyckeldistribution, NAT-traversering och identitetsbaserad åtkomst. MikroTik stöder det nativt på RouterOS 7.11+ via ett officiellt paket, vilket betyder att du kan ansluta en router till ett Tailnet, annonsera dess LAN-subnät och nå varje enhet bakom den från vilken annan Tailnet-peer som helst — ingen publik IP, ingen portforwarding, ingen manuell nyckelhantering. Den här guiden täcker installationen på servrar och på MikroTik, annonsering av subnätsrutter och säkerhets-ACL:er du bör konfigurera innan du skalar upp.

Hur hanterar Tailscale MikroTik-routrar på distans?

Tailscale är ett kontrollplan byggt ovanpå WireGuard. Det automatiserar de delar av WireGuard som blir tråkiga vid skala — nyckeldistribution, NAT-traversering, peer-upptäckt — och lägger till ett identitetslager ovanpå så att åtkomst beviljas till människor, inte till IP-adresser. Du loggar in med en leverantör du redan använder (Google, Microsoft, GitHub eller din SSO), enheter ansluter till ditt privata mesh (ditt Tailnet) och får 100.x.x.x Tailnet-IP-adresser, och DERP-reläer kliver in endast när direkta peer-to-peer-anslutningar misslyckas att förhandla genom CGNAT eller restriktiva brandväggar. Kontrollplanet autentiserar enheter men dekrypterar inte trafik — nyttolastens kryptering förblir end-to-end med WireGuard-krypto (ChaCha20-Poly1305).

För MikroTik specifikt levereras RouterOS 7.11+ med ett officiellt Tailscale-paket. Installera det, autentisera routern in i ditt Tailnet, annonsera LAN-subnätet, och från vilken annan Tailnet-peer som helst kan du nå varje enhet på det LAN som om det vore på ditt lokala nätverk. Kombinationen är ovanligt ren för fjärrhantering: ingen publik IP, ingen portforwarding, ingen manuell peer-konfiguration, och återkallelse av en stulen enhet är ett enda klick i adminkonsolen.

Kärnkoncept

  • Tailnet — ditt privata mesh av auktoriserade enheter.
  • Kontrollplan — hanterar autentisering, nyckelutbyte och adminoperationer.
  • DERP — Tailscales krypterade relänätverk, används endast när direkt peer-to-peer misslyckas.
  • Peers — varje enhet i Tailnet (server, laptop, MikroTik, telefon).
  • Subnätsrutter — en peer kan annonsera ett helt CIDR genom sig själv, så att icke-Tailscale-enheter bakom den peeren blir nåbara.

Dessa tillsammans är vad som gör Tailscale motståndskraftigt över CGNAT, dubbel-NAT och de flesta företagsbrandväggspolicyer.

Säkerhetsmodell

Tailscales transportsäkerhet är WireGuards: modern krypto, liten attackyta. Åtkomstkontroll är identitetsbaserad — ACL:er beviljar eller nekar åtkomst per användare, grupp eller enhetstagg snarare än per IP. Förlorade eller komprometterade enheter återkallas omedelbart från adminkonsolen, och loggar plus revisionsspår ger dig den synlighet du behöver för efterlevnadsgranskningar. Aktivera MFA hos identitetsleverantören och definiera ACL:er innan du lägger till många enheter; båda är dramatiskt enklare att få rätt tidigt än att eftermontera senare.

Steg 1: Installera Tailscale på en server eller arbetsstation

På en Linux-server eller VPS:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --authkey <AUTHKEY>
tailscale status

Desktop- och mobilklienter installeras från Tailscales nedladdningssida och loggar in interaktivt. När minst en peer är uppe har du ett Tailnet att lägga till MikroTik:en i.

Steg 2: Installera Tailscale-paketet på MikroTik (RouterOS 7.11+)

MikroTik publicerar ett officiellt Tailscale-paket som ett .npk-tillägg:

  1. Ladda ner matchande tailscale-7.x-<arch>.npk från MikroTiks nedladdningssida för din specifika RouterOS-version och arkitektur.
  2. Ladda upp .npk-filen till routern (dra-och-släpp i Winbox Files-fönstret).
  3. Starta om routern så att paketet laddas.

Steg 3: Autentisera routern

I en Winbox-terminal:

/tailscale up

Routern skriver ut en autentiserings-URL. Öppna den i en webbläsare, logga in med din identitetsleverantör och godkänn enheten i Tailscales adminkonsol. Verifiera:

/tailscale status

När status visar connected är MikroTik:en i Tailnet och har en 100.x.x.x-adress du kan pinga från vilken annan Tailnet-peer som helst.

Steg 4: Annonsera LAN-subnätet

För att göra enheter på routerns LAN (säg 192.168.88.0/24) nåbara från Tailnet:

/ip route add dst-address=192.168.88.0/24 gateway=tailscale0
/tailscale up --advertise-routes=192.168.88.0/24

Öppna sedan Tailscales adminkonsol och godkänn den annonserade rutten — detta är en avsiktlig tvåstegsprocess så att en router inte tyst kan börja annonsera ett publikt subnät utan operatörsgranskning. När den väl är godkänd kan varje Tailnet-peer routa till 192.168.88.x direkt genom MikroTik:en.

Annonsera endast nätverk du faktiskt kontrollerar. Att exponera stora eller publika subnät via subnätsrutter kan skapa oväntad attackyta.

Steg 5: Använd Tailnet

SSH till en värd bakom MikroTik:en:

ssh admin@100.x.x.x

Eller använd MagicDNS för att helt hoppa över IP-uppslagningen:

ping mikrotik.yourtailnet.ts.net

Subnätsrutter gör IP-kameror, NAS-enheter, hanterings-VLAN och alla andra LAN-enheter nåbara utan portforwarding per tjänst.

Jämfört med andra VPN-alternativ

LösningBasEnkel installationPrestandaBäst för
TailscaleWireGuard + kontrollplanMycket enkelHögTeam, leverantörer, blandad infrastruktur
WireGuard (manuell)WireGuardMåttligMycket högMinimalistiska driftsättningar, DIY-kontroll
OpenVPN / IPsecTLS / IPsecKomplexMedelÄldre enheter, granulära PKI-krav
ZeroTierEget mesh-protokollEnkelHögMesh-nätverk utan identitet

För den manuella WireGuard-varianten av samma mål, se vår WireGuard fjärrhantering av MikroTik-tutorial. För det VPS-baserade mönstret utan WireGuard alls, se VPS-baserad fjärrhanteringsguide.

Bästa praxis

  • Aktivera ACL:er tidigt med regler enligt minsta privilegium. Taggar och grupper förenklar policyn när Tailnet växer.
  • Använd MagicDNS för att undvika att sprida IP-adresser i dokumentationen. Namn är enklare att återkalla och binda om.
  • Kräv MFA hos identitetsleverantören — ditt Tailnets säkerhet är bara så bra som identitetslagret under.
  • Håll routern och Tailscale-paketet uppdaterade. Båda uppdateras enligt oberoende scheman, och att släpa efter på endera är ett brott mot försvarbar konfiguration.
  • Granska enhetslistan månadsvis och återkalla hårdvara som har åldrats ut ur flottan.

Ta nästa steg

Tailscale moderniserar fjärråtkomst genom att blanda WireGuard-prestanda med ett kontrollplan som tar bort merparten av den manuella installationen. För MikroTik-flottor är det ett praktiskt, högpresterande sätt att hantera routrar och deras LAN utan publika IP-adresser eller handgjorda tunnlar.

Om du hellre helt vill hoppa över agentinstallationer per enhet och ruttgodkännanden, levererar MKControllers NATCloud centralt styrd fjärråtkomst, övervakning och onboarding utan att kräva att du installerar ett tredjeparts-VPN-paket på varje router eller upprätthåller en Tailscale-admin separat från resten av din flotthantering.

Starta din kostnadsfria MKController-provperiod