Cuando adopte un dispositivo a MKController debe copiar un script a su Mikrotik. El propósito de este material es explicar lo que hace el script en su Mikrotik y lo que puede suponer la eliminación de algunas reglas.
Requisitos Básicos
El RouterOS debe estar en la versión 6.39 o superior.
1 – Importar el certificado VPN
- Se guarda en el sistema de archivos el certificado ovpn que se utilizará para la conexión ovpn
- El certificado se importa al Mikrotik. Se puede acceder a él desde el menú Sistema -> Certificados
Comando:
/certificate import file-name=”[ID DEL CERTIFICADO]” passphrase=””
2 – Crear un perfil
- Se crea una regla de perfil para ser utilizada en el túnel VPN.
Comando:
/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”
3 – Creación de un cliente de túnel VPN
Utilizando el certificado del paso 1 y el perfil del paso 2 se crea una conexión ovpn con el servidor ovpn.MKController.com
Comando:
interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”
4 – Firewall
Se crea una regla de firewall de permiso que asegura que la puerta de enlace vpn (10.8.0.1) tiene acceso al Mikrotik a través del túnel creado en el paso anterior
Comando:
/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”
5 – Control
Se crea un script de monitorización en Mikrotik para enviar datos de monitorización como el consumo de CPU, el consumo de disco, el consumo de memoria, etc.
Comando:
/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”
6 – Usuario de Mikrotik
Se crea un usuario en el Mikrotik con permisos de administrador que será gestionado en las comunicaciones entre MKController y Mikrotik. La contraseña de este usuario se cambia con frecuencia para evitar ataques de fuerza bruta
Comando:
/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”
7 – Prioridad
La regla creada en el punto 5 y colocada en primer lugar en la lista, asegurando que el MKController tenga acceso al dispositivo aunque haya otras reglas de denegación
Comando:
:do {
:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0
} on-error {
8 – Activación del puerto
- Los puertos webfig, ssh, api, winbox y ftp están habilitados.
- Si el puerto está cerrado, se habilitará con permiso de uso para la dirección 10.8.0.1, asegurando que sólo el acceso ovpn pueda acceder a él.
- Si el puerto está abierto, la dirección 10.8.0.1 se añadirá a la lista de permisos de acceso.
- Todos los servicios se pueden comprobar en IP-> Servicios
Comandos:
/ip service enable www; /ip service set www address=”10.8.0.1″
/ip service enable winbox; /ip service set winbox address=”10.8.0.1″
/ip service enable ssh; /ip service set ssh address=”10.8.0.1″
/ip service enable api; /ip service set api address=”10.8.0.1″
/ip service enable ftp; /ip service set ftp address=”10.8.0.1″
Qué ocurre si se cierra cada servicio.
- Serviço www – La conexión webfig no funcionará a través de la plataforma web y la app;
- Serviço winbox -La conexión winbox no funcionará a través de la plataforma y la aplicación web;
- Serviço ssh – Los servicios de copia de seguridad no funcionarán, así como la carga y descarga de archivos;
- Serviço api – Las apis de sistemas públicos como walled garden no funcionarán (Documentación completa en https://app.MKController.com/MKController-public/);
- Serviço ftp – Las funciones del sistema de archivos, como la integración de ftp, la lista de archivos y la carga de archivos por lotes, no funcionarán