¿Cómo funciona nuestro script?

Cuando adopte un dispositivo a MKController debe copiar un script a su Mikrotik. El propósito de este material es explicar lo que hace el script en su Mikrotik y lo que puede suponer la eliminación de algunas reglas.

Requisitos Básicos

El RouterOS debe estar en la versión 6.39 o superior.

1 – Importar el certificado VPN

  • Se guarda en el sistema de archivos el certificado ovpn que se utilizará para la conexión ovpn
  • El certificado se importa al Mikrotik. Se puede acceder a él desde el menú Sistema -> Certificados

Comando:

/certificate import file-name=”[ID DEL CERTIFICADO]” passphrase=””

2 – Crear un perfil

  • Se crea una regla de perfil para ser utilizada en el túnel VPN.

Comando:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3 – Creación de un cliente de túnel VPN

Utilizando el certificado del paso 1 y el perfil del paso 2 se crea una conexión ovpn con el servidor ovpn.MKController.com

Comando:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4 – Firewall

Se crea una regla de firewall de permiso que asegura que la puerta de enlace vpn (10.8.0.1) tiene acceso al Mikrotik a través del túnel creado en el paso anterior

Comando:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5 – Control

Se crea un script de monitorización en Mikrotik para enviar datos de monitorización como el consumo de CPU, el consumo de disco, el consumo de memoria, etc.

Comando:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6 – Usuario de Mikrotik

Se crea un usuario en el Mikrotik con permisos de administrador que será gestionado en las comunicaciones entre MKController y Mikrotik. La contraseña de este usuario se cambia con frecuencia para evitar ataques de fuerza bruta

Comando:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7 – Prioridad

La regla creada en el punto 5 y colocada en primer lugar en la lista, asegurando que el MKController tenga acceso al dispositivo aunque haya otras reglas de denegación

Comando:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8 – Activación del puerto

  • Los puertos webfig, ssh, api, winbox y ftp están habilitados.
  • Si el puerto está cerrado, se habilitará con permiso de uso para la dirección 10.8.0.1, asegurando que sólo el acceso ovpn pueda acceder a él.
  • Si el puerto está abierto, la dirección 10.8.0.1 se añadirá a la lista de permisos de acceso.
  • Todos los servicios se pueden comprobar en IP-> Servicios

Comandos:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Qué ocurre si se cierra cada servicio.

  • Serviço www – La conexión webfig no funcionará a través de la plataforma web y la app;
  • Serviço winbox -La conexión winbox no funcionará a través de la plataforma y la aplicación web;
  • Serviço ssh – Los servicios de copia de seguridad no funcionarán, así como la carga y descarga de archivos;
  • Serviço api – Las apis de sistemas públicos como walled garden no funcionarán (Documentación completa en https://app.MKController.com/MKController-public/);
  • Serviço ftp – Las funciones del sistema de archivos, como la integración de ftp, la lista de archivos y la carga de archivos por lotes, no funcionarán