Al adoptar un dispositivo para MKController, debe copiar un script en su Mikrotik. El objetivo de este material es explicar qué hace el script en su Mikrotik y qué puede causar la eliminación de algunas reglas.
Requerimientos básicos
RouterOS debe tener la versión 6.39 o superior.
1 – Importación del certificado VPN
El certificado ovpn que se utilizará para la conexión ovpn se guarda en el sistema de archivos
El certificado se importa a Mikrotik. Se puede acceder a través del menú Sistema -> Certificados
Dominio:
/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””
2 – Creando el Perfil
Se crea una regla de perfil que se utilizará en el túnel VPN
Dominio:
/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”
3 – Creación del Túnel Cliente VPN
Usando el certificado del paso 1 y el perfil del paso 2, se crea una conexión ovpn con el servidor ovpn.mkcontroller.com
Dominio:
interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”
4 – Firewall
Se crea una regla de permiso de firewall que garantiza que la puerta de enlace vpn (10.8.0.1) tenga acceso al mikrotik a través del túnel creado en el paso anterior
Dominio:
/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”
5 – Seguimiento
Se crea un script de monitoreo en mikrotik para enviar datos para monitorear, como el consumo de CPU, el consumo de disco, el consumo de memoria, etc.
Dominio:
/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”
6 – Usuario en Mikrotik
Se crea un usuario en Mikrotik con permiso de administrador que se gestionará en las comunicaciones entre MKController y Mikrotik. La contraseña de este usuario se cambia con frecuencia para evitar ataques de fuerza bruta.
Dominio:
/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”
7 – Prioridad
La regla creada en el elemento 5 y colocada en primer lugar en la lista, asegurando que MKController tenga acceso al dispositivo incluso si hay otras reglas de denegación
Dominio:
:do {
:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=
} on-error {
8 – Activación de Puertos
Los puertos webfig, ssh, api, winbox y ftp están habilitados
Si el puerto está cerrado, se activará con permiso de uso para la dirección 10.8.0.1, asegurando que solo el acceso a través de ovpn pueda acceder
Si el puerto está abierto, la dirección 10.8.0.1 se agregará a la lista de permisos de acceso.
Todos los servicios se pueden consultar en IP-> Services
Dominio:
/ip service enable www; /ip service set www address=”10.8.0.1″
/ip service enable winbox; /ip service set winbox address=”10.8.0.1″
/ip service enable ssh; /ip service set ssh address=”10.8.0.1″
/ip service enable api; /ip service set api address=”10.8.0.1″
/ip service enable ftp; /ip service set ftp address=”10.8.0.1″
Qué sucede si cada servicio está cerrado:
Servicio www: la conexión webfig no funcionará a través de la plataforma web y la aplicación;
Servicio winbox: la conexión winbox no funcionará a través de la plataforma web y la aplicación;
Servicio ssh: los servicios de copia de seguridad no funcionarán, así como la carga y descarga de archivos;
Servicio API: las API públicas del sistema, como Walled Garden, no funcionarán (documentación completa en https://app.mkcontroller.com/mkcontroller-public/);
Servicio FTP: las funcionalidades del sistema de archivos no funcionarán como la integración ftp, la lista de archivos y la carga de archivos por lotes.
Acceda a otros artículos en el Centro de Conocimientos de MKController
¿No encontró la información que buscaba? ¿Tienes otras preguntas? ¿Quieres ayudarnos a mejorar el material? ¡No dude en buscar ayuda de MKController! Haga clic aquí para cualquier consulta.
