¿Cómo funciona nuestro script?

Al adoptar un dispositivo para MKController, debe copiar un script en su Mikrotik. El objetivo de este material es explicar qué hace el script en su Mikrotik y qué puede causar la eliminación de algunas reglas.

Requerimientos básicos

RouterOS debe tener la versión 6.39 o superior.

1 – Importación del certificado VPN

El certificado ovpn que se utilizará para la conexión ovpn se guarda en el sistema de archivos

El certificado se importa a Mikrotik. Se puede acceder a través del menú Sistema -> Certificados

Dominio:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2 – Creando el Perfil

Se crea una regla de perfil que se utilizará en el túnel VPN

Dominio:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3 – Creación del Túnel Cliente VPN

Usando el certificado del paso 1 y el perfil del paso 2, se crea una conexión ovpn con el servidor ovpn.mkcontroller.com

Dominio:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController

4 – Firewall

Se crea una regla de permiso de firewall que garantiza que la puerta de enlace vpn (10.8.0.1) tenga acceso al mikrotik a través del túnel creado en el paso anterior

Dominio:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5 – Seguimiento

Se crea un script de monitoreo en mikrotik para enviar datos para monitorear, como el consumo de CPU, el consumo de disco, el consumo de memoria, etc.

Dominio:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6 – Usuario en Mikrotik

Se crea un usuario en Mikrotik con permiso de administrador que se gestionará en las comunicaciones entre MKController y Mikrotik. La contraseña de este usuario se cambia con frecuencia para evitar ataques de fuerza bruta.

Dominio:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7 – Prioridad

La regla creada en el elemento 5 y colocada en primer lugar en la lista, asegurando que MKController tenga acceso al dispositivo incluso si hay otras reglas de denegación

Dominio:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=

} on-error {

8 – Activación de Puertos

Los puertos webfig, ssh, api, winbox y ftp están habilitados

Si el puerto está cerrado, se activará con permiso de uso para la dirección 10.8.0.1, asegurando que solo el acceso a través de ovpn pueda acceder

Si el puerto está abierto, la dirección 10.8.0.1 se agregará a la lista de permisos de acceso.

Todos los servicios se pueden consultar en IP-> Services

Dominio:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Qué sucede si cada servicio está cerrado:

Servicio www: la conexión webfig no funcionará a través de la plataforma web y la aplicación;

Servicio winbox: la conexión winbox no funcionará a través de la plataforma web y la aplicación;

Servicio ssh: los servicios de copia de seguridad no funcionarán, así como la carga y descarga de archivos;

Servicio API: las API públicas del sistema, como Walled Garden, no funcionarán (documentación completa en https://app.mkcontroller.com/mkcontroller-public/);

Servicio FTP: las funcionalidades del sistema de archivos no funcionarán como la integración ftp, la lista de archivos y la carga de archivos por lotes.

Acceda a otros artículos en el Centro de Conocimientos de MKController
¿No encontró la información que buscaba? ¿Tienes otras preguntas? ¿Quieres ayudarnos a mejorar el material? ¡No dude en buscar ayuda de MKController! Haga clic aquí para cualquier consulta.