¿Cómo funciona nuestro script?
Al adoptar un dispositivo para MKController, debe copiar un script en su Mikrotik. El objetivo de este material es explicar qué hace el script en su Mikrotik y qué puede causar la eliminación de algunas reglas.
Requerimientos básicos
RouterOS debe tener la versión 6.39 o superior.
1 – Importación del certificado VPN
El certificado ovpn que se utilizará para la conexión ovpn se guarda en el sistema de archivos
El certificado se importa a Mikrotik. Se puede acceder a través del menú Sistema -> Certificados
Dominio:
/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””
2 – Creando el Perfil
Se crea una regla de perfil que se utilizará en el túnel VPN
Dominio:
/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”
3 – Creación del Túnel Cliente VPN
Usando el certificado del paso 1 y el perfil del paso 2, se crea una conexión ovpn con el servidor ovpn.mkcontroller.com
Dominio:
interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”
4 – Firewall
Se crea una regla de permiso de firewall que garantiza que la puerta de enlace vpn (10.8.0.1) tenga acceso al mikrotik a través del túnel creado en el paso anterior
Dominio:
/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”
5 – Seguimiento
Se crea un script de monitoreo en mikrotik para enviar datos para monitorear, como el consumo de CPU, el consumo de disco, el consumo de memoria, etc.
Dominio:
/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”
6 – Usuario en Mikrotik
Se crea un usuario en Mikrotik con permiso de administrador que se gestionará en las comunicaciones entre MKController y Mikrotik. La contraseña de este usuario se cambia con frecuencia para evitar ataques de fuerza bruta.
Dominio:
/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”
7 – Prioridad
La regla creada en el elemento 5 y colocada en primer lugar en la lista, asegurando que MKController tenga acceso al dispositivo incluso si hay otras reglas de denegación
Dominio:
:do {
:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=
} on-error {
8 – Activación de Puertos
Los puertos webfig, ssh, api, winbox y ftp están habilitados
Si el puerto está cerrado, se activará con permiso de uso para la dirección 10.8.0.1, asegurando que solo el acceso a través de ovpn pueda acceder
Si el puerto está abierto, la dirección 10.8.0.1 se agregará a la lista de permisos de acceso.
Todos los servicios se pueden consultar en IP-> Services
Dominio:
/ip service enable www; /ip service set www address=”10.8.0.1″
/ip service enable winbox; /ip service set winbox address=”10.8.0.1″
/ip service enable ssh; /ip service set ssh address=”10.8.0.1″
/ip service enable api; /ip service set api address=”10.8.0.1″
/ip service enable ftp; /ip service set ftp address=”10.8.0.1″
Qué sucede si cada servicio está cerrado:
Servicio www: la conexión webfig no funcionará a través de la plataforma web y la aplicación;
Servicio winbox: la conexión winbox no funcionará a través de la plataforma web y la aplicación;
Servicio ssh: los servicios de copia de seguridad no funcionarán, así como la carga y descarga de archivos;
Servicio API: las API públicas del sistema, como Walled Garden, no funcionarán (documentación completa en https://app.mkcontroller.com/mkcontroller-public/);
Servicio FTP: las funcionalidades del sistema de archivos no funcionarán como la integración ftp, la lista de archivos y la carga de archivos por lotes.
Acceda a otros artículos en el Centro de Conocimientos de MKController
¿No encontró la información que buscaba? ¿Tienes otras preguntas? ¿Quieres ayudarnos a mejorar el material? ¡No dude en buscar ayuda de MKController! Haga clic aquí para cualquier consulta.