Skip to content
MKController

MKController-ontwerp op jou Toestel

Opsomming

Wanneer jy ‘n toestel by MKController aanneem, moet jy ‘n skrif na jou MikroTik kopieer. Die doel van hierdie materiaal is om te verduidelik wat die skrif op jou MikroTik doen en wat gebeur as jy sekere reëls verwyder.

UniFiControllerLogo.

Basiese Vereistes

RouterOS moet weergawe 6.39 of hoër wees.

1. Sertifikaat

  • Die ovpn-sertifikaat wat vir die ovpn-verbinding gebruik gaan word, word in die lêerstelsel gestoor

  • Die sertifikaat word na MikroTik ingevoer. Dit kan bereik word via System -> Certificates

Opdrag:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Profiel Skepping

  • ‘n Profielreël, wat in die VPN gebruik gaan word, word geskep

Opdrag:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. Die VPN-Kliënt Tunnel

Die sertifikaat van stap 1 en die profiel van stap 2 word nou gebruik om ‘n ovpn-verbinding met die bediener ovpn.mkcontroller.com te skep

Opdrag:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Firewall

‘n Firewallreël word geskep wat verseker dat die vpn-gateway (10.8.0.1) toegang tot die MikroTik deur die tunnel van stap 3 het

Opdrag:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Monitering

‘n Moniteringskrif word in MikroTik geskep om data soos CPU-gebruik, skyfgebruik, geheuegebruik, ens. te stuur.

Opdrag:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Gebruiker op MikroTik

‘n Gebruiker word in MikroTik geskep met administrateurtoestemming wat bestuur word in die kommunikasie tussen MKController en MikroTik. Die wagwoord van hierdie gebruiker word gereeld verander om brute force-aanvalle te voorkom

Opdrag:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prioriteit

Die reël geskep in stap 5 word eerste op die lys geplaas, wat verseker dat MKController toegang tot die toestel het selfs al is daar ander blokkeringreëls

Opdrag:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Poortaktiwering

  • Die [webfig], ssh, api, [winbox] en [ftp] hawens word geaktiveer
  • As die poort gesluit is, word dit geaktiveer met toestemming om die adres 10.8.0.1 te gebruik, wat verseker dat slegs die ovpn toegang het
  • As die poort oop is, word die adres 10.8.0.1 by die toegangsbevoegdheidlys gevoeg
  • Al die dienste kan in IP -> Services gekontroleer word

Opdragte:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Wat gebeur as elke diens gesluit is.

  • [www-diens] – Die webfig-verbinding sal nie via web of die mobiele app werk nie;

  • [winbox-diens] – Die winbox-verbinding sal nie via web of die mobiele app werk nie;

  • [ssh-diens] – Rugsteundienste, aflaai en oplaai van lêers sal nie werk nie;

  • api-diens – Die publieke API van die stelsel, soos walled garden, sal nie werk nie
    (Volledige dokumentasie by https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp-diens] – Lêerstelsel-funksies soos ftp-integrasie, lêerlyste en paklêer-oplading sal nie werk nie

Toegang Hier