تخطَّ إلى المحتوى
MKController

مخطط MKController على جهازك

الملخص

عند اعتماد جهاز في MKController، يجب نسخ نص برمجي إلى جهاز Mikrotik الخاص بك. يهدف هذا الشرح إلى توضيح ما يقوم به النص البرمجي على Mikrotik وما الذي سيحدث إذا قمت بإزالة بعض القواعد.

UniFiControllerLogo.

المتطلبات الأساسية

يجب أن يكون إصدار RouterOS 6.39 أو أعلى.

1. الشهادة

  • يتم حفظ شهادة ovpn التي ستُستخدم لاتصال ovpn في نظام الملفات.

  • يتم استيراد الشهادة إلى Mikrotik. يمكن الوصول إليها من خلال القائمة System -> Certificates

الأمر:

/certificate import file-name=”[معرف الشهادة]” passphrase=””

2. إنشاء ملف التعريف

  • تُنشأ قاعدة ملف تعريف تُستخدم في VPN.

الأمر:

/ppp profile add name=”[معرف الملف]” use-encryption=yes comment=”MKController”

3. نفق عميل VPN

تُستخدم الشهادة من الخطوة 1 وملف التعريف من الخطوة 2 الآن لإنشاء اتصال ovpn مع الخادم ovpn.mkcontroller.com

الأمر:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[معرف المستخدم]” auth=sha1 cipher=aes256 certificate=”[معرف الشهادة]” port=443 profile=”[معرف الملف]” name=”MKController” comment=”MKController”

4. جدار الحماية

يتم إنشاء قاعدة في جدار الحماية تضمن أن بوابة VPN (10.8.0.1) لها حق الوصول إلى Mikrotik عبر النفق المُنشأ في الخطوة 3

الأمر:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. المراقبة

يتم إنشاء نص مراقبة في Mikrotik لإرسال بيانات مثل استخدام وحدة المعالجة المركزية، استخدام القرص، استخدام الذاكرة، إلخ.

الأمر:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[الحدث]” comment=”MKController”

6. المستخدم في Mikrotik

يُنشأ مستخدم في Mikrotik بصلاحيات مدير يُدار في التواصل بين MKController و Mikrotik. يتم تغيير كلمة مرور هذا المستخدم بشكل متكرر لمنع هجمات القوة الغاشمة.

الأمر:

/user add name=”[معرف المستخدم]” group=full password=”[كلمة مرور مؤقتة]”

7. الأولوية

تُوضع القاعدة المُنشأة في الخطوة 5 في أول القائمة، مما يضمن أن MKController يمكنه الوصول إلى الجهاز حتى في حال وجود قواعد رفض أخرى.

الأمر:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. تفعيل المنافذ

  • يتم تفعيل منافذ [webfig]، ssh، api، [winbox] و [ftp].
  • إذا كان المنفذ مغلقًا، سيتم تفعيله مع السماح باستخدام العنوان 10.8.0.1، مما يضمن أن ovpn فقط يمكنه الوصول.
  • إذا كان المنفذ مفتوحًا، ستُضاف العنوان 10.8.0.1 إلى قائمة السماح بالوصول.
  • يمكن التحقق من جميع الخدمات في IP -> Services.

الأوامر:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

ماذا يحدث إذا كان كل خدمة مغلقة:

  • [خدمة www] – لن يعمل اتصال webfig عبر الويب أو التطبيق المحمول.

  • [خدمة winbox] – لن يعمل اتصال winbox عبر الويب أو التطبيق المحمول.

  • [خدمة ssh] – لن تعمل خدمات النسخ الاحتياطي، رفع وتنزيل الملفات.

  • خدمة api – واجهة API العامة للنظام، مثل walled garden، لن تعمل
    (التوثيق الكامل متوفر على https://app.mkcontroller.com/mkcontroller-puclic/);

  • [خدمة ftp] – وظائف نظام الملفات مثل تكامل ftp، عرض الملفات، ورفع ملفات المجاميع لن تعمل.

الوصول هنا