Skip to content
MKController

MKController схема за устройството ви

Обобщение

Когато приемете устройство в MKController, трябва да копирате скрипт на вашия MikroTik. Целта на този материал е да обясни какво прави скриптът на MikroTik и какво ще се случи, ако премахнете някои правила.

UniFiControllerLogo.

Основни изисквания

RouterOS трябва да е версия 6.39 или по-нова.

1. Сертификат

  • OVPN сертификатът, който ще се използва за OVPN връзка, се запазва във файловата система

  • Сертификатът се импортира в MikroTik. Достъпва се по меню System -> Certificates

Команда:

/certificate import file-name=”[ID НА СЕРТИФИКАТА]” passphrase=””

2. Създаване на профил

  • Създава се профилен правилник, който ще се използва във VPN

Команда:

/ppp profile add name=”[ID НА ПРОФИЛА]” use-encryption=yes comment=”MKController”

3. VPN клиентски тунел

Сертификатът от стъпка 1 и профилът от стъпка 2 се използват за създаване на OVPN връзка към сървъра ovpn.mkcontroller.com

Команда:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID НА ПОТРЕБИТЕЛЯ]” auth=sha1 cipher=aes256 certificate=”[ID НА СЕРТИФИКАТА]” port=443 profile=”[ID НА ПРОФИЛА” name=”MKController” comment=”MKController”

4. Защитна стена

Създава се правило за защитна стена, което позволява на VPN шлюза (10.8.0.1) достъп до MikroTik чрез тунела от стъпка 3

Команда:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Мониторинг

В MikroTik се създава мониторингов скрипт, който изпраща данни като използване на CPU, диск, памет и др.

Команда:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[СЪБИТИЕ] comment=”MKController”

6. Потребител в MikroTik

Създава се потребител с администраторски права, управляван по комуникацията между MKController и MikroTik. Паролата му се сменя често за предотвратяване на brute force атаки

Команда:

/user add name=”[ID на потребителя]” group=full password=”[Временна парола]”

7. Приоритет

Правилото от стъпка 5 се поставя първо в списъка, за да се гарантира, че MKController ще има достъп до устройството дори при други забранителни правила

Команда:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Активиране на портове

  • Активират се портовете [webfig], ssh, api, [winbox] и [ftp]
  • Ако портът е затворен, той се активира с разрешение за адрес 10.8.0.1, гарантирайки достъп само чрез OVPN
  • Ако портът е отворен, адресът 10.8.0.1 се добавя в списъка с разрешени адреси
  • Всички услуги могат да се проверят в IP -> Services

Команди:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Какво се случва, ако всяка услуга е затворена:

  • [www услуга] – връзката през webfig няма да работи през уеб или мобилното приложение;

  • [winbox услуга] – връзката през winbox няма да работи през уеб или мобилното приложение;

  • [ssh услуга] – бекъп услуги, качване и сваляне на файлове няма да работят;

  • api услуга – публичното API, като walled garden, няма да работи
    (Пълна документация на https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp услуга] – функционалности като ftp интеграция, изброяване на файлове и пакетно качване няма да работят

Достъп тук