Skip to content
MKController

MikroTik Config Blueprint — Шаблони

Резюме Скриптът за приемане на MKController инсталира 8 компонента на вашето MikroTik устройство: OpenVPN сертификат, VPN профил, OpenVPN тунел към сървърите на MKController, правило в защитната стена разрешаващо достъп до VPN шлюза, планировач за мониторинг, управляван потребителски акаунт, правило за приоритет в защитната стена и активирани портове за услуги, ограничени до VPN тунела. Тази страница обяснява всеки компонент и какво спира да работи при премахването му.

Какво инсталира скриптът за приемане на MKController на MikroTik?

Скриптът за приемане на MKController е кратка RouterOS програма, която установява сигурна, криптирана връзка между вашето MikroTik устройство и облачната инфраструктура на MKController. При изпълнението му той създава точно 8 компонента на устройството — нито повече. Разбирането на всеки компонент ви помага да поддържате връзката, да отстранявате проблеми и да вземате информирани решения за вашата RouterOS конфигурация.

Изисквания

Необходима е RouterOS версия 6.39 или по-нова. За пълния списък с поддържани версии вижте Поддържани версии на RouterOS.

Компонент 1: OpenVPN сертификат

OpenVPN сертификат се изтегля и записва в файловата система на MikroTik, след което се импортира в хранилището за сертификати на устройството.

Можете да го проверите в: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Този сертификат удостоверява устройството пред VPN сървъра на MKController. Без него VPN връзката не може да бъде установена.

Компонент 2: VPN профил

Създава се PPP профил с активирано криптиране. Този профил се използва от VPN тунела, създаден в Компонент 3.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Компонент 3: OpenVPN клиентски тунел

Използвайки сертификата от Компонент 1 и профила от Компонент 2, се създава OpenVPN клиентски интерфейс. Той се свързва изходящо с ovpn.mkcontroller.com на порт 443, използвайки AES-256 шифър и SHA-1 удостоверяване.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Именно този тунел осигурява всички облачни функции: отдалечен достъп, архиви, мониторинг и API извиквания — без необходимост от отворени входящи портове на вашия рутер.

Компонент 4: Правило в защитната стена (Input)

Създава се единично правило в защитната стена, което позволява на адреса на VPN шлюза (10.8.0.1) достъп до MikroTik през тунела.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Само този IP адрес — VPN сървърът на MKController — получава достъп. Никакъв друг външен IP не е в белия списък.

Компонент 5: Планировач за мониторинг

Планировачки скрипт на RouterOS се изпълнява на всеки 90 секунди и изпраща данни за здравето на устройството до MKController: използване на CPU, консумация на RAM, дисково пространство и температура (при поддържани модели).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Тези данни попълват картите на устройствата в реално време и отчетите за наличност в таблото на MKController.

Компонент 6: Потребителски акаунт на MKController

На MikroTik се създава потребител с пълен достъп. Този акаунт се използва за цялата API комуникация между MKController и устройството. Паролата му се сменя автоматично и редовно за предотвратяване на атаки с груба сила.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Можете да видите този потребител в: System → Users (появява се с UUID-образно наименование).

Компонент 7: Приоритет на правилото в защитната стена

Правилото от Компонент 4 се поставя в началото на входящата верига, гарантирайки, че достъпът на MKController не е блокиран от правила добавени по-късно.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Компонент 8: Активиране на портове за услуги

Пет RouterOS порта за услуги се активират и достъпът им се ограничава до адреса на VPN шлюза 10.8.0.1 — само MKController (чрез VPN тунела) може да ги достигне. Ако порт вече е отворен, 10.8.0.1 се добавя към списъка с разрешени адреси без премахване на съществуващите записи.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Можете да проверите статусите на услугите в: IP → Services

Какво спира да работи при деактивиране на услуга?

УслугаПри деактивиране, това спира да работи
www (WebFig)Отдалечен достъп до WebFig в уеб и мобилното приложение на MKController
winboxОтдалечен достъп чрез Winbox в настолното приложение на MKController
sshСъздаване на архиви, качване/сваляне на файлове, изпълнение на скриптове
apiВсички API функции включително Walled Garden, Voucher и Публичното API
ftpФайлови операции: FTP интеграция, изброяване на файлове, пакетно качване

Въпроси за скрипта за приемане или поведението на компонентите? Свържете се с поддръжката на MKController в WhatsApp.