Skip to content

MikroTik Config Blueprint — Шаблони

Резюме Скриптът за приемане на MKController инсталира 8 компонента на вашето MikroTik устройство: OpenVPN сертификат, VPN профил, OpenVPN тунел към сървърите на MKController, правило в защитната стена разрешаващо достъп до VPN шлюза, планировач за мониторинг, управляван потребителски акаунт, правило за приоритет в защитната стена и активирани портове за услуги, ограничени до VPN тунела. Тази страница обяснява всеки компонент и какво спира да работи при премахването му.

Какво инсталира скриптът за приемане на MKController на MikroTik?

Section titled “Какво инсталира скриптът за приемане на MKController на MikroTik?”

Скриптът за приемане на MKController е кратка RouterOS програма, която установява сигурна, криптирана връзка между вашето MikroTik устройство и облачната инфраструктура на MKController. При изпълнението му той създава точно 8 компонента на устройството — нито повече. Разбирането на всеки компонент ви помага да поддържате връзката, да отстранявате проблеми и да вземате информирани решения за вашата RouterOS конфигурация.

Необходима е RouterOS версия 6.39 или по-нова. За пълния списък с поддържани версии вижте Поддържани версии на RouterOS.


Компонент 1: OpenVPN сертификат

Section titled “Компонент 1: OpenVPN сертификат”

OpenVPN сертификат се изтегля и записва в файловата система на MikroTik, след което се импортира в хранилището за сертификати на устройството.

Можете да го проверите в: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Този сертификат удостоверява устройството пред VPN сървъра на MKController. Без него VPN връзката не може да бъде установена.


Създава се PPP профил с активирано криптиране. Този профил се използва от VPN тунела, създаден в Компонент 3.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Компонент 3: OpenVPN клиентски тунел

Section titled “Компонент 3: OpenVPN клиентски тунел”

Използвайки сертификата от Компонент 1 и профила от Компонент 2, се създава OpenVPN клиентски интерфейс. Той се свързва изходящо с ovpn.mkcontroller.com на порт 443, използвайки AES-256 шифър и SHA-1 удостоверяване.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Именно този тунел осигурява всички облачни функции: отдалечен достъп, архиви, мониторинг и API извиквания — без необходимост от отворени входящи портове на вашия рутер.


Компонент 4: Правило в защитната стена (Input)

Section titled “Компонент 4: Правило в защитната стена (Input)”

Създава се единично правило в защитната стена, което позволява на адреса на VPN шлюза (10.8.0.1) достъп до MikroTik през тунела.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Само този IP адрес — VPN сървърът на MKController — получава достъп. Никакъв друг външен IP не е в белия списък.


Компонент 5: Планировач за мониторинг

Section titled “Компонент 5: Планировач за мониторинг”

Планировачки скрипт на RouterOS се изпълнява на всеки 90 секунди и изпраща данни за здравето на устройството до MKController: използване на CPU, консумация на RAM, дисково пространство и температура (при поддържани модели).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Тези данни попълват картите на устройствата в реално време и отчетите за наличност в таблото на MKController.


Компонент 6: Потребителски акаунт на MKController

Section titled “Компонент 6: Потребителски акаунт на MKController”

На MikroTik се създава потребител с пълен достъп. Този акаунт се използва за цялата API комуникация между MKController и устройството. Паролата му се сменя автоматично и редовно за предотвратяване на атаки с груба сила.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Можете да видите този потребител в: System → Users (появява се с UUID-образно наименование).


Компонент 7: Приоритет на правилото в защитната стена

Section titled “Компонент 7: Приоритет на правилото в защитната стена”

Правилото от Компонент 4 се поставя в началото на входящата верига, гарантирайки, че достъпът на MKController не е блокиран от правила добавени по-късно.

:do {
:local n [/ip firewall filter find where comment="MKController"];
/ip firewall filter move numbers=$n destination=0
} on-error {}

Компонент 8: Активиране на портове за услуги

Section titled “Компонент 8: Активиране на портове за услуги”

Пет RouterOS порта за услуги се активират и достъпът им се ограничава до адреса на VPN шлюза 10.8.0.1 — само MKController (чрез VPN тунела) може да ги достигне. Ако порт вече е отворен, 10.8.0.1 се добавя към списъка с разрешени адреси без премахване на съществуващите записи.

/ip service enable www; /ip service set www address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh; /ip service set ssh address="10.8.0.1"
/ip service enable api; /ip service set api address="10.8.0.1"
/ip service enable ftp; /ip service set ftp address="10.8.0.1"

Можете да проверите статусите на услугите в: IP → Services

Какво спира да работи при деактивиране на услуга?

Section titled “Какво спира да работи при деактивиране на услуга?”
УслугаПри деактивиране, това спира да работи
www (WebFig)Отдалечен достъп до WebFig в уеб и мобилното приложение на MKController
winboxОтдалечен достъп чрез Winbox в настолното приложение на MKController
sshСъздаване на архиви, качване/сваляне на файлове, изпълнение на скриптове
apiВсички API функции включително Walled Garden, Voucher и Публичното API
ftpФайлови операции: FTP интеграция, изброяване на файлове, пакетно качване

Въпроси за скрипта за приемане или поведението на компонентите? Свържете се с поддръжката на MKController в WhatsApp.