Saltar al contingut
MKController

Esquema del MKController al teu dispositiu

Resum

Quan adoptes un dispositiu a MKController has de copiar un script al teu Mikrotik. L’objectiu d’aquest document és explicar què fa el script al teu Mikrotik i què passarà si elimines algunes regles.

UniFiControllerLogo.

Requisits bàsics

RouterOS ha de ser versió 6.39 o superior.

1. Certificat

  • El certificat ovpn que s’utilitzarà per a la connexió ovpn està desat al sistema de fitxers

  • El certificat s’importa a Mikrotik. Es pot accedir pel menú System -> Certificates

Comanda:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Creació del perfil

  • Es crea una regla de perfil que s’utilitzarà a la VPN

Comanda:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. El túnel del client VPN

El certificat del pas 1 i el perfil del pas 2 s’utilitzen ara per crear una connexió ovpn amb el servidor ovpn.mkcontroller.com

Comanda:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Tallafocs

Es crea una regla de tallafocs que assegura que la passarel·la vpn (10.8.0.1) té accés al mikrotik a través del túnel creat al pas 3

Comanda:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Monitoratge

Es crea un script de monitoratge a mikrotik per enviar dades com ús de CPU, ús de disc, ús de memòria, etc.

Comanda:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Usuari a Mikrotik

Es crea un usuari a mikrotik amb permisos d’administrador que es gestionarà en la comunicació entre MKController i Mikrotik. La contrasenya d’aquest usuari es canvia sovint per evitar atacs de força bruta

Comanda:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prioritat

La regla creada al pas 5 es col·loca en primera posició a la llista, assegurant que MKController tingui accés al dispositiu encara que existissin altres regles de denegació

Comanda:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Activació de ports

  • Els ports [webfig], ssh, api, [winbox] i [ftp] estan activats
  • Si el port està tancat, s’activarà amb permís per utilitzar l’adreça 10.8.0.1, assegurant que només ovpn pot accedir-hi
  • Si el port està obert, s’afegirà l’adreça 10.8.0.1 a la llista de permisos d’accés
  • Tots els serveis es poden consultar a IP -> Services

Comandes:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Què passa si cada servei està tancat.

  • [servei www] – La connexió webfig no funcionarà per web ni per l’app mòbil;

  • [servei winbox] – La connexió winbox no funcionarà per web ni per l’app mòbil;

  • [servei ssh] – Els serveis de còpia de seguretat, pujada i descàrrega de fitxers no funcionaran;

  • servei api – L’API pública del sistema, com el walled garden, no funcionarà
    (Documentació completa a https://app.mkcontroller.com/mkcontroller-puclic/);

  • [servei ftp] – Les funcionalitats del sistema de fitxers com la integració ftp, llistat de fitxers i pujada massiva no funcionaran

Accedeix aquí