Saltar al contingut
MKController

Esquema del MKController al teu dispositiu

Resum L’script d’adopció de MKController instal·la 8 components al teu dispositiu MikroTik: un certificat OpenVPN, un perfil VPN, un túnel OpenVPN cap als servidors de MKController, una regla de tallafocs que permet l’accés de la passarel·la VPN, un planificador de monitoratge, un compte d’usuari gestionat, una regla de prioritat de tallafocs i ports de servei activats restringits al túnel VPN. Aquesta pàgina explica cada component i què deixa de funcionar si s’elimina.

What Does the MKController Adoption Script Install on MikroTik?

L’script d’adopció de MKController és un breu programa RouterOS que estableix una connexió segura i xifrada entre el teu dispositiu MikroTik i la infraestructura al núvol de MKController. Quan l’executes, crea exactament 8 components al dispositiu — no més. Entendre cada component t’ajuda a mantenir la connexió, resoldre problemes i prendre decisions informades sobre la teva configuració de RouterOS.

Requirements

Es requereix RouterOS versió 6.39 o superior. Per a la llista completa de versions compatibles, consulta Versions de RouterOS Compatibles.

Component 1: OpenVPN Certificate

Es descarrega un certificat OpenVPN i es desa al sistema de fitxers de MikroTik, i a continuació s’importa a l’emmagatzematge de certificats del dispositiu.

Pots verificar-ho a: Sistema → Certificats

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Aquest certificat autentica el dispositiu al servidor VPN de MKController. Sense ell, no es pot establir la connexió VPN.

Component 2: VPN Profile

Es crea un perfil PPP amb el xifrat activat. Aquest perfil és utilitzat pel túnel VPN creat al Component 3.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Component 3: OpenVPN Client Tunnel

Usant el certificat del Component 1 i el perfil del Component 2, es crea una interfície de client OpenVPN. Es connecta de sortida a ovpn.mkcontroller.com al port 443 usant el xifrat AES-256 i l’autenticació SHA-1.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Aquest túnel és el que permet totes les funcions al núvol: accés remot, còpies de seguretat, monitoratge i crides a l’API — sense necessitar cap port entrant obert al teu router.

Component 4: Firewall Input Rule

Es crea una sola regla de tallafocs que permet a l’adreça de la passarel·la VPN (10.8.0.1) accedir al MikroTik a través del túnel.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Només aquesta adreça IP — el servidor VPN de MKController — obté accés. Cap altra IP externa és inclosa a la llista blanca.

Component 5: Monitoring Scheduler

Un script de planificador RouterOS s’executa cada 90 segons i envia dades de salut del dispositiu a MKController: ús de CPU, consum de RAM, espai de disc i temperatura (en models compatibles).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Aquestes dades poblen les targetes de dispositiu en temps real i els informes de disponibilitat al tauler de control de MKController.

Component 6: MKController User Account

Es crea un usuari d’accés complet al MikroTik. Aquest compte s’utilitza per a tota la comunicació de l’API entre MKController i el dispositiu. La seva contrasenya rota automàticament i freqüentment per prevenir atacs de força bruta.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Pots veure aquest usuari a: Sistema → Usuaris (apareix com un nom estil UUID).

Component 7: Firewall Rule Priority

La regla del tallafocs del Component 4 es mou al capdamunt de la cadena d’entrada, assegurant que l’accés de MKController no es bloquegi per altres regles afegides posteriorment.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Component 8: Service Port Activation

Cinc ports de servei de RouterOS s’activen i el seu accés es restringeix a l’adreça de la passarel·la VPN 10.8.0.1 — és a dir, només MKController (via el túnel VPN) pot arribar-hi. Si un port ja estava obert, 10.8.0.1 s’afegeix a la seva llista d’adreces permeses sense eliminar les entrades existents.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Pots verificar els estats dels serveis a: IP → Serveis

What Breaks if a Service Is Disabled?

ServeiSi està desactivat, es trenca
www (WebFig)Accés remot a WebFig a l’aplicació web i mòbil de MKController
winboxAccés remot a Winbox a l’aplicació d’escriptori de MKController
sshCreació de còpies de seguretat, càrrega/descàrrega de fitxers, execució d’scripts
apiTotes les funcions de l’API incloent Walled Garden, Val i la API Pública
ftpOperacions del sistema de fitxers: integració FTP, llistat de fitxers, càrrega massiva de fitxers

Preguntes sobre l’script d’adopció o el comportament dels components? Contacta amb el suport de MKController a WhatsApp.