Přeskočit na obsah
MKController

Schéma MKController na vašem zařízení

Shrnutí

Když adoptujete zařízení na MKController, musíte na Mikrotik zkopírovat skript. Cílem tohoto materiálu je vysvětlit, co skript na Mikrotiku dělá a co se stane při odstranění některých pravidel.

UniFiControllerLogo.

Základní požadavky

RouterOS musí být ve verzi 6.39 nebo vyšší.

1. Certifikát

  • OVPN certifikát, který bude použit pro OVPN připojení, je uložen v souborovém systému.

  • Certifikát je importován do Mikrotiku a je přístupný přes menu System -> Certificates.

Příkaz:

/certificate import file-name=”[ID DO CERTIFIKÁTU]” passphrase=””

2. Vytvoření profilu

  • Je vytvořeno profilové pravidlo, které bude použito ve VPN.

Příkaz:

/ppp profile add name=”[ID PROFILU]” use-encryption=yes comment=”MKController”

3. VPN klientský tunel

Certifikát z kroku 1 a profil z kroku 2 jsou nyní použity k vytvoření OVPN připojení na server ovpn.mkcontroller.com.

Příkaz:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID UŽIVATELE]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFIKÁTU]” port=443 profile=”[ID PROFILU” name=”MKController” comment=”MKController”

4. Firewall

Je vytvořeno firewall pravidlo, které zajišťuje, že VPN brána (10.8.0.1) má přístup k Mikrotiku přes tunel vytvořený v kroku 3.

Příkaz:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Monitorování

Na Mikrotiku je vytvořen monitorovací skript, který odesílá data jako využití CPU, disku, paměti atd.

Příkaz:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[UDÁLOST] comment=”MKController”

6. Uživatel na Mikrotiku

Na Mikrotiku je vytvořen uživatel s administrátorským oprávněním, který je spravován komunikací mezi MKController a Mikrotikem. Heslo tohoto uživatele je často měněno, aby se zabránilo útokům hrubou silou.

Příkaz:

/user add name=”[ID uživatele]” group=full password=”[Dočasné heslo]”

7. Priorita

Pravidlo vytvořené v kroku 5 je umístěno první v seznamu, aby se zajistil přístup MKController k zařízení i v případě existence dalších blokujících pravidel.

Příkaz:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Aktivace portů

  • Porty [webfig], ssh, api, [winbox] a [ftp] jsou aktivovány.
  • Pokud je port zavřený, bude aktivován s povolením ke komunikaci z adresy 10.8.0.1, čímž je zajištěn přístup pouze přes OVPN.
  • Pokud je port již otevřený, adresa 10.8.0.1 bude přidána do seznamu povolených adres.
  • Všechny služby lze zkontrolovat v IP -> Services.

Příkazy:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Co se stane, pokud je daná služba zavřená.

  • [www služba] – Připojení webfig nebude fungovat přes web ani mobilní aplikaci;

  • [winbox služba] – Připojení winbox nebude fungovat přes web ani mobilní aplikaci;

  • [ssh služba] – Backup služby, upload i download souborů nebudou fungovat;

  • api služba – Veřejné API systému, například walled garden, nebude funkční
    (Kompletní dokumentace na https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp služba] – Funkce v souborovém systému jako ftp integrace, výpis souborů a hromadný upload nebudou funkční.

Přístup zde