Přeskočit na obsah

Šablony konfigurace MikroTik — Blueprinty

Souhrn Přijímací skript MKController nainstaluje na vaše zařízení MikroTik 8 komponent: certifikát OpenVPN, profil VPN, OpenVPN tunel k serverům MKController, pravidlo firewallu povolující přístup VPN brány, plánovač monitorování, spravovaný uživatelský účet, pravidlo priority firewallu a aktivované servisní porty omezené na VPN tunel. Tato stránka vysvětluje každou komponentu a co se rozbije při jejím odstranění.

What Does the MKController Adoption Script Install on MikroTik?

Section titled “What Does the MKController Adoption Script Install on MikroTik?”

Přijímací skript MKController je krátký program RouterOS, který navazuje zabezpečené, šifrované připojení mezi zařízením MikroTik a cloudovou infrastrukturou MKController. Při spuštění vytvoří na zařízení přesně 8 komponent — nic více. Pochopení každé komponenty vám pomůže udržovat připojení, řešit problémy a přijímat informovaná rozhodnutí o konfiguraci RouterOS.

Je vyžadován RouterOS verze 6.39 nebo vyšší. Úplný seznam podporovaných verzí viz Podporované verze RouterOS.


Certifikát OpenVPN je stažen a uložen do souborového systému MikroTiku, poté importován do úložiště certifikátů zařízení.

Ověřit lze v: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Tento certifikát ověřuje zařízení na VPN serveru MKController. Bez něj nelze VPN připojení navázat.


Je vytvořen PPP profil s aktivovaným šifrováním. Tento profil je používán VPN tunelem vytvořeným v komponentě 3.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Pomocí certifikátu z komponenty 1 a profilu z komponenty 2 je vytvořeno rozhraní klienta OpenVPN. Připojuje se odchozím směrem na ovpn.mkcontroller.com na portu 443 s šifrováním AES-256 a ověřováním SHA-1.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Tento tunel umožňuje všechny cloudové funkce: vzdálený přístup, zálohy, monitorování a volání API — bez nutnosti otevřených příchozích portů na routeru.


Je vytvořeno jediné pravidlo firewallu, které umožňuje adrese VPN brány (10.8.0.1) přistupovat k MikroTiku skrze tunel.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Přístup získá pouze tato IP adresa — VPN server MKController. Žádná jiná externí IP není na whitelistu.


Skript plánovače RouterOS běží každých 90 sekund a odesílá data o stavu zařízení do MKController: využití CPU, spotřeba RAM, místo na disku a teplota (na podporovaných modelech).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Tato data naplňují karty zařízení v reálném čase a zprávy o dostupnosti na přehledu MKController.


Na MikroTiku je vytvořen uživatel s plným přístupem. Tento účet se používá pro veškerou komunikaci API mezi MKController a zařízením. Heslo se automaticky rotuje, aby zabránilo útokům hrubou silou.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Tohoto uživatele lze zobrazit v: System → Users (zobrazuje se jako název ve stylu UUID).


Pravidlo firewallu z komponenty 4 je přesunuto na vrchol vstupního řetězce, čímž je zajištěno, že přístup MKController není blokován jinými pravidly přidanými později.

:do {
:local n [/ip firewall filter find where comment="MKController"];
/ip firewall filter move numbers=$n destination=0
} on-error {}

Pět servisních portů RouterOS je aktivováno a jejich přístup je omezen na adresu VPN brány 10.8.0.1 — to znamená, že k nim může přistupovat pouze MKController (přes VPN tunel). Pokud byl port již otevřen, 10.8.0.1 je přidán do jeho seznamu povolených adres bez odstranění stávajících položek.

/ip service enable www; /ip service set www address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh; /ip service set ssh address="10.8.0.1"
/ip service enable api; /ip service set api address="10.8.0.1"
/ip service enable ftp; /ip service set ftp address="10.8.0.1"

Stavy služeb lze ověřit v: IP → Services

SlužbaPokud deaktivována, přeruší se
www (WebFig)Vzdálený přístup WebFig ve webové a mobilní aplikaci MKController
winboxVzdálený přístup Winbox v desktopové aplikaci MKController
sshVytváření záloh, nahrávání/stahování souborů, spouštění skriptů
apiVšechny funkce API včetně Walled Garden, Voucher a veřejného API
ftpOperace souborového systému: integrace FTP, výpis souborů, hromadné nahrávání

Máte otázky k přijímacímu skriptu nebo chování komponent? Kontaktujte podporu MKController na WhatsApp.