Přeskočit na obsah
MKController

Šablony konfigurace MikroTik — Blueprinty

Souhrn Přijímací skript MKController nainstaluje na vaše zařízení MikroTik 8 komponent: certifikát OpenVPN, profil VPN, OpenVPN tunel k serverům MKController, pravidlo firewallu povolující přístup VPN brány, plánovač monitorování, spravovaný uživatelský účet, pravidlo priority firewallu a aktivované servisní porty omezené na VPN tunel. Tato stránka vysvětluje každou komponentu a co se rozbije při jejím odstranění.

What Does the MKController Adoption Script Install on MikroTik?

Přijímací skript MKController je krátký program RouterOS, který navazuje zabezpečené, šifrované připojení mezi zařízením MikroTik a cloudovou infrastrukturou MKController. Při spuštění vytvoří na zařízení přesně 8 komponent — nic více. Pochopení každé komponenty vám pomůže udržovat připojení, řešit problémy a přijímat informovaná rozhodnutí o konfiguraci RouterOS.

Requirements

Je vyžadován RouterOS verze 6.39 nebo vyšší. Úplný seznam podporovaných verzí viz Podporované verze RouterOS.

Component 1: OpenVPN Certificate

Certifikát OpenVPN je stažen a uložen do souborového systému MikroTiku, poté importován do úložiště certifikátů zařízení.

Ověřit lze v: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Tento certifikát ověřuje zařízení na VPN serveru MKController. Bez něj nelze VPN připojení navázat.

Component 2: VPN Profile

Je vytvořen PPP profil s aktivovaným šifrováním. Tento profil je používán VPN tunelem vytvořeným v komponentě 3.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Component 3: OpenVPN Client Tunnel

Pomocí certifikátu z komponenty 1 a profilu z komponenty 2 je vytvořeno rozhraní klienta OpenVPN. Připojuje se odchozím směrem na ovpn.mkcontroller.com na portu 443 s šifrováním AES-256 a ověřováním SHA-1.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Tento tunel umožňuje všechny cloudové funkce: vzdálený přístup, zálohy, monitorování a volání API — bez nutnosti otevřených příchozích portů na routeru.

Component 4: Firewall Input Rule

Je vytvořeno jediné pravidlo firewallu, které umožňuje adrese VPN brány (10.8.0.1) přistupovat k MikroTiku skrze tunel.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Přístup získá pouze tato IP adresa — VPN server MKController. Žádná jiná externí IP není na whitelistu.

Component 5: Monitoring Scheduler

Skript plánovače RouterOS běží každých 90 sekund a odesílá data o stavu zařízení do MKController: využití CPU, spotřeba RAM, místo na disku a teplota (na podporovaných modelech).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Tato data naplňují karty zařízení v reálném čase a zprávy o dostupnosti na přehledu MKController.

Component 6: MKController User Account

Na MikroTiku je vytvořen uživatel s plným přístupem. Tento účet se používá pro veškerou komunikaci API mezi MKController a zařízením. Heslo se automaticky rotuje, aby zabránilo útokům hrubou silou.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Tohoto uživatele lze zobrazit v: System → Users (zobrazuje se jako název ve stylu UUID).

Component 7: Firewall Rule Priority

Pravidlo firewallu z komponenty 4 je přesunuto na vrchol vstupního řetězce, čímž je zajištěno, že přístup MKController není blokován jinými pravidly přidanými později.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Component 8: Service Port Activation

Pět servisních portů RouterOS je aktivováno a jejich přístup je omezen na adresu VPN brány 10.8.0.1 — to znamená, že k nim může přistupovat pouze MKController (přes VPN tunel). Pokud byl port již otevřen, 10.8.0.1 je přidán do jeho seznamu povolených adres bez odstranění stávajících položek.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Stavy služeb lze ověřit v: IP → Services

What Breaks if a Service Is Disabled?

SlužbaPokud deaktivována, přeruší se
www (WebFig)Vzdálený přístup WebFig ve webové a mobilní aplikaci MKController
winboxVzdálený přístup Winbox v desktopové aplikaci MKController
sshVytváření záloh, nahrávání/stahování souborů, spouštění skriptů
apiVšechny funkce API včetně Walled Garden, Voucher a veřejného API
ftpOperace souborového systému: integrace FTP, výpis souborů, hromadné nahrávání

Máte otázky k přijímacímu skriptu nebo chování komponent? Kontaktujte podporu MKController na WhatsApp.