Šablony konfigurace MikroTik — Blueprinty
Souhrn Přijímací skript MKController nainstaluje na vaše zařízení MikroTik 8 komponent: certifikát OpenVPN, profil VPN, OpenVPN tunel k serverům MKController, pravidlo firewallu povolující přístup VPN brány, plánovač monitorování, spravovaný uživatelský účet, pravidlo priority firewallu a aktivované servisní porty omezené na VPN tunel. Tato stránka vysvětluje každou komponentu a co se rozbije při jejím odstranění.
What Does the MKController Adoption Script Install on MikroTik?
Section titled “What Does the MKController Adoption Script Install on MikroTik?”Přijímací skript MKController je krátký program RouterOS, který navazuje zabezpečené, šifrované připojení mezi zařízením MikroTik a cloudovou infrastrukturou MKController. Při spuštění vytvoří na zařízení přesně 8 komponent — nic více. Pochopení každé komponenty vám pomůže udržovat připojení, řešit problémy a přijímat informovaná rozhodnutí o konfiguraci RouterOS.
Requirements
Section titled “Requirements”Je vyžadován RouterOS verze 6.39 nebo vyšší. Úplný seznam podporovaných verzí viz Podporované verze RouterOS.
Component 1: OpenVPN Certificate
Section titled “Component 1: OpenVPN Certificate”Certifikát OpenVPN je stažen a uložen do souborového systému MikroTiku, poté importován do úložiště certifikátů zařízení.
Ověřit lze v: System → Certificates
/certificate import file-name="[CERTIFICATE_ID]" passphrase=""Tento certifikát ověřuje zařízení na VPN serveru MKController. Bez něj nelze VPN připojení navázat.
Component 2: VPN Profile
Section titled “Component 2: VPN Profile”Je vytvořen PPP profil s aktivovaným šifrováním. Tento profil je používán VPN tunelem vytvořeným v komponentě 3.
/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"Component 3: OpenVPN Client Tunnel
Section titled “Component 3: OpenVPN Client Tunnel”Pomocí certifikátu z komponenty 1 a profilu z komponenty 2 je vytvořeno rozhraní klienta OpenVPN. Připojuje se odchozím směrem na ovpn.mkcontroller.com na portu 443 s šifrováním AES-256 a ověřováním SHA-1.
/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"Tento tunel umožňuje všechny cloudové funkce: vzdálený přístup, zálohy, monitorování a volání API — bez nutnosti otevřených příchozích portů na routeru.
Component 4: Firewall Input Rule
Section titled “Component 4: Firewall Input Rule”Je vytvořeno jediné pravidlo firewallu, které umožňuje adrese VPN brány (10.8.0.1) přistupovat k MikroTiku skrze tunel.
/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"Přístup získá pouze tato IP adresa — VPN server MKController. Žádná jiná externí IP není na whitelistu.
Component 5: Monitoring Scheduler
Section titled “Component 5: Monitoring Scheduler”Skript plánovače RouterOS běží každých 90 sekund a odesílá data o stavu zařízení do MKController: využití CPU, spotřeba RAM, místo na disku a teplota (na podporovaných modelech).
/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"Tato data naplňují karty zařízení v reálném čase a zprávy o dostupnosti na přehledu MKController.
Component 6: MKController User Account
Section titled “Component 6: MKController User Account”Na MikroTiku je vytvořen uživatel s plným přístupem. Tento účet se používá pro veškerou komunikaci API mezi MKController a zařízením. Heslo se automaticky rotuje, aby zabránilo útokům hrubou silou.
/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"Tohoto uživatele lze zobrazit v: System → Users (zobrazuje se jako název ve stylu UUID).
Component 7: Firewall Rule Priority
Section titled “Component 7: Firewall Rule Priority”Pravidlo firewallu z komponenty 4 je přesunuto na vrchol vstupního řetězce, čímž je zajištěno, že přístup MKController není blokován jinými pravidly přidanými později.
:do { :local n [/ip firewall filter find where comment="MKController"]; /ip firewall filter move numbers=$n destination=0} on-error {}Component 8: Service Port Activation
Section titled “Component 8: Service Port Activation”Pět servisních portů RouterOS je aktivováno a jejich přístup je omezen na adresu VPN brány 10.8.0.1 — to znamená, že k nim může přistupovat pouze MKController (přes VPN tunel). Pokud byl port již otevřen, 10.8.0.1 je přidán do jeho seznamu povolených adres bez odstranění stávajících položek.
/ip service enable www; /ip service set www address="10.8.0.1"/ip service enable winbox; /ip service set winbox address="10.8.0.1"/ip service enable ssh; /ip service set ssh address="10.8.0.1"/ip service enable api; /ip service set api address="10.8.0.1"/ip service enable ftp; /ip service set ftp address="10.8.0.1"Stavy služeb lze ověřit v: IP → Services
What Breaks if a Service Is Disabled?
Section titled “What Breaks if a Service Is Disabled?”| Služba | Pokud deaktivována, přeruší se |
|---|---|
www (WebFig) | Vzdálený přístup WebFig ve webové a mobilní aplikaci MKController |
winbox | Vzdálený přístup Winbox v desktopové aplikaci MKController |
ssh | Vytváření záloh, nahrávání/stahování souborů, spouštění skriptů |
api | Všechny funkce API včetně Walled Garden, Voucher a veřejného API |
ftp | Operace souborového systému: integrace FTP, výpis souborů, hromadné nahrávání |
Máte otázky k přijímacímu skriptu nebo chování komponent? Kontaktujte podporu MKController na WhatsApp.