Gå til indhold
MKController

MKController Blueprint på din Enhed

Oversigt

Når du adopterer en enhed i MKController, skal du kopiere et script til din Mikrotik. Formålet med dette materiale er at forklare, hvad scriptet gør på din Mikrotik, og hvad der sker, hvis du fjerner nogle regler.

UniFiControllerLogo.

Grundlæggende Krav

RouterOS skal være version 6.39 eller nyere.

1. Certifikat

  • OVPN-certifikatet, der bruges til OVPN-forbindelsen, gemmes i filsystemet

  • Certifikatet importeres i Mikrotik og kan tilgås via menuen System -> Certificates

Kommando:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Oprettelse af Profil

  • En profileringsregel, der skal bruges i VPN, oprettes

Kommando:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN-klient Tunnelen

Certifikatet fra trin 1 og profilen fra trin 2 bruges nu til at oprette en OVPN-forbindelse med serveren ovpn.mkcontroller.com

Kommando:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Firewall

Der oprettes en firewallregel, der sikrer, at VPN-gatewayen (10.8.0.1) har adgang til Mikrotik gennem tunnellen oprettet i trin 3

Kommando:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Overvågning

Et overvågningsscript oprettes i Mikrotik for at sende data som CPU-forbrug, diskforbrug, hukommelsesforbrug osv.

Kommando:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Bruger på Mikrotik

En bruger oprettes i Mikrotik med administratorrettigheder, som styres i kommunikationen mellem MKController og Mikrotik. Denne brugers adgangskode ændres ofte for at forhindre brute force-angreb

Kommando:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prioritet

Reglen oprettet i trin 5 placeres først på listen, hvilket sikrer, at MKController har adgang til enheden, selvom der er andre afvisningsregler

Kommando:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Portaktivering

  • [webfig], ssh, api, [winbox] og [ftp] porte aktiveres
  • Hvis porten er lukket, aktiveres den med tilladelse til brug for adressen 10.8.0.1, hvilket sikrer, at kun OVPN kan få adgang
  • Hvis porten er åben, tilføjes adressen 10.8.0.1 til adgangstilladelseslisten
  • Alle tjenester kan kontrolleres under IP -> Services

Kommandoer:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Hvad sker der, hvis hver service er lukket.

  • [www service] – Webfig-forbindelsen vil ikke fungere via web eller mobilapp;

  • [winbox service] – Winbox-forbindelsen vil ikke fungere via web eller mobilapp;

  • [ssh service] – Backup-services, upload og download af filer vil ikke fungere;

  • api service– Systemets offentlige API, som f.eks. walled garden, vil ikke fungere
    (Fuld dokumentation på https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp service] – Filsystemfunktioner såsom FTP-integration, filoversigter og samletfil-upload vil ikke fungere

Adgang Her