Gå til indhold
MKController

MKController Blueprint — Konfiguration

Resumé MKController-adoptionsscriptet installerer 8 komponenter på din MikroTik-enhed: et OpenVPN-certifikat, en VPN-profil, en OpenVPN-tunnel til MKController-servere, en firewallregel der tillader VPN-gateway-adgang, en overvågningsplanlægger, en administreret brugerkonto, en firewallprioritetsregel og aktiverede serviceporte begrænset til VPN-tunnelen. Denne side forklarer hver komponent og hvad der går i stykker, hvis den fjernes.

What Does the MKController Adoption Script Install on MikroTik?

MKController-adoptionsscriptet er et kort RouterOS-program, der etablerer en sikker, krypteret forbindelse mellem din MikroTik-enhed og MKControllers skyinfrastruktur. Når du kører det, opretter det præcis 8 komponenter på enheden — ikke mere. Forståelse af hver komponent hjælper dig med at vedligeholde forbindelsen, fejlfinde problemer og træffe informerede beslutninger om din RouterOS-konfiguration.

Requirements

RouterOS version 6.39 eller højere er påkrævet. For den fulde understøttede versionsliste, se Understøttede RouterOS-versioner.

Component 1: OpenVPN Certificate

Et OpenVPN-certifikat downloades og gemmes i MikroTiks filsystem, derefter importeres det til enhedens certifikatlager.

Du kan verificere det i: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Dette certifikat autentificerer enheden til MKController VPN-serveren. Uden det kan VPN-forbindelsen ikke etableres.

Component 2: VPN Profile

En PPP-profil oprettes med kryptering aktiveret. Denne profil bruges af VPN-tunnelen oprettet i Komponent 3.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Component 3: OpenVPN Client Tunnel

Ved hjælp af certifikatet fra Komponent 1 og profilen fra Komponent 2 oprettes en OpenVPN-klientgrænseflade. Den forbinder udgående til ovpn.mkcontroller.com på port 443 med AES-256-ciffer og SHA-1-autentificering.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Denne tunnel er det, der muliggør alle skyfunktioner: fjernadgang, sikkerhedskopier, overvågning og API-kald — uden at kræve åbne indgående porte på din router.

Component 4: Firewall Input Rule

En enkelt firewallregel oprettes, der tillader VPN-gateway-adressen (10.8.0.1) at tilgå MikroTikken gennem tunnelen.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Kun denne IP-adresse — MKController VPN-serveren — får adgang. Ingen anden ekstern IP er hvidlistet.

Component 5: Monitoring Scheduler

Et RouterOS-planlæggerscript kører hvert 90. sekund og sender enhedssundhedsdata til MKController: CPU-forbrug, RAM-forbrug, diskplads og temperatur (på understøttede modeller).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Disse data udfylder realtids-enhedskortene og tilgængelighedsrapporter på MKController-dashboardet.

Component 6: MKController User Account

En bruger med fuld adgang oprettes på MikroTikken. Denne konto bruges til al API-kommunikation mellem MKController og enheden. Adgangskoden roterer automatisk og hyppigt for at forhindre brute-force-angreb.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Du kan se denne bruger i: System → Users (den vises som et UUID-stilnavn).

Component 7: Firewall Rule Priority

Firewallreglen fra Komponent 4 flyttes til toppen af input-kæden, hvilket sikrer at MKController-adgang ikke blokeres af andre regler tilføjet senere.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Component 8: Service Port Activation

Fem RouterOS-serviceporte aktiveres og deres adgang begrænses til VPN-gateway-adressen 10.8.0.1 — det vil sige at kun MKController (via VPN-tunnelen) kan nå dem. Hvis en port allerede var åben, tilføjes 10.8.0.1 til dens tilladte-adresse-liste uden at fjerne eksisterende poster.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Du kan verificere servicetilstande i: IP → Services

What Breaks if a Service Is Disabled?

TjenesteHvis deaktiveret, bryder dette
www (WebFig)Fjern WebFig-adgang i MKController web- og mobilapp
winboxFjern Winbox-adgang i MKController desktopapp
sshOprettelse af sikkerhedskopier, fil upload/download, scriptkørsel
apiAlle API-funktioner inklusiv Walled Garden, Voucher og den offentlige API
ftpFilsystemoperationer: FTP-integration, fillistning, massefilupload

Spørgsmål om adoptionsscriptet eller komponentadfærd? Kontakt MKController support på WhatsApp.