Zum Inhalt springen
MKController

MKController Blueprint: So funktioniert der Adoptionsprozess

Wenn Sie ein Gerät bei MKController übernehmen, müssen Sie ein Script auf Ihrem Mikrotik kopieren. Ziel dieses Materials ist es, zu erklären, was das Script auf Ihrem Mikrotik bewirkt und was passiert, wenn Sie Regeln entfernen.

Grundvoraussetzungen

RouterOS muss mindestens Version 6.39 oder höher haben.

1 – Zertifikat

  • Das ovpn-Zertifikat, das für die ovpn-Verbindung genutzt wird, ist im Dateisystem gespeichert

  • Das Zertifikat ist in Mikrotik importiert. Zugriff über das Menü System -> Zertifikate

Befehl:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2 – Profile Erstellung

  • Eine Profilregel, die in der VPN genutzt wird, wird angelegt

Befehl:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3 – Der VPN-Client-Tunnel

Das in Schritt 1 erstellte Zertifikat und das Profil aus Schritt 2 werden nun verwendet, um eine ovpn-Verbindung zum Server ovpn.mkcontroller.com herzustellen

Befehl:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4 – Firewall

Es wird eine Firewall-Regel erstellt, die sicherstellt, dass das VPN-Gateway (10.8.0.1) über den in Schritt 3 erzeugten Tunnel Zugriff auf den Mikrotik hat.

Befehl:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5 – Überwachung

Ein Monitoring-Script wird in Mikrotik angelegt, das Daten wie CPU-Auslastung, Festplattennutzung, Speicherauslastung usw. sendet.

Befehl:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6 – Benutzer auf Mikrotik

Ein Benutzer wird in Mikrotik mit Administratorrechten erstellt, der die Kommunikation zwischen MKController und Mikrotik verwaltet. Das Passwort dieses Benutzers wird regelmäßig gewechselt, um Brute-Force-Angriffe zu verhindern.

Befehl:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7 – Priorität

Die in Schritt 5 erstellte Regel wird an den Anfang der Liste gesetzt, damit MKController Zugriff auf das Gerät hat, selbst wenn andere Blockierungsregeln vorhanden sind.

Befehl:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8 – Port-Aktivierung

  • Die [webfig], ssh, api, [winbox] und [ftp] Ports werden aktiviert
  • Wenn der Port geschlossen ist, wird er aktiviert und der Zugriff auf die Adresse 10.8.0.1 erlaubt, sodass nur das ovpn darauf zugreifen kann
  • Ist der Port geöffnet, wird die Adresse 10.8.0.1 zur Zugriffsliste hinzugefügt
  • Alle Dienste können unter IP -> Dienste überprüft werden

Befehle:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Was passiert, wenn ein Dienst geschlossen ist.

  • [www-Service] – Die Webfig-Verbindung funktioniert nicht über Web oder die mobile App;

  • [winbox-Service] – Die Winbox-Verbindung funktioniert nicht über Web oder die mobile App;

  • [ssh-Service] – Backup-Services, Upload und Download von Dateien funktionieren nicht;

  • api-Service – Die öffentliche API des Systems, wie Walled Garden, funktioniert nicht
    (Vollständige Dokumentation unter https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp-Service] – Funktionen wie FTP-Integration, Dateiansicht und Stapel-Upload funktionieren nicht

Hier zugreifen