Zum Inhalt springen
MKController

MKController-Grundstruktur auf Ihrem Gerät

Zusammenfassung

Wenn Sie ein Gerät bei MKController anmelden, müssen Sie ein Skript auf Ihrem Mikrotik kopieren. Ziel dieses Materials ist es zu erklären, was das Skript auf Ihrem Mikrotik bewirkt und was passiert, wenn Sie einige Regeln entfernen.

UniFiControllerLogo.

Grundvoraussetzungen

RouterOS muss Version 6.39 oder höher sein.

1. Zertifikat

  • Das ovpn-Zertifikat, das für die ovpn-Verbindung verwendet wird, ist im Dateisystem gespeichert.

  • Das Zertifikat wird in Mikrotik importiert. Erreichbar über das Menü System -> Zertifikate.

Befehl:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Profil-Erstellung

  • Es wird eine Profilregel erstellt, die für das VPN verwendet wird.

Befehl:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. Der VPN-Client-Tunnel

Das Zertifikat aus Schritt 1 und das Profil aus Schritt 2 werden nun verwendet, um eine ovpn-Verbindung mit dem Server ovpn.mkcontroller.com herzustellen.

Befehl:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Firewall

Es wird eine Firewall-Regel erstellt, die sicherstellt, dass das VPN-Gateway (10.8.0.1) über den in Schritt 3 erstellten Tunnel Zugang zum Mikrotik hat.

Befehl:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Überwachung

Ein Überwachungsskript wird in Mikrotik erstellt, um Daten wie CPU-Auslastung, Festplattennutzung, Speichernutzung etc. zu senden.

Befehl:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Benutzer auf Mikrotik

Ein Benutzer mit Administratorrechten wird in Mikrotik angelegt, der die Kommunikation zwischen MKController und Mikrotik verwaltet. Das Passwort dieses Benutzers wird häufig geändert, um Brute-Force-Angriffe zu verhindern.

Befehl:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Priorität

Die in Schritt 5 erstellte Regel wird an den Anfang der Liste gesetzt, um sicherzustellen, dass MKController Zugriff auf das Gerät hat, selbst wenn andere Verweigerungsregeln vorhanden sind.

Befehl:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Port-Aktivierung

  • Die Ports [webfig], ssh, api, [winbox] und [ftp] werden aktiviert.
  • Wenn ein Port geschlossen ist, wird er mit der Berechtigung aktiviert, die Adresse 10.8.0.1 zu verwenden, sodass nur das ovpn darauf zugreifen kann.
  • Wenn der Port geöffnet ist, wird die Adresse 10.8.0.1 zur Zugriffsberechtigungsliste hinzugefügt.
  • Alle Dienste können in IP -> Dienste überprüft werden.

Befehle:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Was passiert, wenn jeder Dienst geschlossen ist.

  • [www service] – Die Webfig-Verbindung funktioniert nicht über Web oder die mobile App;

  • [winbox service] – Die Winbox-Verbindung funktioniert nicht über Web oder die mobile App;

  • [ssh service] – Backup-Dienste, Hoch- und Herunterladen von Dateien funktionieren nicht;

  • api service – Die öffentliche API des Systems, wie beispielsweise walled garden, funktioniert nicht
    (Vollständige Dokumentation unter https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp service] – Dateisystemfunktionen wie FTP-Integration, Dateiauflistung und Batch-Datei-Upload funktionieren nicht.

Hier zugreifen