Zum Inhalt springen
MKController

MikroTik Blueprint — Vorlagen anwenden

Zusammenfassung Das MKController-Übernahmeskript installiert 8 Komponenten auf Ihrem MikroTik-Gerät: ein OpenVPN-Zertifikat, ein VPN-Profil, einen OpenVPN-Tunnel zu MKController-Servern, eine Firewall-Regel die VPN-Gateway-Zugriff erlaubt, einen Monitoring-Scheduler, ein verwaltetes Benutzerkonto, eine Firewall-Prioritätsregel und aktivierte Dienstports beschränkt auf den VPN-Tunnel. Diese Seite erklärt jede Komponente und was kaputt geht, wenn sie entfernt wird.

Was installiert das MKController-Übernahmeskript auf MikroTik?

Das MKController-Übernahmeskript ist ein kurzes RouterOS-Programm, das eine sichere, verschlüsselte Verbindung zwischen Ihrem MikroTik-Gerät und der MKController-Cloud-Infrastruktur herstellt. Wenn Sie es ausführen, erstellt es genau 8 Komponenten auf dem Gerät — nicht mehr. Das Verständnis jeder Komponente hilft Ihnen, die Verbindung aufrechtzuerhalten, Probleme zu beheben und fundierte Entscheidungen über Ihre RouterOS-Konfiguration zu treffen.

Anforderungen

RouterOS Version 6.39 oder höher ist erforderlich. Die vollständige Liste unterstützter Versionen finden Sie unter Unterstützte RouterOS-Versionen.

Komponente 1: OpenVPN-Zertifikat

Ein OpenVPN-Zertifikat wird heruntergeladen und im MikroTik-Dateisystem gespeichert, dann in den Zertifikatsspeicher des Geräts importiert.

Sie können es überprüfen unter: System → Zertifikate

/certificate import file-name=”[CERTIFICATE_ID]” passphrase=””

Dieses Zertifikat authentifiziert das Gerät gegenüber dem MKController-VPN-Server. Ohne es kann die VPN-Verbindung nicht hergestellt werden.

Komponente 2: VPN-Profil

Ein PPP-Profil wird mit aktivierter Verschlüsselung erstellt. Dieses Profil wird vom VPN-Tunnel aus Komponente 3 verwendet.

/ppp profile add name=”[PROFILE_ID]” use-encryption=yes comment=”MKController”

Komponente 3: OpenVPN-Client-Tunnel

Unter Verwendung des Zertifikats aus Komponente 1 und des Profils aus Komponente 2 wird eine OpenVPN-Client-Schnittstelle erstellt. Sie verbindet sich ausgehend mit ovpn.mkcontroller.com auf Port 443 mit AES-256-Verschlüsselung und SHA-1-Authentifizierung.

/interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[USER_ID]” auth=sha1 cipher=aes256 certificate=”[CERTIFICATE_ID]” port=443 profile=”[PROFILE_ID]” name=”MKController” comment=”MKController”

Dieser Tunnel ermöglicht alle Cloud-Funktionen: Fernzugriff, Backups, Monitoring und API-Aufrufe — ohne offene eingehende Ports auf Ihrem Router.

Komponente 4: Firewall-Input-Regel

Eine einzige Firewall-Regel wird erstellt, die der VPN-Gateway-Adresse (10.8.0.1) ermöglicht, über den Tunnel auf den MikroTik zuzugreifen.

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1” priority=0 comment=”MKController”

Nur diese IP-Adresse — der MKController-VPN-Server — erhält Zugriff. Keine andere externe IP wird auf die Whitelist gesetzt.

Komponente 5: Monitoring-Scheduler

Ein RouterOS-Scheduler-Skript läuft alle 90 Sekunden und sendet Gerätezustandsdaten an MKController: CPU-Auslastung, RAM-Verbrauch, Festplattenspeicher und Temperatur (bei unterstützten Modellen).

/system scheduler add name=”resources-[ID]” interval=”90” on-event=”[EVENT]” comment=”MKController”

Diese Daten befüllen die Echtzeit-Gerätekarten und Verfügbarkeitsberichte im MKController-Dashboard.

Komponente 6: MKController-Benutzerkonto

Ein Benutzer mit Vollzugriff wird auf dem MikroTik erstellt. Dieses Konto wird für die gesamte API-Kommunikation zwischen MKController und dem Gerät verwendet. Sein Passwort rotiert automatisch und häufig, um Brute-Force-Angriffe zu verhindern.

/user add name=”[USER_ID]” group=full password=”[TEMPORARY_PASSWORD]”

Sie sehen diesen Benutzer unter: System → Benutzer (erscheint als UUID-artiger Name).

Komponente 7: Firewall-Regelpriorität

Die Firewall-Regel aus Komponente 4 wird an den Anfang der Input-Chain verschoben, um sicherzustellen, dass der MKController-Zugriff nicht durch später hinzugefügte Regeln blockiert wird.

:do {
  :local n [/ip firewall filter find where comment=”MKController”];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Komponente 8: Dienstport-Aktivierung

Fünf RouterOS-Dienstports werden aktiviert und ihr Zugriff wird auf die VPN-Gateway-Adresse 10.8.0.1 beschränkt — das heißt, nur MKController (über den VPN-Tunnel) kann sie erreichen. Wenn ein Port bereits geöffnet war, wird 10.8.0.1 seiner Erlaubt-Adress-Liste hinzugefügt, ohne bestehende Einträge zu entfernen.

/ip service enable www;    /ip service set www    address=”10.8.0.1”
/ip service enable winbox; /ip service set winbox address=”10.8.0.1”
/ip service enable ssh;    /ip service set ssh    address=”10.8.0.1”
/ip service enable api;    /ip service set api    address=”10.8.0.1”
/ip service enable ftp;    /ip service set ftp    address=”10.8.0.1”

Sie können Dienststatus überprüfen unter: IP → Dienste

Was kaputt geht, wenn ein Dienst deaktiviert ist?

DienstWenn deaktiviert, bricht dies
www (WebFig)Remote-WebFig-Zugriff in MKController Web und Mobile App
winboxRemote-Winbox-Zugriff in der MKController-Desktop-App
sshBackup-Erstellung, Datei-Upload/-Download, Skriptausführung
apiAlle API-Funktionen einschließlich Walled Garden, Voucher und der Public API
ftpDateisystemoperationen: FTP-Integration, Dateiauflistung, Batch-Datei-Upload

Fragen zum Übernahmeskript oder zum Komponentenverhalten? Kontaktieren Sie den MKController-Support auf WhatsApp.