Skip to content
MKController

Σχεδίαση του MKController στη Συσκευή σας

Περίληψη

Όταν υιοθετείτε μια συσκευή στο MKController πρέπει να αντιγράψετε ένα script στο Mikrotik σας. Ο σκοπός αυτού του υλικού είναι να εξηγήσει τι κάνει το script στο Mikrotik σας και τι θα συμβεί αν αφαιρέσετε κάποιους κανόνες.

UniFiControllerLogo.

Βασικές Απαιτήσεις

Το RouterOS πρέπει να είναι έκδοσης 6.39 ή νεότερης.

1. Πιστοποιητικό

  • Το πιστοποιητικό ovpn που θα χρησιμοποιηθεί για τη σύνδεση ovpn αποθηκεύεται στο σύστημα αρχείων

  • Το πιστοποιητικό εισάγεται στο Mikrotik. Είναι προσβάσιμο μέσω του μενού System -> Certificates

Εντολή:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Δημιουργία Προφίλ

  • Δημιουργείται ένας κανόνας προφίλ, που θα χρησιμοποιηθεί στο VPN

Εντολή:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. Το VPN Client Tunnel

Το πιστοποιητικό από το βήμα 1 και το προφίλ από το βήμα 2 χρησιμοποιούνται τώρα για τη δημιουργία σύνδεσης ovpn με τον server ovpn.mkcontroller.com

Εντολή:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Τείχος Προστασίας

Δημιουργείται κανόνας τείχους προστασίας που εξασφαλίζει ότι το vpn gateway (10.8.0.1) έχει πρόσβαση στο mikrotik μέσω του tunnel που δημιουργήθηκε στο βήμα 3

Εντολή:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Παρακολούθηση

Δημιουργείται στο mikrotik script παρακολούθησης που στέλνει δεδομένα όπως χρήση CPU, χρήση δίσκου, χρήση μνήμης κ.ά.

Εντολή:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Χρήστης στο Mikrotik

Δημιουργείται χρήστης στο mikrotik με δικαιώματα διαχειριστή, που θα διαχειρίζεται η επικοινωνία μεταξύ MKController και Mikrotik. Ο κωδικός αυτού του χρήστη αλλάζει συχνά για να αποτραπούν επιθέσεις brute force

Εντολή:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Προτεραιότητα

Ο κανόνας που δημιουργήθηκε στο βήμα 5 τοποθετείται πρώτος στη λίστα, εξασφαλίζοντας ότι το MKController έχει πρόσβαση στη συσκευή ακόμη και αν υπάρχουν άλλοι κανόνες άρνησης

Εντολή:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Ενεργοποίηση Θυρών

  • Οι πόρτες [webfig], ssh, api, [winbox] και [ftp] ενεργοποιούνται
  • Αν η πόρτα είναι κλειστή, ενεργοποιείται με δικαίωμα πρόσβασης στη διεύθυνση 10.8.0.1, εξασφαλίζοντας πρόσβαση μόνο μέσω ovpn
  • Αν η πόρτα είναι ανοιχτή, η διεύθυνση 10.8.0.1 προστίθεται στη λίστα δικαιωμάτων πρόσβασης
  • Όλες οι υπηρεσίες μπορούν να ελεγχθούν στο IP -> Services

Εντολές:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Τι συμβαίνει αν κάθε υπηρεσία είναι κλειστή.

  • [www υπηρεσία] – Η σύνδεση webfig δεν θα λειτουργεί μέσω web ή της εφαρμογής για κινητά·

  • [winbox υπηρεσία] – Η σύνδεση winbox δεν θα λειτουργεί μέσω web ή της εφαρμογής για κινητά·

  • [ssh υπηρεσία] – Οι υπηρεσίες backup, αποστολής και λήψης αρχείων δεν θα λειτουργούν·

  • api υπηρεσία – Το δημόσιο API του συστήματος, όπως το walled garden, δεν θα λειτουργεί
    (Πλήρης Τεκμηρίωση στο https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp υπηρεσία] – Δεν θα λειτουργούν λειτουργίες συστήματος αρχείων όπως η ολοκλήρωση με ftp, η λίστα αρχείων και η μαζική αποστολή αρχείων

Πρόσβαση Εδώ