Blueprint MKController
Integración de MikroTik con MKController
Cuando adoptas un dispositivo en MKController, es necesario copiar un script en tu MikroTik.
Esta guía explica qué hace el script y qué puede ocurrir si se eliminan algunas reglas.
Requisitos Básicos
- RouterOS debe estar en la versión 6.39 o superior.
1 – Certificado
- El certificado OVPN que se utilizará para la conexión se guarda en el sistema de archivos del MikroTik.
- Luego se importa y puede ser visualizado desde
System → Certificates.
Comando:
/certificate import file-name="[ID_DEL_CERTIFICADO]" passphrase=""2 – Creación del Perfil
- Se crea un perfil PPP que será utilizado en la conexión VPN.
Comando:
/ppp profile add name="[ID_DEL_PERFIL]" use-encryption=yes comment="MKController"3 – Cliente VPN
- El certificado del paso 1 y el perfil del paso 2 se utilizan para crear una conexión OVPN con el servidor de MKController.
Comando:
/interface ovpn-client add \ connect-to="ovpn.mkcontroller.com" \ user="[ID_DEL_USUARIO]" \ auth=sha1 cipher=aes256 \ certificate="[ID_DEL_CERTIFICADO]" \ port=443 \ profile="[ID_DEL_PERFIL]" \ name="MKController" \ comment="MKController"4 – Regla de Firewall
- Se crea una regla de firewall que permite al gateway VPN (
10.8.0.1) acceder al MikroTik a través del túnel.
Comando:
/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"5 – Script de Monitoreo
- Se crea una tarea programada para enviar datos como uso de CPU, disco, memoria, etc.
Comando:
/system scheduler add name="resources-1d9ca987" interval=90 on-event="[EVENTO]" comment="MKController"6 – Usuario en MikroTik
- Se crea un usuario con permisos de administrador para gestionar la comunicación con MKController.
- La contraseña se rota automáticamente para proteger contra ataques de fuerza bruta.
Comando:
/user add name="[ID_DEL_USUARIO]" group=full password="[CONTRASEÑA_TEMPORAL]"7 – Prioridad de la Regla de Firewall
- La regla de firewall de MKController se mueve al inicio de la lista, garantizando prioridad.
Comando:
:do { :local n [/ip firewall filter find where comment="MKController"]; /ip firewall filter move numbers=$n destination=0} on-error {}8 – Activación de Servicios y Puertos
- Los servicios
webfig,winbox,ssh,apiyftpson habilitados con acceso permitido solo desde10.8.0.1.
Comandos:
/ip service enable www; /ip service set www address="10.8.0.1"/ip service enable winbox; /ip service set winbox address="10.8.0.1"/ip service enable ssh; /ip service set ssh address="10.8.0.1"/ip service enable api; /ip service set api address="10.8.0.1"/ip service enable ftp; /ip service set ftp address="10.8.0.1"🔒 ¿Qué pasa si un servicio está deshabilitado?
| Servicio | Consecuencia |
|---|---|
| www | No funcionará el acceso vía WebFig (web o móvil) |
| winbox | El acceso remoto vía Winbox desde MKController será bloqueado |
| ssh | Funciones como respaldo remoto y transferencia de archivos dejarán de funcionar |
| api | La API pública de MKController dejará de funcionar (documentación) |
| ftp | No será posible listar archivos ni realizar cargas en lote |