Plano de MKController en tu dispositivo
Integración de MikroTik con MKController
Cuando adoptas un dispositivo en MKController, es necesario copiar un script en tu MikroTik.
Esta guía explica qué hace el script y qué puede ocurrir si se eliminan algunas reglas.
Requisitos Básicos
- RouterOS debe estar en la versión 6.39 o superior.
1 – Certificado
- El certificado OVPN que se utilizará para la conexión se guarda en el sistema de archivos del MikroTik.
- Luego se importa y puede ser visualizado desde
System → Certificates.
Comando:
/certificate import file-name="[ID_DEL_CERTIFICADO]" passphrase=""2 – Creación del Perfil
- Se crea un perfil PPP que será utilizado en la conexión VPN.
Comando:
/ppp profile add name="[ID_DEL_PERFIL]" use-encryption=yes comment="MKController"3 – Cliente VPN
- El certificado del paso 1 y el perfil del paso 2 se utilizan para crear una conexión OVPN con el servidor de MKController.
Comando:
/interface ovpn-client add \ connect-to="ovpn.mkcontroller.com" \ user="[ID_DEL_USUARIO]" \ auth=sha1 cipher=aes256 \ certificate="[ID_DEL_CERTIFICADO]" \ port=443 \ profile="[ID_DEL_PERFIL]" \ name="MKController" \ comment="MKController"4 – Regla de Firewall
- Se crea una regla de firewall que permite al gateway VPN (
10.8.0.1) acceder al MikroTik a través del túnel.
Comando:
/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"5 – Script de Monitoreo
- Se crea una tarea programada para enviar datos como uso de CPU, disco, memoria, etc.
Comando:
/system scheduler add name="resources-1d9ca987" interval=90 on-event="[EVENTO]" comment="MKController"6 – Usuario en MikroTik
- Se crea un usuario con permisos de administrador para gestionar la comunicación con MKController.
- La contraseña se rota automáticamente para proteger contra ataques de fuerza bruta.
Comando:
/user add name="[ID_DEL_USUARIO]" group=full password="[CONTRASEÑA_TEMPORAL]"7 – Prioridad de la Regla de Firewall
- La regla de firewall de MKController se mueve al inicio de la lista, garantizando prioridad.
Comando:
:do { :local n [/ip firewall filter find where comment="MKController"]; /ip firewall filter move numbers=$n destination=0} on-error {}8 – Activación de Servicios y Puertos
- Los servicios
webfig,winbox,ssh,apiyftpson habilitados con acceso permitido solo desde10.8.0.1.
Comandos:
/ip service enable www; /ip service set www address="10.8.0.1"/ip service enable winbox; /ip service set winbox address="10.8.0.1"/ip service enable ssh; /ip service set ssh address="10.8.0.1"/ip service enable api; /ip service set api address="10.8.0.1"/ip service enable ftp; /ip service set ftp address="10.8.0.1"🔒 ¿Qué pasa si un servicio está deshabilitado?
| Servicio | Consecuencia |
|---|---|
| www | No funcionará el acceso vía WebFig (web o móvil) |
| winbox | El acceso remoto vía Winbox desde MKController será bloqueado |
| ssh | Funciones como respaldo remoto y transferencia de archivos dejarán de funcionar |
| api | La API pública de MKController dejará de funcionar (documentación) |
| ftp | No será posible listar archivos ni realizar cargas en lote |