Blueprint MikroTik — Plantillas de Config
Resumen El script de adopción de MKController instala 8 componentes en tu dispositivo MikroTik: un certificado OpenVPN, un perfil VPN, un túnel OpenVPN hacia los servidores de MKController, una regla de firewall que permite el acceso al gateway VPN, un scheduler de monitoreo, una cuenta de usuario gestionada, una regla de prioridad en el firewall y puertos de servicio habilitados restringidos al túnel VPN. Esta página explica cada componente y qué falla si se elimina.
¿Qué Instala el Script de Adopción de MKController en MikroTik?
El script de adopción de MKController es un pequeño programa de RouterOS que establece una conexión segura y cifrada entre tu dispositivo MikroTik y la infraestructura cloud de MKController. Al ejecutarlo, crea exactamente 8 componentes en el dispositivo — ni más, ni menos. Entender cada componente te ayuda a mantener la conexión, solucionar problemas y tomar decisiones informadas sobre tu configuración de RouterOS.
Requisitos
Se requiere RouterOS versión 6.39 o superior. Para la lista completa de versiones compatibles, consulta Versiones de RouterOS Compatibles.
Componente 1: Certificado OpenVPN
Se descarga un certificado OpenVPN y se guarda en el sistema de archivos del MikroTik, luego se importa al almacén de certificados del dispositivo.
Puedes verificarlo en: System → Certificates
/certificate import file-name="[CERTIFICATE_ID]" passphrase=""Este certificado autentica el dispositivo ante el servidor VPN de MKController. Sin él, no se puede establecer la conexión VPN.
Componente 2: Perfil VPN
Se crea un perfil PPP con cifrado habilitado. Este perfil es utilizado por el túnel VPN creado en el Componente 3.
/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"Componente 3: Túnel Cliente OpenVPN
Usando el certificado del Componente 1 y el perfil del Componente 2, se crea una interfaz cliente OpenVPN. Se conecta hacia ovpn.mkcontroller.com en el puerto 443 usando cifrado AES-256 y autenticación SHA-1.
/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"Este túnel es lo que habilita todas las funciones cloud: acceso remoto, backups, monitoreo y llamadas a la API — sin necesidad de puertos abiertos de entrada en el router.
Componente 4: Regla de Firewall de Entrada
Se crea una única regla de firewall que permite al gateway VPN (10.8.0.1) acceder al MikroTik a través del túnel.
/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"Solo esta dirección IP — el servidor VPN de MKController — obtiene acceso. No se agrega ninguna otra IP externa a la lista blanca.
Componente 5: Scheduler de Monitoreo
Un script scheduler de RouterOS se ejecuta cada 90 segundos y envía datos de salud del dispositivo a MKController: uso de CPU, consumo de RAM, espacio en disco y temperatura (en modelos compatibles).
/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"Estos datos alimentan las tarjetas de dispositivos en tiempo real y los reportes de disponibilidad del panel de MKController.
Componente 6: Cuenta de Usuario MKController
Se crea un usuario con acceso completo en el MikroTik. Esta cuenta se usa para toda la comunicación API entre MKController y el dispositivo. Su contraseña rota automáticamente y con frecuencia para prevenir ataques de fuerza bruta.
/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"Puedes ver este usuario en: System → Users (aparece con un nombre estilo UUID).
Componente 7: Prioridad de Regla de Firewall
La regla de firewall del Componente 4 se mueve al inicio de la cadena de entrada, asegurando que el acceso de MKController no quede bloqueado por otras reglas agregadas posteriormente.
:do { :local n [/ip firewall filter find where comment="MKController"]; /ip firewall filter move numbers=$n destination=0} on-error {}Componente 8: Activación de Puertos de Servicio
Se habilitan cinco puertos de servicio de RouterOS y su acceso se restringe a la dirección del gateway VPN 10.8.0.1 — lo que significa que solo MKController (a través del túnel VPN) puede alcanzarlos. Si un puerto ya estaba abierto, se agrega 10.8.0.1 a su lista de direcciones permitidas sin eliminar las entradas existentes.
/ip service enable www; /ip service set www address="10.8.0.1"/ip service enable winbox; /ip service set winbox address="10.8.0.1"/ip service enable ssh; /ip service set ssh address="10.8.0.1"/ip service enable api; /ip service set api address="10.8.0.1"/ip service enable ftp; /ip service set ftp address="10.8.0.1"Puedes verificar el estado de los servicios en: IP → Services
¿Qué Falla si un Servicio Está Deshabilitado?
| Servicio | Si está deshabilitado, esto falla |
|---|---|
www (WebFig) | Acceso remoto a WebFig desde la app web y móvil de MKController |
winbox | Acceso remoto a Winbox desde la app de escritorio de MKController |
ssh | Creación de backups, subida/descarga de archivos, ejecución de scripts |
api | Todas las funciones de API, incluyendo Walled Garden, Voucher y la API Pública |
ftp | Operaciones del sistema de archivos: integración FTP, listado de archivos, subida masiva |
¿Tienes preguntas sobre el script de adopción o el comportamiento de los componentes? Contacta al soporte de MKController por WhatsApp.