Skip to content
MKController

MKControlleri põhjalik seadme juhend

Kokkuvõte

Kui võtad seadme MKControlleris kasutusele, tuleb Mikrotiku süsteemi kopeerida skript. Selle materjali eesmärk on selgitada, mida see skript Mikrotikus teeb ja mis juhtub, kui mõningaid reegleid eemaldada.

UniFiControllerLogo.

Põhinõuded

RouterOS peab olema versioon 6.39 või uuem.

1. Sertifikaat

  • OVPN sertifikaat, mida kasutatakse OVPN ühenduseks, salvestatakse failisüsteemi

  • Sertifikaat imporditakse Mikrotikku. Ligipääs menüüst System -> Certificates

Käsk:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Profiili loomine

  • Luua tuleb profiili reegel, mida kasutatakse VPN-ühenduses

Käsk:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN klienditoru

Sammus 1 kasutatud sertifikaat ja sammust 2 loodud profiil kasutataks nüüd OVPN ühenduse loomiseks serveriga ovpn.mkcontroller.com

Käsk:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Tulemüür

Luuakse tulemüüri reegel, mis tagab, et VPN värav (10.8.0.1) pääseb Mikrotikule ligi tunnelist, mille lõi samm 3

Käsk:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Jälgimine

Mikrotikus luuakse jälgimisskript CPU kasutuse, ketta kasutuse, mälu jms saatmiseks.

Käsk:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Kasutaja Mikrotikus

Mikrotikus luuakse administraatori õigustega kasutaja, keda juhib suhtlus MKControlleri ja Mikrotiku vahel. Selle kasutaja parool vahetatakse sageli, et vältida jõurünnakuid.

Käsk:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prioriteet

Sammus 5 loodud reegel asetatakse nimekirjas esimeseks, kindlustamaks, et MKController pääseb seadmele ligi isegi teiste keelavate reeglite olemasolul.

Käsk:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Pordi aktiveerimine

  • Aktiveeritakse [webfig], ssh, api, [winbox] ja [ftp] pordid
  • Kui port on suletud, aktiveeritakse see aadressi 10.8.0.1 juurdepääsuga, kindlustamaks, et ainult OVPN pääseb ligi
  • Kui port on avatud, lisatakse aadress 10.8.0.1 lubatud ligipääsu aadresside hulka
  • Kõiki teenuseid saab kontrollida IP -> Services alt

Käsud:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Mida juhtub, kui teenused on suletud.

  • [www teenus] – webfig ühendus ei tööta ei veebis ega mobiilirakenduses;

  • [winbox teenus] – winbox ühendus ei tööta ei veebis ega mobiilirakenduses;

  • [ssh teenus] – varundused, failide üles- ja allalaadimine ei toimi;

  • api teenus – süsteemi avalik API, näiteks walled garden, ei tööta
    (täielik dokumentatsioon aadressil https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp teenus] – failisüsteemi funktsioonid, nagu ftp integratsioon, failide nimekiri ja partii üleslaadimine, ei tööta

Saad ligipääsu siin