Skip to content
MKController

MKControlleri põhjalik seadme juhend

Kokkuvõte MKControlleri kasutuselevõtu skript paigaldab teie MikroTik-seadmesse 8 komponenti: OpenVPN-sertifikaat, VPN-profiil, OpenVPN-tunnel MKControlleri serveritesse, tulemüürireegel, mis lubab VPN-värava juurdepääsu, jälgimisplaneerija, hallatav kasutajakonto, tulemüüri prioriteedireegel ja VPN-tunneliga piiratud lubatud teenuseportid. Sellel lehel selgitatakse iga komponenti ja seda, mis katki läheb, kui see eemaldatakse.

Mida paigaldab MKControlleri kasutuselevõtu skript MikroTikule?

MKControlleri kasutuselevõtu skript on lühike RouterOS-i programm, mis loob turvalise, krüpteeritud ühenduse teie MikroTik-seadme ja MKControlleri pilveinfrastruktuuri vahel. Selle käivitamisel loob see seadmel täpselt 8 komponenti — mitte rohkem. Iga komponendi mõistmine aitab teil ühendust säilitada, probleeme lahendada ja teha teadlikke otsuseid oma RouterOS-i konfiguratsiooni kohta.

Nõuded

Vajalik on RouterOS-i versioon 6.39 või uuem. Toetatud versioonide täielikku loendit vt Toetatud RouterOS-i versioonid.

Komponent 1: OpenVPN-sertifikaat

OpenVPN-sertifikaat laaditakse alla ja salvestatakse MikroTiku failisüsteemi, seejärel imporditakse seadme sertifikaadihoidlasse.

Saate seda kontrollida: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

See sertifikaat autentib seadme MKControlleri VPN-serveris. Ilma selleta ei saa VPN-ühendust luua.

Komponent 2: VPN-profiil

Luuakse PPP-profiil koos krüpteeringuga. Seda profiili kasutab komponendis 3 loodav VPN-tunnel.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Komponent 3: OpenVPN-kliendi tunnel

Kasutades komponendi 1 sertifikaati ja komponendi 2 profiili, luuakse OpenVPN-kliendi liides. See loob väljaminevad ühenduse aadressile ovpn.mkcontroller.com pordil 443, kasutades AES-256 šifrit ja SHA-1 autentimist.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

See tunnel võimaldab kõiki pilvefunktsioone: kaugjuurdepääs, varukoopiad, jälgimine ja API-kõned — ilma vajaduseta avada teie marsruuteri sissetulevaid porte.

Komponent 4: Tulemüüri sisendreegel

Luuakse üks tulemüürireegel, mis lubab VPN-värava aadressil (10.8.0.1) MikroTikule tunneli kaudu juurde pääseda.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Juurdepääsu saab ainult see IP-aadress — MKControlleri VPN-server. Ühtegi muud välist IP-d ei lisata lubatute loendisse.

Komponent 5: Jälgimisplaneerija

RouterOS-i planeerijaskript käivitub iga 90 sekundi järel ja saadab seadme seisundi andmed MKControllerile: CPU kasutus, RAM-i tarbimine, kettaruum ja temperatuur (toetatud mudelitel).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Need andmed täidavad MKControlleri armatuurlaual reaalajas seadmekaardid ja saadavuse aruanded.

Komponent 6: MKControlleri kasutajakonto

MikroTikul luuakse täisõigustega kasutaja. Seda kontot kasutatakse kogu API-suhtluseks MKControlleri ja seadme vahel. Selle parool pöörleb automaatselt ja sageli, et vältida brute-force rünnakuid.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Selle kasutaja saate vaadata: System → Users (see ilmub UUID-stiilis nimega).

Komponent 7: Tulemüürireegli prioriteet

Komponendis 4 loodud tulemüürireegel teisaldatakse sisendahela algusesse, et tagada MKControlleri juurdepääsu mitteblokeerimine teiste hiljem lisatud reeglite poolt.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Komponent 8: Teenuseportide aktiveerimine

Lubatakse viis RouterOS-i teenuseporti ja nende juurdepääs piiratakse VPN-värava aadressile 10.8.0.1 — see tähendab, et neile pääseb ligi ainult MKController (VPN-tunneli kaudu). Kui port oli juba avatud, lisatakse 10.8.0.1 selle lubatud aadresside loendisse olemasolevaid kirjeid eemaldamata.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Teenuste olekut saate kontrollida: IP → Services

Mis katki läheb, kui teenus on keelatud?

TeenusKui keelatud, katki läheb
www (WebFig)Kaug-WebFigi juurdepääs MKControlleri veebis ja mobiilirakenduses
winboxKaug-Winboxi juurdepääs MKControlleri töölauarakenduses
sshVarukoopiate loomine, failide üles-/allalaadimine, skriptide käivitamine
apiKõik API-funktsioonid, sealhulgas Walled Garden, Voucher ja avalik API
ftpFailisüsteemi toimingud: FTP-integratsioon, failide loend, partii failide üleslaadimine

Küsimusi kasutuselevõtu skripti või komponentide käitumise kohta? Võtke MKControlleri toega ühendust WhatsAppi kaudu.