MKControlleri põhjalik seadme juhend
Kokkuvõte MKControlleri kasutuselevõtu skript paigaldab teie MikroTik-seadmesse 8 komponenti: OpenVPN-sertifikaat, VPN-profiil, OpenVPN-tunnel MKControlleri serveritesse, tulemüürireegel, mis lubab VPN-värava juurdepääsu, jälgimisplaneerija, hallatav kasutajakonto, tulemüüri prioriteedireegel ja VPN-tunneliga piiratud lubatud teenuseportid. Sellel lehel selgitatakse iga komponenti ja seda, mis katki läheb, kui see eemaldatakse.
Mida paigaldab MKControlleri kasutuselevõtu skript MikroTikule?
Section titled “Mida paigaldab MKControlleri kasutuselevõtu skript MikroTikule?”MKControlleri kasutuselevõtu skript on lühike RouterOS-i programm, mis loob turvalise, krüpteeritud ühenduse teie MikroTik-seadme ja MKControlleri pilveinfrastruktuuri vahel. Selle käivitamisel loob see seadmel täpselt 8 komponenti — mitte rohkem. Iga komponendi mõistmine aitab teil ühendust säilitada, probleeme lahendada ja teha teadlikke otsuseid oma RouterOS-i konfiguratsiooni kohta.
Nõuded
Section titled “Nõuded”Vajalik on RouterOS-i versioon 6.39 või uuem. Toetatud versioonide täielikku loendit vt Toetatud RouterOS-i versioonid.
Komponent 1: OpenVPN-sertifikaat
Section titled “Komponent 1: OpenVPN-sertifikaat”OpenVPN-sertifikaat laaditakse alla ja salvestatakse MikroTiku failisüsteemi, seejärel imporditakse seadme sertifikaadihoidlasse.
Saate seda kontrollida: System → Certificates
/certificate import file-name="[CERTIFICATE_ID]" passphrase=""See sertifikaat autentib seadme MKControlleri VPN-serveris. Ilma selleta ei saa VPN-ühendust luua.
Komponent 2: VPN-profiil
Section titled “Komponent 2: VPN-profiil”Luuakse PPP-profiil koos krüpteeringuga. Seda profiili kasutab komponendis 3 loodav VPN-tunnel.
/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"Komponent 3: OpenVPN-kliendi tunnel
Section titled “Komponent 3: OpenVPN-kliendi tunnel”Kasutades komponendi 1 sertifikaati ja komponendi 2 profiili, luuakse OpenVPN-kliendi liides. See loob väljaminevad ühenduse aadressile ovpn.mkcontroller.com pordil 443, kasutades AES-256 šifrit ja SHA-1 autentimist.
/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"See tunnel võimaldab kõiki pilvefunktsioone: kaugjuurdepääs, varukoopiad, jälgimine ja API-kõned — ilma vajaduseta avada teie marsruuteri sissetulevaid porte.
Komponent 4: Tulemüüri sisendreegel
Section titled “Komponent 4: Tulemüüri sisendreegel”Luuakse üks tulemüürireegel, mis lubab VPN-värava aadressil (10.8.0.1) MikroTikule tunneli kaudu juurde pääseda.
/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"Juurdepääsu saab ainult see IP-aadress — MKControlleri VPN-server. Ühtegi muud välist IP-d ei lisata lubatute loendisse.
Komponent 5: Jälgimisplaneerija
Section titled “Komponent 5: Jälgimisplaneerija”RouterOS-i planeerijaskript käivitub iga 90 sekundi järel ja saadab seadme seisundi andmed MKControllerile: CPU kasutus, RAM-i tarbimine, kettaruum ja temperatuur (toetatud mudelitel).
/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"Need andmed täidavad MKControlleri armatuurlaual reaalajas seadmekaardid ja saadavuse aruanded.
Komponent 6: MKControlleri kasutajakonto
Section titled “Komponent 6: MKControlleri kasutajakonto”MikroTikul luuakse täisõigustega kasutaja. Seda kontot kasutatakse kogu API-suhtluseks MKControlleri ja seadme vahel. Selle parool pöörleb automaatselt ja sageli, et vältida brute-force rünnakuid.
/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"Selle kasutaja saate vaadata: System → Users (see ilmub UUID-stiilis nimega).
Komponent 7: Tulemüürireegli prioriteet
Section titled “Komponent 7: Tulemüürireegli prioriteet”Komponendis 4 loodud tulemüürireegel teisaldatakse sisendahela algusesse, et tagada MKControlleri juurdepääsu mitteblokeerimine teiste hiljem lisatud reeglite poolt.
:do { :local n [/ip firewall filter find where comment="MKController"]; /ip firewall filter move numbers=$n destination=0} on-error {}Komponent 8: Teenuseportide aktiveerimine
Section titled “Komponent 8: Teenuseportide aktiveerimine”Lubatakse viis RouterOS-i teenuseporti ja nende juurdepääs piiratakse VPN-värava aadressile 10.8.0.1 — see tähendab, et neile pääseb ligi ainult MKController (VPN-tunneli kaudu). Kui port oli juba avatud, lisatakse 10.8.0.1 selle lubatud aadresside loendisse olemasolevaid kirjeid eemaldamata.
/ip service enable www; /ip service set www address="10.8.0.1"/ip service enable winbox; /ip service set winbox address="10.8.0.1"/ip service enable ssh; /ip service set ssh address="10.8.0.1"/ip service enable api; /ip service set api address="10.8.0.1"/ip service enable ftp; /ip service set ftp address="10.8.0.1"Teenuste olekut saate kontrollida: IP → Services
Mis katki läheb, kui teenus on keelatud?
Section titled “Mis katki läheb, kui teenus on keelatud?”| Teenus | Kui keelatud, katki läheb |
|---|---|
www (WebFig) | Kaug-WebFigi juurdepääs MKControlleri veebis ja mobiilirakenduses |
winbox | Kaug-Winboxi juurdepääs MKControlleri töölauarakenduses |
ssh | Varukoopiate loomine, failide üles-/allalaadimine, skriptide käivitamine |
api | Kõik API-funktsioonid, sealhulgas Walled Garden, Voucher ja avalik API |
ftp | Failisüsteemi toimingud: FTP-integratsioon, failide loend, partii failide üleslaadimine |
Küsimusi kasutuselevõtu skripti või komponentide käitumise kohta? Võtke MKControlleri toega ühendust WhatsAppi kaudu.