Skip to content

MKControlleri põhjalik seadme juhend

Kokkuvõte MKControlleri kasutuselevõtu skript paigaldab teie MikroTik-seadmesse 8 komponenti: OpenVPN-sertifikaat, VPN-profiil, OpenVPN-tunnel MKControlleri serveritesse, tulemüürireegel, mis lubab VPN-värava juurdepääsu, jälgimisplaneerija, hallatav kasutajakonto, tulemüüri prioriteedireegel ja VPN-tunneliga piiratud lubatud teenuseportid. Sellel lehel selgitatakse iga komponenti ja seda, mis katki läheb, kui see eemaldatakse.

Mida paigaldab MKControlleri kasutuselevõtu skript MikroTikule?

Section titled “Mida paigaldab MKControlleri kasutuselevõtu skript MikroTikule?”

MKControlleri kasutuselevõtu skript on lühike RouterOS-i programm, mis loob turvalise, krüpteeritud ühenduse teie MikroTik-seadme ja MKControlleri pilveinfrastruktuuri vahel. Selle käivitamisel loob see seadmel täpselt 8 komponenti — mitte rohkem. Iga komponendi mõistmine aitab teil ühendust säilitada, probleeme lahendada ja teha teadlikke otsuseid oma RouterOS-i konfiguratsiooni kohta.

Vajalik on RouterOS-i versioon 6.39 või uuem. Toetatud versioonide täielikku loendit vt Toetatud RouterOS-i versioonid.


OpenVPN-sertifikaat laaditakse alla ja salvestatakse MikroTiku failisüsteemi, seejärel imporditakse seadme sertifikaadihoidlasse.

Saate seda kontrollida: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

See sertifikaat autentib seadme MKControlleri VPN-serveris. Ilma selleta ei saa VPN-ühendust luua.


Luuakse PPP-profiil koos krüpteeringuga. Seda profiili kasutab komponendis 3 loodav VPN-tunnel.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Kasutades komponendi 1 sertifikaati ja komponendi 2 profiili, luuakse OpenVPN-kliendi liides. See loob väljaminevad ühenduse aadressile ovpn.mkcontroller.com pordil 443, kasutades AES-256 šifrit ja SHA-1 autentimist.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

See tunnel võimaldab kõiki pilvefunktsioone: kaugjuurdepääs, varukoopiad, jälgimine ja API-kõned — ilma vajaduseta avada teie marsruuteri sissetulevaid porte.


Luuakse üks tulemüürireegel, mis lubab VPN-värava aadressil (10.8.0.1) MikroTikule tunneli kaudu juurde pääseda.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Juurdepääsu saab ainult see IP-aadress — MKControlleri VPN-server. Ühtegi muud välist IP-d ei lisata lubatute loendisse.


RouterOS-i planeerijaskript käivitub iga 90 sekundi järel ja saadab seadme seisundi andmed MKControllerile: CPU kasutus, RAM-i tarbimine, kettaruum ja temperatuur (toetatud mudelitel).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Need andmed täidavad MKControlleri armatuurlaual reaalajas seadmekaardid ja saadavuse aruanded.


MikroTikul luuakse täisõigustega kasutaja. Seda kontot kasutatakse kogu API-suhtluseks MKControlleri ja seadme vahel. Selle parool pöörleb automaatselt ja sageli, et vältida brute-force rünnakuid.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Selle kasutaja saate vaadata: System → Users (see ilmub UUID-stiilis nimega).


Komponendis 4 loodud tulemüürireegel teisaldatakse sisendahela algusesse, et tagada MKControlleri juurdepääsu mitteblokeerimine teiste hiljem lisatud reeglite poolt.

:do {
:local n [/ip firewall filter find where comment="MKController"];
/ip firewall filter move numbers=$n destination=0
} on-error {}

Lubatakse viis RouterOS-i teenuseporti ja nende juurdepääs piiratakse VPN-värava aadressile 10.8.0.1 — see tähendab, et neile pääseb ligi ainult MKController (VPN-tunneli kaudu). Kui port oli juba avatud, lisatakse 10.8.0.1 selle lubatud aadresside loendisse olemasolevaid kirjeid eemaldamata.

/ip service enable www; /ip service set www address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh; /ip service set ssh address="10.8.0.1"
/ip service enable api; /ip service set api address="10.8.0.1"
/ip service enable ftp; /ip service set ftp address="10.8.0.1"

Teenuste olekut saate kontrollida: IP → Services

TeenusKui keelatud, katki läheb
www (WebFig)Kaug-WebFigi juurdepääs MKControlleri veebis ja mobiilirakenduses
winboxKaug-Winboxi juurdepääs MKControlleri töölauarakenduses
sshVarukoopiate loomine, failide üles-/allalaadimine, skriptide käivitamine
apiKõik API-funktsioonid, sealhulgas Walled Garden, Voucher ja avalik API
ftpFailisüsteemi toimingud: FTP-integratsioon, failide loend, partii failide üleslaadimine

Küsimusi kasutuselevõtu skripti või komponentide käitumise kohta? Võtke MKControlleri toega ühendust WhatsAppi kaudu.