Skip to content
MKController

MKController-laitteen Peruskaavio Laiteella

Yhteenveto

Kun otat laitteen käyttöön MKControllerissa, sinun täytyy kopioida skripti Mikrotikillesi. Tämän materiaalin tarkoitus on selittää, mitä skripti tekee Mikrotikillasi ja mitä tapahtuu, jos poistat joitain sääntöjä.

UniFiControllerLogo.

Perusvaatimukset

RouterOS:n on oltava versio 6.39 tai uudempi.

1. Sertifikaatti

  • OVPN-yhteyttä varten käytettävä ovpn-sertifikaatti tallennetaan tiedostojärjestelmään

  • Sertifikaatti tuodaan Mikrotikiin. Se löytyy valikosta Järjestelmä -> Sertifikaatit

Komento:

/certificate import file-name=”[SERTIFIKAATIN ID]” passphrase=””

2. Profiilin Luominen

  • Profiilisääntö, jota käytetään VPN:ssä, luodaan

Komento:

/ppp profile add name=”[PROFIILIN ID]” use-encryption=yes comment=”MKController”

3. VPN-asiakas Tunnelina

Vaiheessa 1 luotu sertifikaatti ja vaiheessa 2 luotu profiili käytetään ovpn-yhteyden luomiseen palvelimeen ovpn.mkcontroller.com

Komento:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[KÄYTTÄJÄN ID]” auth=sha1 cipher=aes256 certificate=”[SERTIFIKAATIN ID]” port=443 profile=”[PROFIILIN ID” name=”MKController” comment=”MKController”

4. Palomuuri

Luodaan palomuurisääntö, joka varmistaa, että vpn-portti (10.8.0.1) pääsee Mikrotikiin vaiheessa 3 luodun tunnelin kautta

Komento:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Valvonta

Mikrotikissä luodaan valvontaskripti, joka lähettää tietoja kuten CPU:n käyttö, levynkäyttö, muistin käyttö jne.

Komento:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Käyttäjä Mikrotikissä

Mikrotikiin luodaan käyttäjä, jolla on ylläpitäjän oikeudet, ja se hallinnoidaan MKControllerin ja Mikrotikin välisessä kommunikoinnissa. Tämä käyttäjän salasana vaihdetaan usein brute-force-hyökkäysten estämiseksi.

Komento:

/user add name=”[KÄYTTÄJÄN ID]” group=full password=”[Väliaikainen salasana]”

7. Prioriteetti

Vaiheessa 5 luotu sääntö siirretään listan ensimmäiseksi, varmistamaan MKControllerin pääsy laitteeseen, vaikka muita kielto-sääntöjä olisi

Komento:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Porttien Aktivointi

  • [webfig], ssh, api, [winbox] ja [ftp] -portit aktivoidaan
  • Jos portti on suljettu, se aktivoidaan siten, että osoitteella 10.8.0.1 on käyttöoikeus, varmistaen että vain ovpn pääsee siihen
  • Jos portti on auki, osoite 10.8.0.1 lisätään käyttöoikeutuslistalle
  • Kaikki palvelut löytyvät IP -> Services

Komentot:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Mitä tapahtuu, jos jokin palvelu on suljettu:

  • [www-palvelu] – Webfig-yhteys ei toimi webin tai mobiilisovelluksen kautta;

  • [winbox-palvelu] – Winbox-yhteys ei toimi webin tai mobiilisovelluksen kautta;

  • [ssh-palvelu] – Varmuuskopiointi, tiedostojen lataus ja siirto eivät toimi;

  • api-palvelu – Järjestelmän julkinen API, kuten walled garden, ei toimi
    (Kattava dokumentaatio osoitteessa https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp-palvelu] – Tiedostojärjestelmän toiminnot kuten ftp-integrointi, tiedostoluettelo ja eräsiirto eivät toimi

Pääsy tästä