Blueprint MKController
Intégration de MikroTik avec MKController
Lorsque vous adoptez un appareil sur MKController, il est nécessaire de copier un script dans votre MikroTik.
Ce guide explique ce que fait le script et ce qui peut arriver si certaines règles sont supprimées.
✅ Exigences de base
- Le RouterOS doit être en version 6.39 ou supérieure.
1 – Certificat
- Le certificat OVPN utilisé pour la connexion est enregistré dans le système de fichiers du MikroTik.
- Il est ensuite importé et peut être consulté via
System → Certificates.
Commande :
/certificate import file-name="[ID_DU_CERTIFICAT]" passphrase=""2 – Création du Profil PPP
- Un profil PPP est créé pour être utilisé dans la connexion VPN.
Commande :
/ppp profile add name="[ID_DU_PROFIL]" use-encryption=yes comment="MKController"3 – Client VPN
- Le certificat de l’étape 1 et le profil de l’étape 2 sont utilisés pour créer une connexion OVPN vers le serveur de MKController.
Commande :
/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[ID_UTILISATEUR]" auth=sha1 cipher=aes256 certificate="[ID_DU_CERTIFICAT]" port=443 profile="[ID_DU_PROFIL]" name="MKController" comment="MKController"4 – Règle de pare-feu
- Une règle de pare-feu est créée pour permettre à la passerelle VPN (
10.8.0.1) d’accéder au MikroTik via le tunnel.
Commande :
/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"5 – Script de surveillance
- Un planificateur est créé pour envoyer des données comme l’utilisation du CPU, du disque, de la mémoire, etc.
Commande :
/system scheduler add name="resources-1d9ca987" interval=90 on-event="[EVÉNEMENT]" comment="MKController"6 – Utilisateur MikroTik
- Un utilisateur avec des permissions complètes est créé pour gérer la communication avec MKController.
- Le mot de passe est automatiquement renouvelé pour se protéger contre les attaques par force brute.
Commande :
/user add name="[ID_UTILISATEUR]" group=full password="[MOT_DE_PASSE_TEMPORAIRE]"7 – Priorité de la règle de pare-feu
- La règle de pare-feu de MKController est déplacée en haut de la liste pour garantir sa priorité.
Commande :
:do { :local n [/ip firewall filter find where comment="MKController"]; /ip firewall filter move numbers=$n destination=0} on-error {}8 – Activation des services et ports
- Les services
webfig,winbox,ssh,apietftpsont activés avec autorisation d’accès uniquement pour10.8.0.1.
Commandes :
/ip service enable www; /ip service set www address="10.8.0.1"/ip service enable winbox; /ip service set winbox address="10.8.0.1"/ip service enable ssh; /ip service set ssh address="10.8.0.1"/ip service enable api; /ip service set api address="10.8.0.1"/ip service enable ftp; /ip service set ftp address="10.8.0.1"🔒 Que se passe-t-il si un service est désactivé ?
| Service | Conséquence |
|---|---|
| www | L’accès via WebFig (web ou mobile) ne fonctionnera pas |
| winbox | L’accès à distance via Winbox par MKController sera bloqué |
| ssh | Des fonctions comme la sauvegarde à distance et le transfert de fichiers cesseront de fonctionner |
| api | L’API publique de MKController cessera de fonctionner (documentation) |
| ftp | Il sera impossible de lister les fichiers ou d’effectuer des envois groupés |