Aller au contenu
MKController

Schéma de MKController sur votre appareil

Résumé

Lorsque vous adoptez un appareil avec MKController, vous devez copier un script sur votre Mikrotik. Ce guide explique ce que fait le script sur votre Mikrotik et ce qui se passe si certaines règles sont supprimées.

UniFiControllerLogo.

Exigences de base

RouterOS doit être en version 6.39 ou supérieure.

1. Certificat

  • Le certificat ovpn utilisé pour la connexion ovpn est enregistré dans le système de fichiers

  • Le certificat est importé dans Mikrotik. Accessible via le menu Système -> Certificats

Commande :

/certificate import file-name=”[ID DU CERTIFICAT]” passphrase=””

2. Création de profil

  • Une règle de profil, utilisée dans le VPN, est créée

Commande :

/ppp profile add name=”[ID DU PROFIL]” use-encryption=yes comment=”MKController”

3. Tunnel client VPN

Le certificat de l’étape 1 et le profil de l’étape 2 sont utilisés pour créer une connexion ovpn avec le serveur ovpn.mkcontroller.com

Commande :

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DE L’UTILISATEUR]” auth=sha1 cipher=aes256 certificate=”[ID DU CERTIFICAT]” port=443 profile=”[ID DU PROFIL” name=”MKController” comment=”MKController”

4. Pare-feu

Une règle de pare-feu est créée pour garantir que la passerelle vpn (10.8.0.1) a accès au Mikrotik via le tunnel créé à l’étape 3

Commande :

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Surveillance

Un script de surveillance est créé dans Mikrotik pour envoyer des données telles que l’utilisation CPU, disque, mémoire, etc.

Commande :

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[ÉVÉNEMENT] comment=”MKController”

6. Utilisateur sur Mikrotik

Un utilisateur avec droits administrateur est créé sur Mikrotik pour la gestion de la communication entre MKController et Mikrotik. Le mot de passe de cet utilisateur change fréquemment pour éviter les attaques par force brute

Commande :

/user add name=”[ID de l’utilisateur]” group=full password=”[Mot de passe temporaire]”

7. Priorité

La règle créée à l’étape 5 est placée en premier dans la liste, assurant que MKController a accès à l’appareil même en présence d’autres règles de refus

Commande :

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Activation des ports

  • Les ports [webfig], ssh, api, [winbox] et [ftp] sont activés
  • Si un port est fermé, il est activé avec la permission d’utiliser l’adresse 10.8.0.1, garantissant que seul l’ovpn y accède
  • Si le port est ouvert, l’adresse 10.8.0.1 est ajoutée à la liste des permissions d’accès
  • Tous les services peuvent être vérifiés dans IP -> Services

Commandes :

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Conséquences si chaque service est fermé.

  • [service www] – La connexion webfig ne fonctionnera pas via le web ou l’application mobile ;

  • [service winbox] – La connexion winbox ne fonctionnera pas via le web ou l’application mobile ;

  • [service ssh] – Les services de sauvegarde, upload et téléchargement de fichiers ne fonctionneront pas ;

  • service api – L’API publique du système, comme le walled garden, ne fonctionnera pas
    (Documentation complète sur https://app.mkcontroller.com/mkcontroller-puclic/) ;

  • [service ftp] – Les fonctions du système de fichiers telles que l’intégration ftp, la liste des fichiers et le transfert groupé de fichiers ne fonctionneront pas

Accéder ici