Aller au contenu
MKController

Blueprint MikroTik — Appliquer des Modèles

Résumé Le script d’adoption MKController installe 8 composants sur votre appareil MikroTik : un certificat OpenVPN, un profil VPN, un tunnel OpenVPN vers les serveurs MKController, une règle de pare-feu autorisant l’accès à la passerelle VPN, un planificateur de surveillance, un compte utilisateur géré, une règle de priorité pare-feu et des ports de service activés restreints au tunnel VPN. Cette page explique chaque composant et ce qui se passe si l’un d’eux est supprimé.

Que installe le script d’adoption MKController sur MikroTik ?

Le script d’adoption MKController est un court programme RouterOS qui établit une connexion sécurisée et chiffrée entre votre appareil MikroTik et l’infrastructure cloud MKController. Lors de son exécution, il crée exactement 8 composants sur l’appareil — pas un de plus. Comprendre chaque composant vous aide à maintenir la connexion, résoudre les problèmes et prendre des décisions éclairées concernant votre configuration RouterOS.

Prérequis

RouterOS version 6.39 ou supérieure est requis. Pour la liste complète des versions prises en charge, voir Versions RouterOS prises en charge.

Composant 1 : Certificat OpenVPN

Un certificat OpenVPN est téléchargé et enregistré dans le système de fichiers MikroTik, puis importé dans le magasin de certificats de l’appareil.

Vous pouvez le vérifier dans : Système → Certificats

/certificate import file-name="[ID_CERTIFICAT]" passphrase=""

Ce certificat authentifie l’appareil auprès du serveur VPN MKController. Sans lui, la connexion VPN ne peut pas être établie.

Composant 2 : Profil VPN

Un profil PPP est créé avec le chiffrement activé. Ce profil est utilisé par le tunnel VPN créé au composant 3.

/ppp profile add name="[ID_PROFIL]" use-encryption=yes comment="MKController"

Composant 3 : Tunnel Client OpenVPN

En utilisant le certificat du composant 1 et le profil du composant 2, une interface client OpenVPN est créée. Elle se connecte en sortant vers ovpn.mkcontroller.com sur le port 443 en utilisant le chiffrement AES-256 et l’authentification SHA-1.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[ID_UTILISATEUR]" auth=sha1 cipher=aes256 certificate="[ID_CERTIFICAT]" port=443 profile="[ID_PROFIL]" name="MKController" comment="MKController"

Ce tunnel est ce qui permet toutes les fonctionnalités cloud : accès à distance, sauvegardes, surveillance et appels API — sans nécessiter de ports entrants ouverts sur votre routeur.

Composant 4 : Règle de Pare-feu Entrante

Une seule règle de pare-feu est créée pour permettre à l’adresse de la passerelle VPN (10.8.0.1) d’accéder au MikroTik via le tunnel.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Seule cette adresse IP — le serveur VPN MKController — obtient l’accès. Aucune autre IP externe n’est autorisée.

Composant 5 : Planificateur de Surveillance

Un script planificateur RouterOS s’exécute toutes les 90 secondes et envoie les données de santé de l’appareil à MKController : utilisation CPU, consommation RAM, espace disque et température (sur les modèles pris en charge).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENEMENT]" comment="MKController"

Ces données alimentent les cartes d’appareils en temps réel et les rapports de disponibilité sur le tableau de bord MKController.

Composant 6 : Compte Utilisateur MKController

Un utilisateur avec accès complet est créé sur le MikroTik. Ce compte est utilisé pour toute la communication API entre MKController et l’appareil. Son mot de passe change automatiquement et fréquemment pour prévenir les attaques par force brute.

/user add name="[ID_UTILISATEUR]" group=full password="[MOT_DE_PASSE_TEMPORAIRE]"

Vous pouvez voir cet utilisateur dans : Système → Utilisateurs (il apparaît sous un nom de type UUID).

Composant 7 : Priorité de Règle Pare-feu

La règle de pare-feu du composant 4 est déplacée en tête de la chaîne d’entrée, garantissant que l’accès MKController n’est pas bloqué par d’autres règles ajoutées ultérieurement.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Composant 8 : Activation des Ports de Service

Cinq ports de service RouterOS sont activés et leur accès est restreint à l’adresse de la passerelle VPN 10.8.0.1 — ce qui signifie que seul MKController (via le tunnel VPN) peut les atteindre. Si un port était déjà ouvert, 10.8.0.1 est ajouté à sa liste d’adresses autorisées sans supprimer les entrées existantes.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Vous pouvez vérifier les états des services dans : IP → Services

Que se passe-t-il si un service est désactivé ?

ServiceSi désactivé, cela interrompt
www (WebFig)L’accès WebFig distant dans l’application web et mobile MKController
winboxL’accès Winbox distant dans l’application de bureau MKController
sshLa création de sauvegardes, l’envoi et le téléchargement de fichiers, l’exécution de scripts
apiToutes les fonctionnalités API dont le Walled Garden, Voucher et l’API publique
ftpLes opérations du système de fichiers : intégration FTP, liste de fichiers, envoi de fichiers en lot

Des questions sur le script d’adoption ou le comportement des composants ? Contactez le support MKController sur WhatsApp.