דלגו לתוכן
MKController

תרשים MKController על המכשיר שלך

סיכום

כאשר אתה מאמץ מכשיר ב-MKController עליך להעתיק סקריפט ל-Mikrotik שלך. המטרה בחומר זה היא להסביר מה הסקריפט עושה במכשיר Mikrotik ומה יקרה אם תסיר כמה חוקים.

UniFiControllerLogo.

דרישות בסיסיות

RouterOS חייב להיות בגרסה 6.39 או יותר.

1. תעודה

  • תעודת ovpn שתשמש לחיבור ovpn נשמרת במערכת הקבצים

  • התעודה מיובאת ל-Mikrotik. ניתן לגשת אליה בתפריט System -> Certificates

פקודה:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. יצירת פרופיל

  • חוק פרופיל שישמש ב-VPN נוצר

פקודה:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. מנהרת VPN לקוח

התעודה מהשלב 1 והפרופיל מהשלב 2, משמשים כעת ליצירת חיבור ovpn עם השרת ovpn.mkcontroller.com

פקודה:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. חומת אש

נוצר חוק חומת אש שמוודא שלשער ה-VPN (10.8.0.1) יש גישה למכשיר Mikrotik דרך המנהרה שנוצרה בשלב 3

פקודה:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. ניטור

סקריפט לניטור נוצר ב-Mikrotik לשליחת נתונים כמו שימוש במעבד, דיסק, זיכרון וכו’.

פקודה:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. משתמש ב-Mikrotik

משתמש עם הרשאות מנהל נוצר ב-Mikrotik לניהול תקשורת בין MKController ל-Mikrotik. הסיסמה של משתמש זה משתנה לעיתים קרובות למניעת התקפות כוח גס

פקודה:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. עדיפות

החוק שנוצר בשלב 5 ממוקם ראשון ברשימה, ומוודא של-MKController יש גישה למכשיר גם אם קיימים חוקים אחרים לדחייה

פקודה:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. הפעלת פורטים

  • הפורטים [webfig], ssh, api, [winbox] ו-[ftp] מופעלים
  • אם הפורט סגור, הוא יופעל עם הרשאה לשימוש בכתובת 10.8.0.1, ומוודא שרק ovpn יכול לגשת
  • אם הפורט פתוח, תתווסף כתובת 10.8.0.1 לרשימת ההרשאות לגישה
  • ניתן לבדוק את כל השירותים ב-IP -> Services

פקודות:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

מה קורה אם כל שירות נסגר.

  • [שירות www] – חיבור webfig לא יעבוד דרך הדפדפן או האפליקציה הניידת;

  • [שירות winbox] – חיבור winbox לא יעבוד דרך הדפדפן או האפליקציה הניידת;

  • [שירות ssh] – שירותי גיבוי, העלאה והורדת קבצים לא יעבדו;

  • שירות api– ממשק ה-API הציבורי של המערכת, כגון walled garden, לא יעבוד
    (תיעוד מלא ב-https://app.mkcontroller.com/mkcontroller-puclic/);

  • [שירות ftp] – פונקציות מערכת הקבצים כמו אינטגרציה עם ftp, הצגת רשימת קבצים והעלאת קבצים קבוצתית לא יעבדו

גישה כאן