תבנית תצורת MikroTik — החל תבניות

סיכום סקריפט האימוץ של MKController מתקין 8 רכיבים על מכשיר MikroTik שלך: תעודת OpenVPN, פרופיל VPN, תעלת OpenVPN לשרתי MKController, כלל חומת אש המאפשר גישה לשער VPN, מתזמן ניטור, חשבון משתמש מנוהל, כלל עדיפות לחומת אש ופורטי שירות מופעלים מוגבלים לתעלת VPN. דף זה מסביר כל רכיב ומה מפסיק לעבוד אם הוא מוסר.

מה מתקין סקריפט האימוץ של MKController על MikroTik?

סקריפט האימוץ של MKController הוא תוכנת RouterOS קצרה שמקימה חיבור מאובטח ומוצפן בין מכשיר MikroTik שלך לתשתית הענן של MKController. כאשר אתה מפעיל אותו, הוא יוצר בדיוק 8 רכיבים על המכשיר — לא יותר. הבנת כל רכיב עוזרת לך לשמור על החיבור, לפתור בעיות ולקבל החלטות מושכלות לגבי תצורת RouterOS שלך.

דרישות

נדרש RouterOS גרסה 6.39 ומעלה. לרשימת הגרסאות הנתמכות המלאה, ראה גרסאות RouterOS נתמכות.

רכיב 1: תעודת OpenVPN

תעודת OpenVPN מורדת ונשמרת במערכת הקבצים של MikroTik, ואז מיובאת למאגר התעודות של המכשיר.

ניתן לאמת אותה ב: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

תעודה זו מאמתת את המכשיר לשרת VPN של MKController. בלעדיה, לא ניתן להקים חיבור VPN.

רכיב 2: פרופיל VPN

פרופיל PPP נוצר עם הצפנה מופעלת. פרופיל זה משמש את תעלת VPN שנוצרת ברכיב 3.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

רכיב 3: תעלת OpenVPN לקוח

באמצעות התעודה מרכיב 1 והפרופיל מרכיב 2, נוצרת ממשק OpenVPN לקוח. הוא מתחבר כלפי חוץ אל ovpn.mkcontroller.com על פורט 443 באמצעות צופן AES-256 ואימות SHA-1.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

תעלה זו היא מה שמאפשר את כל תכונות הענן: גישה מרחוק, גיבויים, ניטור וקריאות API — מבלי לדרוש פורטים נכנסים פתוחים על הנתב שלך.

רכיב 4: כלל קלט חומת אש

כלל חומת אש בודד נוצר המאפשר לכתובת שער ה-VPN (10.8.0.1) לגשת ל-MikroTik דרך התעלה.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

רק כתובת IP זו — שרת VPN של MKController — מקבלת גישה. שום כתובת IP חיצונית אחרת אינה מורשית.

רכיב 5: מתזמן ניטור

סקריפט מתזמן RouterOS רץ כל 90 שניות ושולח נתוני בריאות מכשיר ל-MKController: שימוש CPU, צריכת RAM, שטח דיסק וטמפרטורה (בדגמים נתמכים).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

נתונים אלה מאכלסים את כרטיסי המכשיר בזמן אמת ואת דוחות הזמינות בלוח הבקרה של MKController.

רכיב 6: חשבון משתמש MKController

משתמש עם גישה מלאה נוצר על ה-MikroTik. חשבון זה משמש לכל תקשורת API בין MKController למכשיר. הסיסמה שלו מתחלפת אוטומטית ותכופות למניעת מתקפות brute-force.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

ניתן לראות משתמש זה ב: System → Users (הוא מופיע עם שם בסגנון UUID).

רכיב 7: עדיפות כלל חומת אש

כלל חומת האש מרכיב 4 מועבר לראש שרשרת הקלט, ומבטיח שגישת MKController לא תיחסם על ידי כללים אחרים שיתווספו מאוחר יותר.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

רכיב 8: הפעלת פורט שירות

חמישה פורטי שירות RouterOS מופעלים וגישתם מוגבלת לכתובת שער ה-VPN 10.8.0.1 — כלומר רק MKController (דרך תעלת ה-VPN) יכולה להגיע אליהם. אם פורט כבר היה פתוח, 10.8.0.1 מתווסף לרשימת הכתובות המורשות שלו מבלי להסיר רשומות קיימות.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

ניתן לאמת מצבי שירות ב: IP → Services

מה נשבר אם שירות מנוטרל?

שאלות לגבי סקריפט האימוץ או התנהגות הרכיבים? פנה לתמיכת MKController ב-WhatsApp.