Skip to content
MKController

Plan MKController uređaja za vašu opremu

Sažetak

Kada usvojite uređaj u MKControlleru, morate kopirati skriptu na vaš Mikrotik. Cilj ovog materijala je objasniti što skripta radi na vašem Mikrotiku i što se događa ako uklonite neke pravila.

UniFiControllerLogo.

Osnovni Zahtjevi

RouterOS mora biti verzije 6.39 ili novije.

1. Certifikat

  • ovpn certifikat koji će se koristiti za ovpn vezu spremljen je u datotečni sustav

  • Certifikat je uvezen u Mikrotik. Dostupan je putem izbornika System -> Certificates

Naredba:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Kreiranje Profila

  • Kreira se profil pravilo koje će se koristiti u VPN-u

Naredba:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN Klijent Tunel

Certifikat iz koraka 1 i profil iz koraka 2 sada se koriste za uspostavljanje ovpn veze sa serverom ovpn.mkcontroller.com

Naredba:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Vatrozid

Stvara se pravilo vatrozida koje osigurava da vpn gateway (10.8.0.1) ima pristup Mikrotiku kroz tunel stvoren u koraku 3

Naredba:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Nadzor

Na Mikrotiku se kreira skripta za nadzor koja šalje podatke poput korištenja CPU-a, diska, memorije i ostalo.

Naredba:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Korisnik na Mikrotiku

Stvara se korisnik na Mikrotiku s administratorskim ovlastima koji se upravlja u komunikaciji između MKControllera i Mikrotika. Lozinka tog korisnika se često mijenja radi sprječavanja napada brutalnom silom.

Naredba:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prioritet

Pravilo stvoreno u koraku 5 postavlja se na prvo mjesto na listi, osiguravajući pristup MKControlleru uređaju čak i ako postoje druga pravila za odbijanje pristupa

Naredba:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Aktivacija Portova

  • Portovi [webfig], ssh, api, [winbox] i [ftp] se aktiviraju
  • Ako je port zatvoren, aktivira se s dozvolom da koristi adresu 10.8.0.1, osiguravajući da samo ovpn može pristupiti
  • Ako je port otvoren, adresa 10.8.0.1 se dodaje na listu dopuštenog pristupa
  • Sve usluge mogu se provjeriti u IP -> Services

Naredbe:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Što se događa ako je svaka usluga zatvorena.

  • [www usluga] – Webfig veza neće raditi preko weba ili mobilne aplikacije;

  • [winbox usluga] – Winbox veza neće raditi preko weba ili mobilne aplikacije;

  • [ssh usluga] – Backup, prijenos i preuzimanje datoteka neće raditi;

  • api usluga – Javna API sustava, poput walled gardena, neće raditi
    (Potpuna dokumentacija na https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp usluga] – Funkcije datotečnog sustava poput ftp integracije, pregleda datoteka i masovnog prijenosa datoteka neće raditi

Pristup ovdje