Skip to content
MKController

MKController Blueprint az Eszközödön

Összefoglaló

Amikor eszközt adoptálsz az MKController-rel, egy szkriptet kell másolnod a MikroTik-re. Ennek a cikknek a célja, hogy elmagyarázza, mit tesz a szkript a MikroTik-en és mi történik, ha eltávolítasz néhány szabályt.

UniFiControllerLogo.

Alapkövetelmények

A RouterOS verziója legyen 6.39 vagy újabb.

1. Tanúsítvány

  • Az ovpn kapcsolatnál használt tanúsítvány elmentésre kerül a fájlrendszerben

  • A tanúsítvány importálva van a MikroTik-be. A System -> Certificates menüben érhető el

Parancs:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Profil létrehozása

  • Készítünk egy profilt, amit a VPN-ben használunk

Parancs:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN kliens alagút

Az 1. lépésben lévő tanúsítvány és a 2. lépésben lévő profil segítségével létrehozzuk az ovpn kapcsolatot az ovpn.mkcontroller.com szerverrel

Parancs:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Tűzfal

Létrehozunk egy tűzfal szabályt, amely biztosítja, hogy a vpn átjáró (10.8.0.1) hozzáférjen a MikroTik-hez a 3. lépésben létrehozott alagúton keresztül

Parancs:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Monitorozás

Létrehozunk egy monitorozó szkriptet a MikroTik-en, ami adatokat küld, mint CPU kihasználtság, lemezhasználat, memóriahasználat, stb.

Parancs:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Felhasználó a MikroTik-en

Létrehozunk egy felhasználót adminisztrátori jogosultsággal, akit az MKController és MikroTik közötti kommunikációban kezelünk. Ennek a felhasználónak a jelszava gyakran változik a brute force támadások elkerülésére

Parancs:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prioritás

Az 5. lépésben létrehozott szabályt az első helyre tesszük a listában, ezzel biztosítva, hogy az MKController hozzáférjen az eszközhöz még akkor is, ha más tiltó szabályok vannak érvényben

Parancs:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Portok aktiválása

  • Megnyitjuk a [webfig], ssh, api, [winbox] és [ftp] portokat
  • Ha a port zárva van, akkor megnyitjuk, és engedélyezzük a 10.8.0.1-es címről való hozzáférést, így csak az ovpn tud hozzáférni
  • Ha a port nyitva van, akkor hozzáadjuk a 10.8.0.1-es címet az engedélyezett címlistához
  • Az összes szolgáltatás megtekinthető az IP -> Services menüben

Parancsok:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Mi történik, ha valamelyik szolgáltatás zárva van.

  • [www szolgáltatás] – A webfig kapcsolat nem működik weben vagy a mobilalkalmazáson keresztül;

  • [winbox szolgáltatás] – A winbox kapcsolat nem működik weben vagy a mobilalkalmazáson keresztül;

  • [ssh szolgáltatás] – Biztonsági mentés, fájlok feltöltése és letöltése nem működik;

  • api szolgáltatás – A rendszer publikus API-ja, például a walled garden nem működik
    (Teljes dokumentáció: https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp szolgáltatás] – A fájlrendszer funkciók, mint az ftp integráció, fájllista és tömeges fájlfeltöltés nem működnek

Ide kattintva éred el