Salta ai contenuti
MKController

Schema di MKController sul tuo Dispositivo

Sommario

Quando si adotta un dispositivo in MKController è necessario copiare uno script sul Mikrotik. Lo scopo di questo materiale è spiegare cosa fa lo script sul Mikrotik e cosa accade se si rimuovono alcune regole.

UniFiControllerLogo.

Requisiti Base

RouterOS deve essere versione 6.39 o superiore.

1. Certificato

  • Il certificato ovpn che sarà usato per la connessione ovpn è salvato nel file system

  • Il certificato è importato in Mikrotik. Si accede tramite menu System -> Certificates

Comando:

/certificate import file-name=”[ID DO CERTIFICATO]” passphrase=””

2. Creazione Profilo

  • Viene creata una regola profilo, che sarà usata nella VPN

Comando:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. Tunnel Client VPN

Il certificato del passo 1 e il profilo del passo 2 vengono ora usati per creare una connessione ovpn con il server ovpn.mkcontroller.com

Comando:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICATO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Firewall

Viene creata una regola firewall che assicura che il gateway vpn (10.8.0.1) abbia accesso al mikrotik attraverso il tunnel creato al passo 3

Comando:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Monitoraggio

Viene creato uno script di monitoraggio in mikrotik per inviare dati come utilizzo CPU, disco, memoria, ecc.

Comando:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Utente su Mikrotik

Viene creato un utente su mikrotik con permessi amministrativi che sarà gestito nella comunicazione tra MKController e Mikrotik. La password di questo utente viene cambiata frequentemente per prevenire attacchi brute force

Comando:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Priorità

La regola creata al passo 5 è posta al primo posto nella lista, assicurando che MKController abbia accesso al dispositivo anche se ci sono altre regole di negazione

Comando:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Attivazione Porte

  • Le porte [webfig], ssh, api, [winbox] e [ftp] sono attivate
  • Se la porta è chiusa, viene attivata con permesso per usare l’indirizzo 10.8.0.1, garantendo che solo la ovpn possa accedere
  • Se la porta è aperta, l’indirizzo 10.8.0.1 viene aggiunto alla lista di permessi di accesso
  • Tutti i servizi possono essere controllati in IP -> Services

Comandi:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Cosa succede se ogni servizio è chiuso.

  • [www service] – La connessione webfig non funzionerà via web o tramite app mobile;

  • [winbox service] – La connessione winbox non funzionerà via web o tramite app mobile;

  • [ssh service] – I servizi di backup, caricamento e scaricamento file non funzioneranno;

  • api service – L’API pubblica del sistema, come il walled garden, non funzionerà
    (Documentazione Completa su https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp service] – Le funzionalità del file system come integrazione ftp, elenchi file e caricamenti batch non funzioneranno

Accesso Qui