Salta ai contenuti
MKController

Schema MKController

Quando si adotta un dispositivo in MKController, è necessario copiare uno script sul Mikrotik. Lo scopo di questo materiale è spiegare cosa fa lo script sul tuo Mikrotik e cosa succede se rimuovi alcune regole.

Requisiti Base

RouterOS deve essere versione 6.39 o superiore.

1 – Certificato

  • Il certificato ovpn che sarà utilizzato per la connessione ovpn è salvato nel file system

  • Il certificato è importato in Mikrotik. Può essere accesso tramite il menu System -> Certificates

Comando:

/certificate import file-name=”[ID DO CERTIFICATO]” passphrase=””

2 – Creazione del Profilo

  • Viene creata una regola profilo, che sarà usata nella VPN

Comando:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3 – Il Tunnel Client VPN

Il certificato di passo 1 e il profilo di passo 2, sono ora usati per creare una connessione ovpn con il server ovpn.mkcontroller.com

Comando:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4 – Firewall

Si crea una regola firewall che garantisce che il gateway vpn (10.8.0.1) abbia accesso al Mikrotik attraverso il tunnel creato al passo 3

Comando:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5 – Monitoraggio

Viene creato uno script di monitoraggio in Mikrotik per inviare dati come uso CPU, spazio su disco, utilizzo della memoria, ecc.

Comando:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6 – Utente su Mikrotik

Viene creato un utente su Mikrotik con permessi di amministratore che sarà gestito nella comunicazione tra MKController e Mikrotik. La password di questo utente viene cambiata frequentemente per prevenire attacchi brute force

Comando:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7 – Priorità

La regola creata al passo 5 è spostata in cima alla lista, garantendo che MKController abbia accesso al dispositivo anche se ci sono altre regole di negazione

Comando:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8 – Attivazione delle porte

  • Le porte [webfig], ssh, api, [winbox] e [ftp] sono attivate
  • Se la porta è chiusa, sarà attivata con permesso d’uso per l’indirizzo 10.8.0.1, garantendo l’accesso esclusivamente tramite ovpn
  • Se la porta è aperta, l’indirizzo 10.8.0.1 sarà aggiunto alla lista dei permessi di accesso
  • Tutti i servizi possono essere verificati in IP -> Services

Comandi:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Cosa succede se ogni servizio è chiuso.

  • [www service] – La connessione webfig non funzionerà tramite web o app mobile;

  • [winbox service] – La connessione winbox non funzionerà tramite web o app mobile;

  • [ssh service] – I servizi di backup, upload e download file non funzioneranno;

  • api service – L’API pubblica del sistema, come il walled garden, non funzionerà
    (Documentazione completa su https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp service] – Le funzionalità del file system come integrazione ftp, elenco file e upload batch non funzioneranno

Accesso Qui