Blueprint MikroTik — Script di Adozione

Sommario Lo script di adozione MKController installa 8 componenti sul tuo dispositivo MikroTik: un certificato OpenVPN, un profilo VPN, un tunnel OpenVPN verso i server MKController, una regola firewall che consente l’accesso dal gateway VPN, uno scheduler di monitoraggio, un account utente gestito, una regola firewall prioritaria e porte di servizio abilitate e limitate al tunnel VPN. Questa pagina spiega ogni componente e cosa si interrompe se viene rimosso.

Cosa Installa lo Script di Adozione MKController sul MikroTik?

Lo script di adozione MKController è un breve programma RouterOS che stabilisce una connessione sicura e cifrata tra il dispositivo MikroTik e l’infrastruttura cloud MKController. Quando lo esegui, crea esattamente 8 componenti sul dispositivo — nulla di più. Comprendere ogni componente ti aiuta a mantenere la connessione, risolvere i problemi e prendere decisioni consapevoli sulla configurazione RouterOS.

Requisiti

È richiesta la versione RouterOS 6.39 o superiore. Per l’elenco completo delle versioni supportate, consulta Versioni RouterOS Supportate.

Componente 1: Certificato OpenVPN

Un certificato OpenVPN viene scaricato e salvato nel file system del MikroTik, poi importato nell’archivio certificati del dispositivo.

Puoi verificarlo in: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Questo certificato autentica il dispositivo al server VPN di MKController. Senza di esso, la connessione VPN non può essere stabilita.

Componente 2: Profilo VPN

Viene creato un profilo PPP con cifratura abilitata. Questo profilo viene utilizzato dal tunnel VPN creato nel Componente 3.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Componente 3: Tunnel Client OpenVPN

Usando il certificato del Componente 1 e il profilo del Componente 2, viene creata un’interfaccia client OpenVPN. Si connette verso l’esterno a ovpn.mkcontroller.com sulla porta 443 usando la cifratura AES-256 e l’autenticazione SHA-1.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Questo tunnel è ciò che abilita tutte le funzionalità cloud: accesso remoto, backup, monitoraggio e chiamate API — senza richiedere porte in ingresso aperte sul router.

Componente 4: Regola Firewall Input

Viene creata una singola regola firewall che consente all’indirizzo del gateway VPN (10.8.0.1) di accedere al MikroTik attraverso il tunnel.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Solo questo indirizzo IP — il server VPN MKController — ottiene l’accesso. Nessun altro IP esterno è autorizzato.

Componente 5: Scheduler di Monitoraggio

Uno script scheduler RouterOS viene eseguito ogni 90 secondi e invia i dati di salute del dispositivo a MKController: utilizzo CPU, consumo RAM, spazio su disco e temperatura (sui modelli supportati).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Questi dati popolano le schede dispositivo in tempo reale e i report di disponibilità sulla dashboard MKController.

Componente 6: Account Utente MKController

Sul MikroTik viene creato un utente con accesso completo. Questo account viene utilizzato per tutte le comunicazioni API tra MKController e il dispositivo. La sua password ruota automaticamente e frequentemente per prevenire attacchi brute-force.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Puoi vedere questo utente in: System → Users (appare con un nome in stile UUID).

Componente 7: Priorità Regola Firewall

La regola firewall del Componente 4 viene spostata in cima alla catena di input, assicurando che l’accesso MKController non sia bloccato da altre regole aggiunte successivamente.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Componente 8: Attivazione Porte di Servizio

Cinque porte di servizio RouterOS vengono abilitate e il loro accesso viene limitato all’indirizzo del gateway VPN 10.8.0.1 — il che significa che solo MKController (tramite il tunnel VPN) può raggiungerle. Se una porta era già aperta, 10.8.0.1 viene aggiunto alla sua lista di indirizzi consentiti senza rimuovere le voci esistenti.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Puoi verificare gli stati dei servizi in: IP → Services

Cosa si Interrompe se un Servizio È Disabilitato?

Servizio	Se disabilitato, si interrompe
`www` (WebFig)	Accesso remoto WebFig nell’app web e mobile MKController
`winbox`	Accesso remoto Winbox nell’app desktop MKController
`ssh`	Creazione backup, caricamento/download file, esecuzione script
`api`	Tutte le funzionalità API incluse Walled Garden, Voucher e l’API Pubblica
`ftp`	Operazioni sul file system: integrazione FTP, elenco file, caricamento file in batch

Domande sullo script di adozione o sul comportamento dei componenti? Contatta il supporto MKController su WhatsApp.