コンテンツにスキップ
MKController

MKControllerデバイスの設計図

概要

MKControllerでデバイスをアドプトする際、Mikrotikにスクリプトをコピーする必要があります。本資料の目的は、そのスクリプトがMikrotik上で何を行い、ルールを削除した場合に何が起きるかを説明することです。

UniFiControllerLogo.

基本要件

RouterOSはバージョン6.39以上でなければなりません。

1. 証明書

  • ovpn接続で使用されるovpn証明書がファイルシステムに保存されています

  • 証明書はMikrotikにインポートされます。System -> Certificatesメニューからアクセス可能です

コマンド:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. プロファイル作成

  • VPNで使用されるプロファイルルールが作成されます

コマンド:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPNクライアントトンネル

ステップ1の証明書とステップ2のプロファイルを使い、ovpn.mkcontroller.comサーバーとのovpn接続が作成されます

コマンド:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. ファイアウォール

ステップ3で作成されたトンネルを通して、vpnゲートウェイ(10.8.0.1)がMikrotikにアクセスできるようにファイアウォールルールが作成されます

コマンド:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. 監視

CPU使用率、ディスク使用量、メモリ使用量などのデータを送信するため、Mikrotikに監視スクリプトが作成されます

コマンド:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Mikrotik上のユーザー

MKControllerとMikrotik間の通信で管理される管理者権限のユーザーが作成されます。このユーザーのパスワードはブルートフォース攻撃防止のため頻繁に変更されます

コマンド:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. 優先順位

ステップ5で作成されたルールがリストの先頭に配置され、他の拒否ルールがあってもMKControllerがデバイスにアクセスできるようにします

コマンド:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. ポートの有効化

  • [webfig]、ssh、api、[winbox]、[ftp]のポートが有効化されます
  • ポートが閉じている場合は、アドレス10.8.0.1からの使用許可を伴い有効化され、ovpnのみがアクセス可能となります
  • ポートが開いている場合は、アクセス許可リストに10.8.0.1が追加されます
  • すべてのサービスはIP -> Servicesで確認できます

コマンド:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

各サービスが閉じている場合の影響

  • [wwwサービス] – webfig接続がWebやモバイルアプリで動作しません;

  • [winboxサービス] – winbox接続がWebやモバイルアプリで動作しません;

  • [sshサービス] – バックアップサービスやファイルのアップロード・ダウンロードが機能しません;

  • apiサービス – システムの公開API(ウォールドガーデンなど)が機能しません
    (完全なドキュメントはhttps://app.mkcontroller.com/mkcontroller-puclic/にあります);

  • [ftpサービス] – ftp連携、ファイルリスト表示、バッチファイルアップロードなどファイルシステム機能が動作しません

こちらからアクセス