컨텐츠로 건너뛰기
MKController

장치에서 MKController 구성도

요약

MKController에서 장치를 채택할 때 Mikrotik에 스크립트를 복사해야 합니다. 이 자료의 목적은 Mikrotik에서 스크립트가 수행하는 작업과 일부 규칙을 제거하면 어떤 일이 발생하는지 설명하는 것입니다.

UniFiControllerLogo.

기본 요구 사항

RouterOS는 버전 6.39 이상이어야 합니다.

1. 인증서

  • ovpn 연결에 사용할 ovpn 인증서가 파일 시스템에 저장됩니다.

  • 인증서는 Mikrotik으로 가져와집니다. 메뉴 System -> Certificates에서 접근할 수 있습니다.

명령어:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. 프로필 생성

  • VPN에 사용할 프로필 규칙이 생성됩니다.

명령어:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN 클라이언트 터널

1단계에서 가져온 인증서와 2단계의 프로필을 사용하여 서버 ovpn.mkcontroller.com과 ovpn 연결을 생성합니다.

명령어:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. 방화벽

3단계에서 생성한 터널을 통해 VPN 게이트웨이(10.8.0.1)가 Mikrotik에 접근할 수 있도록 방화벽 규칙이 생성됩니다.

명령어:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. 모니터링

CPU 사용률, 디스크 사용량, 메모리 사용 등 데이터를 전송하는 모니터링 스크립트가 Mikrotik에 생성됩니다.

명령어:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Mikrotik 사용자

MKController와 Mikrotik 간 통신을 관리할 관리자 권한 사용자가 생성됩니다. 이 사용자의 비밀번호는 무차별 대입 공격을 방지하기 위해 자주 변경됩니다.

명령어:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. 우선순위 설정

5단계에서 생성한 규칙이 목록에서 첫 번째에 배치되어, 다른 차단 규칙이 있어도 MKController가 장치에 접근할 수 있도록 보장합니다.

명령어:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. 포트 활성화

  • [webfig], ssh, api, [winbox] 및 [ftp] 포트가 활성화됩니다.
  • 포트가 닫혀 있으면, 주소 10.8.0.1 사용 권한과 함께 활성화되어 오직 ovpn만 접근할 수 있도록 합니다.
  • 포트가 열려 있으면, 10.8.0.1 주소가 접근 허용 목록에 추가됩니다.
  • 모든 서비스는 IP -> Services에서 확인할 수 있습니다.

명령어들:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

각 서비스가 닫혀 있을 때 발생하는 일

  • [www 서비스] – 웹 또는 모바일 앱을 통한 webfig 연결이 작동하지 않습니다;

  • [winbox 서비스] – 웹 또는 모바일 앱을 통한 winbox 연결이 작동하지 않습니다;

  • [ssh 서비스] – 백업 서비스, 파일 업로드 및 다운로드가 작동하지 않습니다;

  • api 서비스 – 와일드 가든 등 시스템의 공개 API가 작동하지 않습니다
    (전체 문서는 https://app.mkcontroller.com/mkcontroller-puclic/에서 확인할 수 있습니다);

  • [ftp 서비스] – ftp 통합, 파일 목록 확인, 일괄 파일 업로드 등의 파일 시스템 기능이 작동하지 않습니다.

여기에서 접근