Skip to content
MKController

MKController planas jūsų įrenginyje

Santrauka

Prijungdami įrenginį prie MKController turite kopijuoti scenarijų į savo Mikrotik. Šio straipsnio tikslas – paaiškinti, ką tas scenarijus daro jūsų Mikrotike ir kas nutiks, jei pašalinsite tam tikras taisykles.

UniFiControllerLogo.

Pagrindiniai reikalavimai

RouterOS versija turi būti 6.39 arba naujesnė.

1. Sertifikatas

  • OVPN sertifikatas, kuris bus naudojamas OVPN ryšiui, išsaugomas failų sistemoje.

  • Sertifikatas importuojamas į Mikrotik. Jį rasite meniu System -> Certificates.

Komanda:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Profilio kūrimas

  • Sukuriama profilio taisyklė, kuri bus naudojama VPN ryšyje.

Komanda:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN kliento tunelis

1 žingsnio sertifikatas ir 2 žingsnio profilis dabar naudojami sukurti OVPN ryšį su serveriu ovpn.mkcontroller.com

Komanda:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Ugniasienė

Sukuriama ugniasienės taisyklė, užtikrinanti, kad VPN vartai (10.8.0.1) turėtų prieigą prie Mikrotiko per 3 žingsnyje sukurtą tunelį.

Komanda:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Stebėjimas

Mikrotike sukuriamas stebėjimo scenarijus, siųsiantis duomenis tokius kaip CPU naudojimas, disko naudojimas, atminties naudojimas ir kt.

Komanda:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Vartotojas Mikrotike

Mikrotike sukuriamas vartotojas su administratoriaus teisėmis, kuris bus valdomas per MKController ir Mikrotiko ryšį. Šio vartotojo slaptažodis dažnai keičiamas, kad būtų išvengta jėgos metodo atakų.

Komanda:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prioritetas

5 žingsnyje sukurta taisyklė perkeliama į sąrašo pradžią, kad MKController turėtų prieigą prie įrenginio net jei yra kitų uždraudimo taisyklių.

Komanda:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Portų aktyvinimas

  • Įjungiami [webfig], ssh, api, [winbox] ir [ftp] portai.
  • Jei portai uždaryti, jie aktyvuojami su leidimu naudoti adresą 10.8.0.1, užtikrinant, kad tik OVPN turėtų prieigą.
  • Jei portai atidaryti, prie leidimų sąrašo pridedamas adresas 10.8.0.1.
  • Visus paslaugų nustatymus galite patikrinti IP -> Services.

Komandos:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Kas nutinka, jei paslauga yra uždaryta:

  • [www paslauga] – Webfig ryšys neveiks nei per naršyklę, nei per mobilųjį programėlę;

  • [winbox paslauga] – Winbox ryšys neveiks nei per naršyklę, nei per mobilųjį programėlę;

  • [ssh paslauga] – Atsarginės kopijos, failų įkėlimas ir atsisiuntimas neveiks;

  • api paslauga – Viešasis sistemos API, kaip walled garden, neveiks
    (Pilna dokumentacija adresu https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp paslauga] – Failų sistemos funkcionalumas, kaip ftp integracija, failų sąrašas ir partinė failų įkėlimas neveiks.

Pasiekite čia