Pāriet uz saturu
MKController

MikroTik konfigurācijas veidne

Kopsavilkums MKController adoptēšanas skripts instalē 8 komponentus jūsu MikroTik ierīcē: OpenVPN sertifikātu, VPN profilu, OpenVPN tuneli uz MKController serveriem, ugunsmūra kārtulu, kas atļauj VPN vārtejas piekļuvi, uzraudzības plānotāju, pārvaldītu lietotāja kontu, ugunsmūra prioritātes kārtulu un iespējotas pakalpojumu ostas, kas ierobežotas līdz VPN tunelim. Šī lapa izskaidro katru komponentu un to, kas pārstāj darboties, ja tas tiek noņemts.

Ko MKController adoptēšanas skripts instalē MikroTik ierīcē?

MKController adoptēšanas skripts ir īsa RouterOS programma, kas izveido drošu, šifrētu savienojumu starp jūsu MikroTik ierīci un MKController mākoņa infrastruktūru. Izpildot to, ierīcē tiek izveidoti tieši 8 komponenti — ne vairāk. Katra komponenta izpratne palīdz uzturēt savienojumu, novērst problēmas un pieņemt informētus lēmumus par RouterOS konfigurāciju.

Prasības

Nepieciešama RouterOS versija 6.39 vai jaunāka. Pilnu atbalstīto versiju sarakstu skatiet Atbalstītas RouterOS versijas.

1. komponents: OpenVPN sertifikāts

OpenVPN sertifikāts tiek lejupielādēts un saglabāts MikroTik failu sistēmā, pēc tam importēts ierīces sertifikātu krātuvē.

Pārbaudīt var: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Šis sertifikāts autentificē ierīci MKController VPN serverī. Bez tā VPN savienojumu nevar izveidot.

2. komponents: VPN profils

Tiek izveidots PPP profils ar iespējotu šifrēšanu. Šo profilu izmanto 3. komponentā izveidotais VPN tunelis.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

3. komponents: OpenVPN klienta tunelis

Izmantojot 1. komponenta sertifikātu un 2. komponenta profilu, tiek izveidota OpenVPN klienta saskarne. Tā izveido izejošu savienojumu uz ovpn.mkcontroller.com caur portu 443, izmantojot AES-256 šifru un SHA-1 autentifikāciju.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Šis tunelis iespējo visas mākoņa funkcijas: attālinātu piekļuvi, rezerves kopijas, uzraudzību un API izsaukumus — bez nepieciešamības atvērt ienākošos portus maršrutētājā.

4. komponents: Ugunsmūra ievades kārtula

Tiek izveidota viena ugunsmūra kārtula, kas atļauj VPN vārtejas adresei (10.8.0.1) piekļūt MikroTik caur tuneli.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Piekļuve tiek piešķirta tikai šai IP adresei — MKController VPN serverim. Neviena cita ārēja IP adrese netiek iekļauta baltajā sarakstā.

5. komponents: Uzraudzības plānotājs

RouterOS plānotāja skripts darbojas ik pēc 90 sekundēm un nosūta ierīces veselības datus uz MKController: CPU izmantošanu, RAM patēriņu, diska vietu un temperatūru (atbalstītos modeļos).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Šie dati aizpilda reāllaika ierīču kartītes un pieejamības pārskatus MKController vadības panelī.

6. komponents: MKController lietotāja konts

MikroTik tiek izveidots pilnas piekļuves lietotājs. Šo kontu izmanto visai API komunikācijai starp MKController un ierīci. Tā parole tiek automātiski mainīta regulāri, lai novērstu brutāla spēka uzbrukumus.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Šo lietotāju var redzēt: System → Users (tas parādās kā UUID stila nosaukums).

7. komponents: Ugunsmūra kārtulas prioritāte

  1. komponenta ugunsmūra kārtula tiek pārvietota uz ievades ķēdes sākumu, nodrošinot, ka MKController piekļuvi nebloķē citas vēlāk pievienotas kārtulas.
:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

8. komponents: Pakalpojumu portu aktivizēšana

Pieci RouterOS pakalpojumu porti tiek iespējoti un to piekļuve tiek ierobežota līdz VPN vārtejas adresei 10.8.0.1 — tas nozīmē, ka tikai MKController (caur VPN tuneli) var tiem piekļūt. Ja ports jau bija atvērts, 10.8.0.1 tiek pievienots atļauto adrešu sarakstam, nenoņemot esošos ierakstus.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Pakalpojumu stāvokļus var pārbaudīt: IP → Services

Kas pārstāj darboties, ja pakalpojums ir atspējots?

PakalpojumsJa atspējots, pārstāj darboties
www (WebFig)Attālinātā WebFig piekļuve MKController tīmeklī un mobilajā lietotnē
winboxAttālinātā Winbox piekļuve MKController darbvirsmas lietotnē
sshRezerves kopiju izveide, failu augšupielāde/lejupielāde, skriptu izpilde
apiVisas API funkcijas, ieskaitot Walled Garden, Voucher un publisko API
ftpFailu sistēmas darbības: FTP integrācija, failu saraksts, failu partijas augšupielāde

Jautājumi par adoptēšanas skriptu vai komponentu uzvedību? Sazinieties ar MKController atbalstu WhatsApp.