Ga naar inhoud
MKController

MKController-sjabloon op uw apparaat

Samenvatting

Wanneer u een apparaat adopteert bij MKController, moet u een script naar uw Mikrotik kopiëren. Dit materiaal legt uit wat het script doet op uw Mikrotik en wat er gebeurt als u sommige regels verwijdert.

UniFiControllerLogo.

Basisvereisten

RouterOS moet versie 6.39 of hoger zijn.

1. Certificaat

  • Het ovpn-certificaat dat gebruikt wordt voor de ovpn-verbinding wordt opgeslagen in het bestandssysteem

  • Het certificaat wordt geïmporteerd in Mikrotik. Toegankelijk via menu Systeem -> Certificaten

Commando:

/certificate import file-name=”[ID VAN HET CERTIFICAAT]” passphrase=””

2. Profiel aanmaken

  • Er wordt een profiellijn gecreëerd die gebruikt wordt in de VPN

Commando:

/ppp profile add name=”[ID VAN HET PROFIEL]” use-encryption=yes comment=”MKController”

3. De VPN Client Tunnel

Het certificaat uit stap 1 en het profiel uit stap 2 worden nu gebruikt om een ovpn-verbinding aan te maken met de server ovpn.mkcontroller.com

Commando:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID VAN DE GEBRUIKER]” auth=sha1 cipher=aes256 certificate=”[ID VAN HET CERTIFICAAT]” port=443 profile=”[ID VAN HET PROFIEL” name=”MKController” comment=”MKController”

4. Firewall

Er wordt een firewallregel aangemaakt die ervoor zorgt dat de vpn-gateway (10.8.0.1) toegang heeft tot de mikrotik via de tunnel die in stap 3 is gemaakt

Commando:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Monitoring

Er wordt een monitoringscript aangemaakt in mikrotik om gegevens zoals CPU-gebruik, schijfgebruik, geheugengebruik, enz. te sturen.

Commando:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENT] comment=”MKController”

6. Gebruiker op Mikrotik

Er wordt een gebruiker aangemaakt in mikrotik met beheerdersrechten die beheerd wordt in de communicatie tussen MKController en Mikrotik. Het wachtwoord van deze gebruiker wordt regelmatig gewijzigd om brute-force aanvallen te voorkomen

Commando:

/user add name=”[ID van de gebruiker]” group=full password=”[Tijdelijk wachtwoord]”

7. Prioriteit

De regel die in stap 5 is gemaakt wordt als eerste op de lijst geplaatst, zodat MKController toegang heeft tot het apparaat, zelfs als er andere blokkaderegels zijn

Commando:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Poortactivering

  • De [webfig], ssh, api, [winbox] en [ftp] poorten worden geactiveerd
  • Als een poort gesloten is, wordt deze geactiveerd met toestemming om het adres 10.8.0.1 te gebruiken, zodat alleen de ovpn toegang heeft
  • Als de poort open is, wordt het adres 10.8.0.1 toegevoegd aan de toegangsrechtenlijst
  • Alle diensten kunnen worden gecontroleerd in IP -> Diensten

Commando’s:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Wat er gebeurt als elke dienst gesloten is.

  • [www-dienst] – De webfig-verbinding werkt niet via web of mobiele app;

  • [winbox-dienst] – De winbox-verbinding werkt niet via web of mobiele app;

  • [ssh-dienst] – Back-updiensten, uploaden en downloaden van bestanden werken niet;

  • api-dienst – De openbare API van het systeem, zoals walled garden, werkt niet
    (Volledige documentatie via https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp-dienst] – Bestandsysteemfuncties werken niet, zoals ftp-integratie, bestandslijst en batch-bestandsoverdracht

Hier toegang