Ga naar inhoud
MKController

MikroTik Blueprint — Sjablonen toepassen

Samenvatting Het MKController-adoptie-script installeert 8 componenten op uw MikroTik-apparaat: een OpenVPN-certificaat, een VPN-profiel, een OpenVPN-tunnel naar de MKController-servers, een firewallregel die VPN-gatewaytoegang toestaat, een monitoring-scheduler, een beheerd gebruikersaccount, een firewallprioriteitregel en geactiveerde servicepoorten beperkt tot de VPN-tunnel. Deze pagina legt elk onderdeel uit en beschrijft wat er stukgaat als het wordt verwijderd.

Wat installeert het MKController-adoptie-script op MikroTik?

Het MKController-adoptie-script is een kort RouterOS-programma dat een veilige, versleutelde verbinding tot stand brengt tussen uw MikroTik-apparaat en de MKController-cloudinfrastructuur. Wanneer u het uitvoert, worden er precies 8 componenten op het apparaat aangemaakt — niet meer. Het begrijpen van elk onderdeel helpt u de verbinding te onderhouden, problemen op te lossen en weloverwogen beslissingen te nemen over uw RouterOS-configuratie.

Vereisten

RouterOS versie 6.39 of hoger is vereist. Voor de volledige lijst van ondersteunde versies, zie Ondersteunde RouterOS-versies.

Component 1: OpenVPN-certificaat

Een OpenVPN-certificaat wordt gedownload en opgeslagen in het MikroTik-bestandssysteem, en vervolgens geïmporteerd in de certificaatopslag van het apparaat.

U kunt het verifiëren in: Systeem → Certificaten

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Dit certificaat authenticeert het apparaat bij de MKController VPN-server. Zonder dit certificaat kan de VPN-verbinding niet worden opgezet.

Component 2: VPN-profiel

Er wordt een PPP-profiel aangemaakt met ingeschakelde versleuteling. Dit profiel wordt gebruikt door de VPN-tunnel die in Component 3 wordt aangemaakt.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Component 3: OpenVPN-clienttunnel

Met het certificaat uit Component 1 en het profiel uit Component 2 wordt een OpenVPN-clientinterface aangemaakt. Deze maakt uitgaand verbinding met ovpn.mkcontroller.com op poort 443 met AES-256-versleuteling en SHA-1-authenticatie.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Deze tunnel maakt alle cloudfuncties mogelijk: externe toegang, back-ups, monitoring en API-aanroepen — zonder dat er inkomende poorten op uw router hoeven te worden geopend.

Component 4: Firewallregel voor inkomend verkeer

Er wordt één firewallregel aangemaakt die het VPN-gateway-adres (10.8.0.1) toegang geeft tot de MikroTik via de tunnel.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Alleen dit IP-adres — de MKController VPN-server — krijgt toegang. Er worden geen andere externe IP-adressen op de witte lijst geplaatst.

Component 5: Monitoring-scheduler

Een RouterOS-schedulerscript wordt elke 90 seconden uitgevoerd en stuurt gezondheidsgegevens van het apparaat naar MKController: CPU-gebruik, RAM-verbruik, schijfruimte en temperatuur (op ondersteunde modellen).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Deze gegevens vullen de realtime-apparaatkaarten en beschikbaarheidsrapporten op het MKController-dashboard.

Component 6: MKController-gebruikersaccount

Er wordt een gebruiker met volledige toegang aangemaakt op de MikroTik. Dit account wordt gebruikt voor alle API-communicatie tussen MKController en het apparaat. Het wachtwoord roteert automatisch en regelmatig om brute-force-aanvallen te voorkomen.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

U kunt deze gebruiker zien in: Systeem → Gebruikers (verschijnt als een UUID-stijlnaam).

Component 7: Prioriteit van firewallregel

De firewallregel uit Component 4 wordt naar de bovenkant van de input-keten verplaatst, zodat MKController-toegang niet wordt geblokkeerd door later toegevoegde regels.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Component 8: Activering van servicepoorten

Vijf RouterOS-servicepoorten worden ingeschakeld en hun toegang wordt beperkt tot het VPN-gateway-adres 10.8.0.1 — wat betekent dat alleen MKController (via de VPN-tunnel) ze kan bereiken. Als een poort al open was, wordt 10.8.0.1 toegevoegd aan de lijst met toegestane adressen zonder bestaande vermeldingen te verwijderen.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

U kunt de servicestatus controleren in: IP → Diensten

Wat gaat er stuk als een dienst is uitgeschakeld?

DienstAls uitgeschakeld, werkt dit niet meer
www (WebFig)Externe WebFig-toegang in de MKController-web- en mobiele app
winboxExterne Winbox-toegang in de MKController-bureaubladapp
sshBack-upfuncties, bestandsupload/-download, scriptuitvoering
apiAlle API-functies inclusief Walled Garden, Voucher en de Publieke API
ftpBestandssysteembewerkingen: FTP-integratie, bestandslijst, batchbestandsupload

Vragen over het adoptie-script of componentgedrag? Neem contact op met MKController-ondersteuning via WhatsApp.