Przejdź do głównej zawartości
MKController

Schemat MKController na Twoim Urządzeniu

Podsumowanie

Podczas adopcji urządzenia w MKController musisz skopiować skrypt do swojego Mikrotika. Cel tego materiału to wyjaśnienie, co skrypt robi na Twoim Mikrotiku i co się stanie, jeśli usuniesz niektóre reguły.

UniFiControllerLogo.

Podstawowe wymagania

RouterOS musi mieć wersję 6.39 lub wyższą.

1. Certyfikat

  • Certyfikat ovpn używany do połączenia ovpn jest zapisany w systemie plików

  • Certyfikat jest importowany do Mikrotika. Można go znaleźć w menu System -> Certificates

Polecenie:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Utworzenie profilu

  • Tworzona jest reguła profilu, która będzie używana w VPN

Polecenie:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. Tunel klienta VPN

Certyfikat z kroku 1 oraz profil z kroku 2 służą teraz do utworzenia połączenia ovpn z serwerem ovpn.mkcontroller.com

Polecenie:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Zapora sieciowa (Firewall)

Tworzona jest reguła firewalla, która zapewnia, że brama VPN (10.8.0.1) ma dostęp do Mikrotika przez tunel z kroku 3

Polecenie:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Monitorowanie

W Mikrotiku tworzony jest skrypt monitorujący, który wysyła dane takie jak zużycie CPU, dysku, pamięci itp.

Polecenie:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Użytkownik na Mikrotiku

Tworzony jest użytkownik Mikrotik z uprawnieniami administratora, którym zarządza komunikacja między MKController a Mikrotikiem. Hasło tego użytkownika jest często zmieniane, aby zapobiec atakom brute force

Polecenie:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Priorytet

Reguła stworzona w kroku 5 jest umieszczana na pierwszym miejscu na liście, co gwarantuje, że MKController ma dostęp do urządzenia nawet, jeśli istnieją inne reguły blokujące

Polecenie:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Aktywacja portów

  • Porty [webfig], ssh, api, [winbox] oraz [ftp] są aktywowane
  • Jeśli port jest zamknięty, zostanie aktywowany z zezwoleniem dla adresu 10.8.0.1, co gwarantuje dostęp wyłącznie przez ovpn
  • Jeśli port jest otwarty, adres 10.8.0.1 zostanie dodany do listy dozwolonych adresów
  • Wszystkie usługi można sprawdzić w IP -> Services

Polecenia:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Co się stanie, jeśli usługa jest zamknięta.

  • [usługa www] – połączenie webfig nie będzie działać przez przeglądarkę ani aplikację mobilną;

  • [usługa winbox] – połączenie winbox nie będzie działać przez web ani aplikację mobilną;

  • [usługa ssh] – usługi tworzenia kopii zapasowej, przesyłania i pobierania plików przestaną działać;

  • usługa api– publiczne API systemu, jak walled garden, przestanie działać
    (Pełna dokumentacja pod https://app.mkcontroller.com/mkcontroller-puclic/);

  • [usługa ftp] – funkcje systemu plików takie jak integracja ftp, przeglądanie plików i przesyłanie wsadowe nie będą działać

Zaloguj się tutaj