Blueprint MKController
Integração do MikroTik com a MKController
Quando você adota um dispositivo na MKController, é necessário copiar um script para seu MikroTik.
Este guia explica o que o script faz e o que pode acontecer se algumas regras forem removidas.
Requisitos Básicos
- O RouterOS deve estar na versão 6.39 ou superior.
1 – Certificado
- O certificado OVPN que será utilizado na conexão é salvo no sistema de arquivos do MikroTik.
- Em seguida, ele é importado e pode ser acessado via
System → Certificates.
Comando:
/certificate import file-name="[ID_DO_CERTIFICADO]" passphrase=""2 – Criação do Profile (Perfil)
- Um perfil PPP é criado para ser utilizado na conexão VPN.
Comando:
/ppp profile add name="[ID_DO_PROFILE]" use-encryption=yes comment="MKController"3 – Cliente VPN
- O certificado do passo 1 e o perfil do passo 2 são utilizados para criar uma conexão OVPN com o servidor da MKController.
Comando:
/interface ovpn-client add \ connect-to="ovpn.mkcontroller.com" \ user="[ID_DO_USUARIO]" \ auth=sha1 cipher=aes256 \ certificate="[ID_DO_CERTIFICADO]" \ port=443 \ profile="[ID_DO_PROFILE]" \ name="MKController" \ comment="MKController"4 – Regra de Firewall
- É criada uma regra de firewall para permitir que o gateway da VPN (
10.8.0.1) acesse o MikroTik pelo túnel.
Comando:
/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"5 – Script de Monitoramento
- Um agendador é criado para enviar dados como uso de CPU, disco, memória etc.
Comando:
/system scheduler add name="resources-1d9ca987" interval=90 on-event="[EVENTO]" comment="MKController"6 – Usuário no MikroTik
- É criado um usuário com permissão total para gerenciar a comunicação com a MKController.
- A senha é rotacionada automaticamente para proteger contra ataques de força bruta.
Comando:
/user add name="[ID_DO_USUARIO]" group=full password="[SENHA_TEMPORARIA]"7 – Prioridade da Regra de Firewall
- A regra de firewall da MKController é movida para o topo da lista, garantindo prioridade.
Comando:
:do { :local n [/ip firewall filter find where comment="MKController"]; /ip firewall filter move numbers=$n destination=0} on-error {}8 – Ativação de Serviços e Portas
- Os serviços
webfig,winbox,ssh,apieftpsão ativados com permissão de acesso apenas para10.8.0.1.
Comandos:
/ip service enable www; /ip service set www address="10.8.0.1"/ip service enable winbox; /ip service set winbox address="10.8.0.1"/ip service enable ssh; /ip service set ssh address="10.8.0.1"/ip service enable api; /ip service set api address="10.8.0.1"/ip service enable ftp; /ip service set ftp address="10.8.0.1"🔒 O que acontece se um serviço estiver desativado?
| Serviço | Consequência |
|---|---|
| www | O acesso via WebFig (web ou mobile) não funcionará |
| winbox | O acesso remoto via Winbox pela MKController será bloqueado |
| ssh | Recursos como backup remoto e transferência de arquivos deixarão de funcionar |
| api | A API pública da MKController deixará de funcionar (documentação) |
| ftp | Não será possível listar arquivos, nem realizar uploads em lote |