Sari la conținut
MKController

Schema de funcționare MKController pe dispozitivul tău

Sumariu

Când adopți un dispozitiv pe MKController trebuie să copiezi un script în Mikrotik. Scopul acestui material este să explice ce face scriptul pe Mikrotik și ce se întâmplă dacă elimini unele reguli.

UniFiControllerLogo.

Cerințe de bază

RouterOS trebuie să fie versiunea 6.39 sau mai nouă.

1. Certificat

  • Certificatul ovpn folosit pentru conexiunea ovpn este salvat în sistemul de fișiere

  • Certificatul este importat în Mikrotik. Se accesează prin meniul System -> Certificates

Comandă:

/certificate import file-name=”[ID-ul CERTIFICATULUI]” passphrase=””

2. Crearea profilului

  • Se creează o regulă de profil ce va fi folosită în VPN

Comandă:

/ppp profile add name=”[ID-ul PROFILULUI]” use-encryption=yes comment=”MKController”

3. Clientul VPN Tunnel

Certificatul din pasul 1 și profilul din pasul 2 sunt folosite pentru a crea o conexiune ovpn către serverul ovpn.mkcontroller.com

Comandă:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID-ul UTILIZATORULUI]” auth=sha1 cipher=aes256 certificate=”[ID-ul CERTIFICATULUI]” port=443 profile=”[ID-ul PROFILULUI]” name=”MKController” comment=”MKController”

4. Firewall

Se creează o regulă de firewall care permite gateway-ului VPN (10.8.0.1) accesul la Mikrotik prin tunelul creat în pasul 3

Comandă:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Monitorizare

Se creează un script de monitorizare pe Mikrotik pentru a trimite date precum utilizarea CPU, spațiu pe disc, memorie etc.

Comandă:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTUL] comment=”MKController”

6. Utilizator pe Mikrotik

Se creează un utilizator pe Mikrotik cu permisiuni de administrator, gestionat în comunicarea dintre MKController și Mikrotik. Parola acestui utilizator este schimbată frecvent pentru a preveni atacurile brute force

Comandă:

/user add name=”[ID-ul utilizatorului]” group=full password=”[Parolă temporară]”

7. Prioritate

Regula creată în pasul 5 este mutată prima în listă, asigurând accesul MKController la dispozitiv chiar dacă există alte reguli de refuz

Comandă:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Activarea porturilor

  • Sunt activate porturile [webfig], ssh, api, [winbox] și [ftp]
  • Dacă portul este închis, va fi activat cu permisiunea de acces pentru adresa 10.8.0.1, asigurând acces doar prin ovpn
  • Dacă portul este deschis, adresa 10.8.0.1 va fi adăugată în lista de permisiuni de acces
  • Toate serviciile pot fi verificate în IP -> Services

Comenzi:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Ce se întâmplă dacă fiecare serviciu este închis.

  • [serviciul www] – Conexiunea webfig nu va funcționa prin web sau aplicația mobilă;

  • [serviciul winbox] – Conexiunea winbox nu va funcționa prin web sau aplicația mobilă;

  • [serviciul ssh] – Serviciile de backup, încărcare și descărcare fișiere nu vor funcționa;

  • serviciul api – API-ul public al sistemului, cum ar fi walled garden, nu va funcționa
    (Documentație completă la https://app.mkcontroller.com/mkcontroller-puclic/);

  • [serviciul ftp] – Funcționalitățile sistemului de fișiere, precum integrarea ftp, listarea fișierelor și încărcarea loturilor nu vor funcționa

Accesează aici