Sari la conținut
MKController

Blueprint MKController — Configurare Automată

Rezumat Scriptul de adopție MKController instalează 8 componente pe dispozitivul dvs. MikroTik: un certificat OpenVPN, un profil VPN, un tunel OpenVPN către serverele MKController, o regulă de firewall care permite accesul gateway-ului VPN, un planificator de monitorizare, un cont de utilizator gestionat, o regulă de prioritate pentru firewall și porturi de servicii activate restricționate la tunelul VPN. Această pagină explică fiecare componentă și ce se întâmplă dacă este eliminată.

Ce instalează scriptul de adopție MKController pe MikroTik?

Scriptul de adopție MKController este un scurt program RouterOS care stabilește o conexiune sigură și criptată între dispozitivul dvs. MikroTik și infrastructura cloud MKController. Când îl rulați, creează exact 8 componente pe dispozitiv — nu mai multe. Înțelegerea fiecărei componente vă ajută să mențineți conexiunea, să depanați problemele și să luați decizii informate despre configurația RouterOS.

Cerințe

Este necesară RouterOS versiunea 6.39 sau superioară. Pentru lista completă a versiunilor acceptate, consultați Versiuni RouterOS acceptate.

Componenta 1: Certificat OpenVPN

Un certificat OpenVPN este descărcat și salvat în sistemul de fișiere MikroTik, apoi importat în magazia de certificate a dispozitivului.

Puteți verifica în: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Acest certificat autentifică dispozitivul la serverul VPN MKController. Fără el, conexiunea VPN nu poate fi stabilită.

Componenta 2: Profil VPN

Este creat un profil PPP cu criptarea activată. Acest profil este folosit de tunelul VPN creat în Componenta 3.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Componenta 3: Tunel OpenVPN Client

Folosind certificatul de la Componenta 1 și profilul de la Componenta 2, este creată o interfață OpenVPN client. Se conectează spre exterior la ovpn.mkcontroller.com pe portul 443 folosind cipher AES-256 și autentificare SHA-1.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Acest tunel este ceea ce activează toate funcțiile cloud: acces la distanță, backup-uri, monitorizare și apeluri API — fără a necesita porturi de intrare deschise pe router.

Componenta 4: Regulă Firewall Input

Este creată o singură regulă de firewall care permite adresei gateway-ului VPN (10.8.0.1) să acceseze MikroTik prin tunel.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Doar această adresă IP — serverul VPN MKController — câștigă acces. Niciun alt IP extern nu este pe lista albă.

Componenta 5: Planificator de Monitorizare

Un script de planificator RouterOS rulează la fiecare 90 de secunde și trimite date despre sănătatea dispozitivului către MKController: utilizarea CPU, consumul de RAM, spațiul pe disc și temperatura (pe modelele acceptate).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Aceste date populează cardurile de dispozitiv în timp real și rapoartele de disponibilitate de pe dashboard-ul MKController.

Componenta 6: Cont de utilizator MKController

Un utilizator cu acces complet este creat pe MikroTik. Acest cont este folosit pentru toate comunicările API între MKController și dispozitiv. Parola sa se rotește automat și frecvent pentru a preveni atacurile brute-force.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Puteți vedea acest utilizator în: System → Users (apare ca un nume de tip UUID).

Componenta 7: Prioritatea Regulii de Firewall

Regula de firewall din Componenta 4 este mutată în partea de sus a lanțului input, asigurând că accesul MKController nu este blocat de alte reguli adăugate ulterior.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Componenta 8: Activarea Porturilor de Servicii

Cinci porturi de servicii RouterOS sunt activate și accesul lor este restricționat la adresa gateway-ului VPN 10.8.0.1 — ceea ce înseamnă că doar MKController (prin tunelul VPN) le poate accesa. Dacă un port era deja deschis, 10.8.0.1 este adăugat la lista de adrese permise fără a elimina intrările existente.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Puteți verifica stările serviciilor în: IP → Services

Ce se întrerupe dacă un serviciu este dezactivat?

ServiciuDacă este dezactivat, acest lucru se întrerupe
www (WebFig)Acces WebFig la distanță în aplicația web și mobilă MKController
winboxAcces Winbox la distanță în aplicația desktop MKController
sshCrearea de backup-uri, încărcare/descărcare de fișiere, execuția scripturilor
apiToate funcțiile API, inclusiv Walled Garden, Voucher și Public API
ftpOperațiuni cu sistemul de fișiere: integrare FTP, listare fișiere, încărcare fișiere în lot

Întrebări despre scriptul de adopție sau comportamentul componentelor? Contactați suportul MKController pe WhatsApp.