Перейти к содержимому
MKController

План MKController на вашем устройстве

Кратко

При подключении устройства в MKController необходимо скопировать скрипт на Mikrotik. Цель этого материала — объяснить, что делает скрипт на вашем Mikrotik и что произойдет при удалении некоторых правил.

UniFiControllerLogo.

Основные требования

RouterOS должен быть версии 6.39 или выше.

1. Сертификат

  • OVPN-сертификат, который будет использоваться для подключения ovpn, сохранён в файловой системе

  • Сертификат импортирован в Mikrotik. Доступен через меню System -> Certificates

Команда:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Создание профиля

  • Создаётся профиль, который будет использоваться для VPN

Команда:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN клиентский туннель

Сертификат из шага 1 и профиль из шага 2 используются для создания ovpn-подключения к серверу ovpn.mkcontroller.com

Команда:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Фаервол

Создаётся правило фаервола, гарантирующее доступ шлюза VPN (10.8.0.1) к Mikrotik через туннель, созданный на шаге 3

Команда:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Мониторинг

В Mikrotik создаётся скрипт мониторинга, отправляющий данные, такие как загрузка CPU, диска, памяти и др.

Команда:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Пользователь в Mikrotik

В Mikrotik создаётся пользователь с правами администратора, управляющийся через связь MKController и Mikrotik. Пароль пользователя регулярно меняется для защиты от brute force атак

Команда:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Приоритет

Правило, созданное на шаге 5, помещается в начало списка, обеспечивая MKController доступ к устройству даже при наличии других правил блокировки

Команда:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Активация портов

  • Порты [webfig], ssh, api, [winbox] и [ftp] активируются
  • Если порт закрыт, он активируется с разрешением доступа только для адреса 10.8.0.1, чтобы только ovpn имел доступ
  • Если порт открыт, адрес 10.8.0.1 добавляется в список разрешённых
  • Все службы можно проверить по пути IP -> Services

Команды:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Что произойдет, если службы закрыты.

  • [www service] – соединение webfig не будет работать через веб или мобильное приложение;

  • [winbox service] – соединение winbox не будет работать через веб или мобильное приложение;

  • [ssh service] – резервное копирование, загрузка и скачивание файлов будут недоступны;

  • api service – публичный API системы, например, walled garden, не будет работать
    (Полная документация на https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp service] – функционал файловой системы, такой как интеграция ftp, просмотр файлов и массовая загрузка будут недоступны

Доступ здесь