Перейти к содержимому
MKController

MikroTik Config Blueprint

Кратко Скрипт подключения MKController устанавливает на ваше устройство MikroTik 8 компонентов: сертификат OpenVPN, профиль VPN, OpenVPN-туннель к серверам MKController, правило фаервола, разрешающее доступ через VPN-шлюз, планировщик мониторинга, управляемую учётную запись пользователя, правило приоритета фаервола и активированные сервисные порты, ограниченные VPN-туннелем. На этой странице описан каждый компонент и что перестанет работать при его удалении.

Что устанавливает скрипт подключения MKController на MikroTik?

Скрипт подключения MKController — это короткая программа на RouterOS, которая устанавливает безопасное зашифрованное соединение между вашим устройством MikroTik и облачной инфраструктурой MKController. При его выполнении на устройстве создаётся ровно 8 компонентов — не больше и не меньше. Понимание каждого из них поможет поддерживать соединение, устранять неполадки и принимать обоснованные решения относительно конфигурации RouterOS.

Требования

Необходима версия RouterOS 6.39 или выше. Полный список поддерживаемых версий см. в разделе Поддерживаемые версии RouterOS.

Компонент 1: Сертификат OpenVPN

Сертификат OpenVPN загружается и сохраняется в файловой системе MikroTik, а затем импортируется в хранилище сертификатов устройства.

Проверить его можно в разделе: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Этот сертификат используется для аутентификации устройства на VPN-сервере MKController. Без него VPN-соединение установить невозможно.

Компонент 2: VPN-профиль

Создаётся PPP-профиль с включённым шифрованием. Этот профиль используется VPN-туннелем, который создаётся в Компоненте 3.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Компонент 3: Клиентский туннель OpenVPN

С использованием сертификата из Компонента 1 и профиля из Компонента 2 создаётся клиентский интерфейс OpenVPN. Он устанавливает исходящее соединение с ovpn.mkcontroller.com на порт 443 с использованием шифра AES-256 и аутентификации SHA-1.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Именно этот туннель обеспечивает работу всех облачных возможностей: удалённого доступа, резервного копирования, мониторинга и вызовов API — без необходимости открывать какие-либо входящие порты на вашем роутере.

Компонент 4: Правило фаервола для входящего трафика

Создаётся одно правило фаервола, которое разрешает адресу VPN-шлюза (10.8.0.1) обращаться к MikroTik через туннель.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Доступ получает только этот IP-адрес — VPN-сервер MKController. Никакие другие внешние IP-адреса в белый список не добавляются.

Компонент 5: Планировщик мониторинга

Скрипт-планировщик RouterOS запускается каждые 90 секунд и отправляет в MKController данные о состоянии устройства: загрузку CPU, использование оперативной памяти, объём дискового пространства и температуру (на поддерживаемых моделях).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Эти данные заполняют карточки устройств в реальном времени и отчёты о доступности на панели управления MKController.

Компонент 6: Учётная запись пользователя MKController

На MikroTik создаётся пользователь с полным доступом. Эта учётная запись используется для всего API-взаимодействия между MKController и устройством. Её пароль автоматически и часто меняется для защиты от атак методом перебора.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Этого пользователя можно увидеть в разделе: System → Users (он отображается с именем в формате UUID).

Компонент 7: Приоритет правила фаервола

Правило фаервола из Компонента 4 перемещается в начало цепочки input, что гарантирует доступ MKController к устройству независимо от других правил, добавленных позже.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Компонент 8: Активация сервисных портов

Активируются пять сервисных портов RouterOS, и доступ к ним ограничивается адресом VPN-шлюза 10.8.0.1 — то есть подключаться к ним может только MKController (через VPN-туннель). Если порт уже был открыт, адрес 10.8.0.1 добавляется в его список разрешённых адресов без удаления существующих записей.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Состояние служб можно проверить в разделе: IP → Services

Что перестанет работать при отключении службы?

СлужбаЧто перестанет работать при отключении
www (WebFig)Удалённый доступ к WebFig в веб- и мобильном приложении MKController
winboxУдалённый доступ через Winbox в десктопном приложении MKController
sshСоздание резервных копий, загрузка/скачивание файлов, выполнение скриптов
apiВсе API-функции, включая Walled Garden, Voucher и Public API
ftpОперации с файловой системой: FTP-интеграция, просмотр списка файлов, массовая загрузка файлов

Остались вопросы о скрипте подключения или поведении компонентов? Свяжитесь с поддержкой MKController в WhatsApp.