Preskočiť na obsah
MKController

Návrh MKController na vašom zariadení

Zhrnutie

Keď adoptujete zariadenie v MKController, musíte skopírovať skript do vášho Mikrotiku. Cieľom tohto materiálu je vysvetliť, čo skript robí na vašom Mikrotiku a čo sa stane, ak odstránite niektoré pravidlá.

UniFiControllerLogo.

Základné požiadavky

RouterOS musí byť vo verzii 6.39 alebo vyššej.

1. Certifikát

  • OVPN certifikát, ktorý sa použije pre OVPN pripojenie, je uložený v súborovom systéme

  • Certifikát je importovaný do Mikrotiku. Prístupný je cez menu Systém -> Certifikáty

Príkaz:

/certificate import file-name=”[ID DO CERTIFIKÁTU]” passphrase=””

2. Vytvorenie profilu

  • Vytvorí sa pravidlo profilu, ktoré bude využité vo VPN

Príkaz:

/ppp profile add name=”[ID PROFILU]” use-encryption=yes comment=”MKController”

3. VPN klient tunel

Certifikát zo kroku 1 a profil z kroku 2 sa teraz použijú na vytvorenie OVPN spojenia so serverom ovpn.mkcontroller.com

Príkaz:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID POUŽÍVATEĽA]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFIKÁTU]” port=443 profile=”[ID PROFILU” name=”MKController” comment=”MKController”

4. Firewall

Vytvorí sa pravidlo firewallu, ktoré zabezpečí, že VPN brána (10.8.0.1) má prístup k Mikrotiku cez tunel vytvorený v kroku 3

Príkaz:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Monitorovanie

V Mikrotiku sa vytvorí monitorovací skript, ktorý odosiela dáta ako využitie CPU, disku, pamäte a podobne.

Príkaz:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[UDALOSŤ] comment=”MKController”

6. Používateľ v Mikrotiku

V Mikrotiku sa vytvorí používateľ s administrátorskými právami, ktorého správa prebieha v komunikácii medzi MKController a Mikrotikom. Heslo tohto používateľa sa pravidelne mení, aby sa zabránilo brute force útokom.

Príkaz:

/user add name=”[ID používateľa]” group=full password=”[Dočasné heslo]”

7. Priorita

Pravidlo vytvorené v kroku 5 sa umiestni ako prvé v zozname, čím sa zabezpečí, že MKController má prístup k zariadeniu aj pri existencii iných blokovacích pravidiel.

Príkaz:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Aktivácia portov

  • Porty [webfig], ssh, api, [winbox] a [ftp] sú aktivované
  • Ak je port uzavretý, aktivuje sa s povolením používať adresu 10.8.0.1, čím sa zaistí prístup iba cez OVPN
  • Ak je port otvorený, adresa 10.8.0.1 sa pridá do zoznamu povolených prístupov
  • Všetky služby sú dostupné v IP -> Služby

Príkazy:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Čo sa stane, ak je služba uzavretá.

  • [www služba] – webfig spojenie nebude fungovať cez web alebo mobilnú aplikáciu;

  • [winbox služba] – winbox spojenie nebude fungovať cez web alebo mobilnú aplikáciu;

  • [ssh služba] – zálohovacie služby, nahrávanie a sťahovanie súborov nebude fungovať;

  • api služba – verejné API systému, napríklad walled garden, nebude fungovať
    (Plná dokumentácia na https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp služba] – funkcie súborového systému ako FTP integrácia, zoznamy súborov a hromadné nahrávanie súborov nebudú fungovať

Prístup tu