Skip to content
MKController

Načrt MKControllerja na vaši napravi

Povzetek

Ko sprejmete napravo v MKController, morate na Mikrotik prekopirati skripto. Namen tega gradiva je pojasniti, kaj skripta počne na vašem Mikrotiku in kaj se zgodi, če odstranite nekatere pravila.

UniFiControllerLogo.

Osnovne zahteve

RouterOS mora biti različice 6.39 ali novejši.

1. Certifikat

  • OVPN certifikat, ki se bo uporabljal za OVPN povezavo, je shranjen v datotečnem sistemu

  • Certifikat je uvožen v Mikrotik. Dostopen je v meniju Sistem -> Certifikati

Ukaz:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Ustvarjanje profila

  • Ustvarjeno je pravilo profila, ki se bo uporabljalo v VPN

Ukaz:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN odjemalec tunel

Certifikat iz koraka 1 in profil iz koraka 2 se zdaj uporabita za vzpostavitev OVPN povezave s strežnikom ovpn.mkcontroller.com

Ukaz:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Požarni zid

Ustvari se pravilo požarnega zidu, ki zagotavlja, da ima VPN prehod (10.8.0.1) dostop do Mikrotik preko tunela, ustvarjenega v koraku 3

Ukaz:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Nadzor

V Mikrotiku se ustvari skripta za nadzor, ki pošilja podatke, kot so obremenitev CPU, uporaba diska, poraba pomnilnika itd.

Ukaz:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO]” comment=”MKController”

6. Uporabnik na Mikrotiku

V Mikrotiku se ustvari uporabnik z administratorskimi pravicami, ki ga upravlja komunikacija med MKController in Mikrotikom. Geslo tega uporabnika se pogosto spreminja, da prepreči napade z grobo silo

Ukaz:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prednost

Pravilo iz koraka 5 je postavljeno na začetek seznama, kar zagotavlja dostop MKController do naprave, tudi če obstajajo druga pravila za zavrnitev

Ukaz:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Aktivacija vrat

  • Aktivirana so vrata [webfig], ssh, api, [winbox] in [ftp]
  • Če so vrata zaprta, se aktivirajo z dovoljenjem za uporabo naslova 10.8.0.1, kar zagotavlja, da lahko dostopa le OVPN
  • Če so vrata odprta, se naslov 10.8.0.1 doda na seznam dovoljenih za dostop
  • Vse storitve lahko preverite v IP -> Services

Ukazi:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Kaj se zgodi, če je posamezna storitev zaprta.

  • [www storitev] – povezava webfig ne bo delovala prek spleta ali mobilne aplikacije;

  • [winbox storitev] – povezava winbox ne bo delovala prek spleta ali mobilne aplikacije;

  • [ssh storitev] – varnostne kopije, prenos in nalaganje datotek ne bodo delovali;

  • api storitev – javni API sistema, kot je walled garden, ne bo deloval
    (Polna dokumentacija na https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp storitev] – funkcionalnosti datotečnega sistema, kot so ftp integracija, prikaz datotek in množično nalaganje datotek, ne bodo delovale

Dostop tukaj