Skip to content
MKController

Šema MKController-a na Vašem Uređaju

Rezime

Kada usvojite uređaj na MKController-u, morate kopirati skriptu na vaš Mikrotik. Cilj ovog materijala je objasniti šta skripta radi na vašem Mikrotiku i šta će se desiti ako uklonite neka pravila.

UniFiControllerLogo.

Osnovni Zahtevi

RouterOS mora biti verzije 6.39 ili novije.

1. Sertifikat

  • OVPN sertifikat koji će se koristiti za OVPN konekciju je sačuvan u fajl sistemu.

  • Sertifikat se uvozi u Mikrotik. Može mu se pristupiti preko menija Sistem -> Sertifikati.

Komanda:

/certificate import file-name=”[ID DO CERTIFICATO]” passphrase=””

2. Kreiranje Profila

  • Pravilo profila koje će se koristiti u VPN-u je kreirano.

Komanda:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN Klijent Tunel

Sertifikat iz koraka 1 i profil iz koraka 2 sada se koriste za kreiranje OVPN konekcije sa serverom ovpn.mkcontroller.com

Komanda:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICATO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Firewall

Kreirano je firewall pravilo koje osigurava da VPN gateway (10.8.0.1) ima pristup Mikrotiku preko tunela kreiranog u koraku 3

Komanda:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Praćenje

Na Mikrotiku je kreirana skripta za praćenje koja šalje podatke kao što su korišćenje CPU-a, disk prostora, memorije itd.

Komanda:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Korisnik na Mikrotiku

Na Mikrotiku je kreiran korisnik sa administratorskim privilegijama, kojim se upravlja u komunikaciji između MKController-a i Mikrotika. Lozinka ovog korisnika se često menja radi sprečavanja brute force napada.

Komanda:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prioritet

Pravilo kreirano u koraku 5 je postavljeno na početak liste, osiguravajući da MKController ima pristup uređaju čak i ako postoje druga pravila za odbijanje.

Komanda:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Aktivacija Portova

  • [webfig], ssh, api, [winbox] i [ftp] portovi su aktivirani
  • Ako je port zatvoren, biće aktiviran sa dozvolom pristupa za adresu 10.8.0.1, što osigurava da samo OVPN može pristupiti
  • Ako je port otvoren, adresa 10.8.0.1 biće dodata na listu dozvoljenih pristupa
  • Svi servisi se mogu proveriti u IP -> Services

Komande:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Šta se dešava ako je svaki servis zatvoren.

  • [www servis] – Webfig konekcija neće raditi preko web-a ili mobilne aplikacije;

  • [winbox servis] – Winbox konekcija neće raditi preko web-a ili mobilne aplikacije;

  • [ssh servis] – Backup servisi, slanje i preuzimanje fajlova neće raditi;

  • api servis – Javni API sistema, kao što je walled garden, neće raditi
    (Kompletna dokumentacija na https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp servis] – Funkcionalnosti fajl sistema kao što su ftp integracija, prikaz fajlova i masovno slanje fajlova neće raditi.

Pristupi ovde