Hoppa till innehåll
MKController

MKController - Översikt över enhetens funktioner

Sammanfattning

När du adopterar en enhet i MKController måste du kopiera ett skript till din Mikrotik. Syftet med detta material är att förklara vad skriptet gör på din Mikrotik och vad som händer om vissa regler tas bort.

UniFiControllerLogo.

Grundläggande krav

RouterOS måste vara version 6.39 eller högre.

1. Certifikat

  • OVPN-certifikatet som används för OVPN-anslutningen sparas i filsystemet.

  • Certifikatet importeras till Mikrotik. Det kan nås via System -> Certificates i menyn.

Kommando:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Profilskapande

  • En profilregel som används för VPN skapas.

Kommando:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN-klienttunnel

Certifikatet från steg 1 och profilen från steg 2 används nu för att skapa en OVPN-anslutning till servern ovpn.mkcontroller.com.

Kommando:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Brandvägg

En brandväggsregel skapas som säkerställer att VPN-gatewayen (10.8.0.1) har tillgång till Mikrotik via tunneln skapad i steg 3.

Kommando:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Övervakning

Ett övervakningsskript skapas i Mikrotik för att skicka data som CPU-användning, diskanvändning, minnesanvändning, etc.

Kommando:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Användare på Mikrotik

En användare skapas i Mikrotik med administratörsrättigheter, som hanteras i kommunikationen mellan MKController och Mikrotik. Denna användares lösenord ändras ofta för att förhindra brute force-attacker.

Kommando:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Prioritering

Regeln som skapades i steg 5 placeras först i listan för att säkerställa att MKController har tillgång till enheten även om andra avvisningsregler finns.

Kommando:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Portaktivering

  • Portarna för [webfig], ssh, api, [winbox] och [ftp] aktiveras.
  • Om porten är stängd aktiveras den med tillåtelse att använda adressen 10.8.0.1, så endast OVPN kan ansluta.
  • Om porten är öppen läggs adressen 10.8.0.1 till i listan över åtkomstbehörigheter.
  • Alla tjänster kan kontrolleras under IP -> Services.

Kommandon:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Vad händer om varje tjänst stängs av:

  • [www service] – Webfig-anslutningen fungerar inte via webb eller mobilapp;

  • [winbox service] – Winbox-anslutningen fungerar inte via webb eller mobilapp;

  • [ssh service] – Backup-tjänster, uppladdning och nedladdning av filer fungerar inte;

  • api service – Systemets publika API, som walled garden, fungerar inte
    (Full dokumentation finns på https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp service] – Filsystemfunktioner som ftp-integration, fil-listning och batchuppladdning av filer fungerar inte.

Åtkomst Här