Skip to content
MKController

โครงสร้าง MKController บนอุปกรณ์ของคุณ

สารบัญ

เมื่อคุณ adopt อุปกรณ์ที่ MKController จะต้องคัดลอกสคริปต์ไปยัง Mikrotik จุดประสงค์ของเนื้อหานี้คืออธิบายว่าสคริปต์ทำงานอย่างไรบน Mikrotik และผลลัพธ์หากลบกฎบางอย่าง

UniFiControllerLogo.

ข้อกำหนดพื้นฐาน

RouterOS ต้องเป็นเวอร์ชัน 6.39 ขึ้นไป

1. ใบรับรอง (Certificate)

  • ใบรับรอง ovpn ที่ใช้สำหรับการเชื่อมต่อ ovpn จะถูกบันทึกไว้ในระบบไฟล์

  • ใบรับรองจะถูกนำเข้าไปใน Mikrotik สามารถเข้าได้ที่เมนู System -> Certificates

คำสั่ง:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. การสร้างโปรไฟล์

  • สร้างกฎโปรไฟล์ที่จะใช้ใน VPN

คำสั่ง:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. การสร้างช่องเชื่อมต่อ VPN Client

ใบรับรองจากขั้นตอนที่ 1 และโปรไฟล์จากขั้นตอนที่ 2 จะถูกใช้สร้างการเชื่อมต่อ ovpn กับเซิร์ฟเวอร์ ovpn.mkcontroller.com

คำสั่ง:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. กำแพงไฟร์วอลล์ (Firewall)

สร้างกฎไฟร์วอลล์เพื่อให้ gateway vpn (10.8.0.1) เข้าถึง Mikrotik ผ่านช่องทางที่สร้างในขั้นตอนที่ 3 ได้

คำสั่ง:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. การตรวจสอบ (Monitoring)

สร้างสคริปต์ตรวจสอบใน Mikrotik เพื่อส่งข้อมูล เช่น การใช้ CPU, การใช้ดิสก์, การใช้หน่วยความจำ ฯลฯ

คำสั่ง:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. ผู้ใช้บน Mikrotik

สร้างผู้ใช้ใน Mikrotik พร้อมสิทธิ์ผู้ดูแลระบบ เพื่อใช้ในการสื่อสารระหว่าง MKController และ Mikrotik รหัสผ่านของผู้ใช้จะถูกเปลี่ยนบ่อย ๆ เพื่อป้องกันการโจมตีแบบ brute force

คำสั่ง:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. ลำดับความสำคัญ (Priority)

กฎที่สร้างในขั้นตอนที่ 5 จะถูกวางไว้ก่อนในรายการ เพื่อให้แน่ใจว่า MKController สามารถเข้าถึงอุปกรณ์ได้แม้ว่าจะมีการปฏิเสธอื่น ๆ

คำสั่ง:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. การเปิดใช้งานพอร์ต

  • พอร์ต [webfig], ssh, api, [winbox] และ [ftp] จะถูกเปิดใช้งาน
  • หากพอร์ตปิด จะเปิดใช้งานโดยอนุญาตให้ใช้ที่อยู่ 10.8.0.1 เท่านั้น เพื่อให้ ovpn สามารถเข้าถึงได้
  • หากพอร์ตเปิดอยู่ จะเพิ่มที่อยู่ 10.8.0.1 ลงในรายการสิทธิ์การเข้าถึง
  • สามารถตรวจสอบบริการทั้งหมดใน IP -> Services

คำสั่ง:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

ผลที่เกิดขึ้นหากแต่ละบริการถูกปิด

  • [บริการ www] – การเชื่อมต่อ webfig จะไม่ทำงานผ่านเว็บหรือแอปมือถือ;

  • [บริการ winbox] – การเชื่อมต่อ winbox จะไม่ทำงานผ่านเว็บหรือแอปมือถือ;

  • [บริการ ssh] – บริการสำรองข้อมูล การอัปโหลดและดาวน์โหลดไฟล์จะไม่ทำงาน;

  • บริการ api – API สาธารณะของระบบ เช่น walled garden จะไม่ทำงาน
    (เอกสารฉบับเต็มที่ https://app.mkcontroller.com/mkcontroller-puclic/);

  • [บริการ ftp] – ฟังก์ชันของระบบไฟล์จะไม่ทำงาน เช่น การผสาน ftp, การแสดงรายการไฟล์ และการอัปโหลดไฟล์เป็นชุด

เข้าถึงที่นี่