Skip to content
MKController

โครงสร้าง MKController บนอุปกรณ์ของคุณ

สรุป สคริปต์การ adopt ของ MKController ติดตั้งส่วนประกอบ 8 รายการบนอุปกรณ์ MikroTik ของคุณ: ใบรับรอง OpenVPN, โปรไฟล์ VPN, อุโมงค์ OpenVPN ไปยังเซิร์ฟเวอร์ MKController, กฎไฟร์วอลล์อนุญาตการเข้าถึงเกตเวย์ VPN, ตัวกำหนดเวลาการมอนิเตอร์, บัญชีผู้ใช้ที่จัดการ, กฎไฟร์วอลล์แบบลำดับความสำคัญ และพอร์ตบริการที่เปิดใช้งานซึ่งจำกัดเฉพาะอุโมงค์ VPN หน้านี้จะอธิบายแต่ละส่วนประกอบและสิ่งที่จะหยุดทำงานหากถูกลบ

สคริปต์การ adopt ของ MKController ติดตั้งอะไรบนอุปกรณ์ MikroTik?

สคริปต์การ adopt ของ MKController เป็นโปรแกรม RouterOS สั้นๆ ที่สร้างการเชื่อมต่อที่ปลอดภัยและเข้ารหัสระหว่างอุปกรณ์ MikroTik ของคุณกับโครงสร้างพื้นฐานคลาวด์ของ MKController เมื่อคุณรัน มันจะสร้างส่วนประกอบ 8 รายการบนอุปกรณ์ — ไม่มากกว่านั้น การเข้าใจแต่ละส่วนประกอบช่วยให้คุณดูแลการเชื่อมต่อ แก้ไขปัญหา และตัดสินใจอย่างมีข้อมูลเกี่ยวกับการกำหนดค่า RouterOS ของคุณ

ข้อกำหนด

ต้องใช้ RouterOS เวอร์ชัน 6.39 หรือสูงกว่า สำหรับรายการเวอร์ชันที่รองรับเต็มรูปแบบ ดูที่ เวอร์ชัน RouterOS ที่รองรับ

ส่วนประกอบที่ 1: ใบรับรอง OpenVPN

ใบรับรอง OpenVPN จะถูกดาวน์โหลดและบันทึกลงในระบบไฟล์ของ MikroTik จากนั้นนำเข้าสู่ที่เก็บใบรับรองของอุปกรณ์

คุณสามารถตรวจสอบได้ที่: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

ใบรับรองนี้ตรวจสอบสิทธิ์อุปกรณ์กับเซิร์ฟเวอร์ VPN ของ MKController หากไม่มี ก็ไม่สามารถสร้างการเชื่อมต่อ VPN ได้

ส่วนประกอบที่ 2: โปรไฟล์ VPN

โปรไฟล์ PPP ถูกสร้างขึ้นโดยเปิดใช้งานการเข้ารหัส โปรไฟล์นี้ใช้โดยอุโมงค์ VPN ที่สร้างในส่วนประกอบที่ 3

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

ส่วนประกอบที่ 3: อุโมงค์ OpenVPN Client

โดยใช้ใบรับรองจากส่วนประกอบที่ 1 และโปรไฟล์จากส่วนประกอบที่ 2 อินเทอร์เฟซ OpenVPN client จะถูกสร้างขึ้น มันเชื่อมต่อขาออกไปยัง ovpn.mkcontroller.com บนพอร์ต 443 โดยใช้การเข้ารหัส AES-256 และการตรวจสอบสิทธิ์ SHA-1

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

อุโมงค์นี้เป็นสิ่งที่เปิดใช้งานฟีเจอร์คลาวด์ทั้งหมด: การเข้าถึงระยะไกล การสำรองข้อมูล การมอนิเตอร์ และการเรียก API — โดยไม่ต้องเปิดพอร์ตขาเข้าบนเราเตอร์ของคุณ

ส่วนประกอบที่ 4: กฎไฟร์วอลล์ Input

กฎไฟร์วอลล์เดียวถูกสร้างขึ้นที่อนุญาตให้ที่อยู่เกตเวย์ VPN (10.8.0.1) เข้าถึง MikroTik ผ่านอุโมงค์

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

เฉพาะที่อยู่ IP นี้ — เซิร์ฟเวอร์ VPN ของ MKController — เท่านั้นที่ได้รับสิทธิ์เข้าถึง ไม่มี IP ภายนอกอื่นใดอยู่ในรายการที่อนุญาต

ส่วนประกอบที่ 5: ตัวกำหนดเวลาการมอนิเตอร์

สคริปต์ตัวกำหนดเวลา RouterOS ทำงานทุก 90 วินาทีและส่งข้อมูลสุขภาพอุปกรณ์ไปยัง MKController: การใช้ CPU การใช้ RAM พื้นที่ดิสก์ และอุณหภูมิ (บนรุ่นที่รองรับ)

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

ข้อมูลนี้จะเติมการ์ดอุปกรณ์แบบเรียลไทม์และรายงานความพร้อมใช้งานบนแดชบอร์ด MKController

ส่วนประกอบที่ 6: บัญชีผู้ใช้ MKController

ผู้ใช้ที่มีสิทธิ์เต็มถูกสร้างขึ้นบน MikroTik บัญชีนี้ใช้สำหรับการสื่อสาร API ทั้งหมดระหว่าง MKController และอุปกรณ์ รหัสผ่านของบัญชีจะหมุนเวียนโดยอัตโนมัติและบ่อยครั้งเพื่อป้องกันการโจมตีแบบ brute-force

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

คุณสามารถเห็นผู้ใช้นี้ได้ที่: System → Users (จะปรากฏเป็นชื่อรูปแบบ UUID)

ส่วนประกอบที่ 7: ลำดับความสำคัญของกฎไฟร์วอลล์

กฎไฟร์วอลล์จากส่วนประกอบที่ 4 จะถูกย้ายไปยังด้านบนสุดของห่วงโซ่ input เพื่อให้แน่ใจว่าการเข้าถึงของ MKController จะไม่ถูกบล็อกโดยกฎอื่นๆ ที่เพิ่มในภายหลัง

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

ส่วนประกอบที่ 8: การเปิดใช้งานพอร์ตบริการ

พอร์ตบริการ RouterOS ห้ารายการถูกเปิดใช้งานและการเข้าถึงถูกจำกัดไปยังที่อยู่เกตเวย์ VPN 10.8.0.1 — หมายความว่าเฉพาะ MKController (ผ่านอุโมงค์ VPN) เท่านั้นที่สามารถเข้าถึงได้ หากพอร์ตเปิดอยู่แล้ว 10.8.0.1 จะถูกเพิ่มลงในรายการที่อยู่ที่อนุญาตโดยไม่ลบรายการที่มีอยู่

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

คุณสามารถตรวจสอบสถานะบริการได้ที่: IP → Services

อะไรจะหยุดทำงานหากปิดใช้งานบริการ?

บริการถ้าปิดใช้งาน สิ่งนี้จะหยุดทำงาน
www (WebFig)การเข้าถึง WebFig ระยะไกลในเว็บและแอปมือถือ MKController
winboxการเข้าถึง Winbox ระยะไกลในแอปเดสก์ท็อป MKController
sshการสร้างการสำรองข้อมูล การอัปโหลด/ดาวน์โหลดไฟล์ การดำเนินการสคริปต์
apiฟีเจอร์ API ทั้งหมดรวมถึง Walled Garden, Voucher และ Public API
ftpการดำเนินการระบบไฟล์: การผสาน FTP การแสดงรายการไฟล์ การอัปโหลดไฟล์เป็นชุด

มีคำถามเกี่ยวกับสคริปต์การ adopt หรือพฤติกรรมของส่วนประกอบ? ติดต่อทีมสนับสนุน MKController บน WhatsApp