Перейти до вмісту
MKController

Схема MKController на вашому пристрої

Коротко

Під час підключення пристрою до MKController ви копіюєте скрипт на Mikrotik. Цей матеріал пояснює, що виконує цей скрипт і що станеться при видаленні правил.

UniFiControllerLogo.

Основні вимоги

RouterOS повинен бути версії 6.39 або вище.

1. Сертифікат

  • OVPN-сертифікат, який буде використовуватись для OVPN-з’єднання, збережено у файловій системі.

  • Сертифікат імпортується в Mikrotik. Доступ через меню System -> Certificates.

Команда:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Створення профілю

  • Створюється профіль, що використовуватиметься у VPN.

Команда:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. VPN-клієнтський тунель

Сертифікат зі кроку 1 і профіль зі кроку 2 використовуються для створення OVPN-з’єднання з сервером ovpn.mkcontroller.com.

Команда:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Фаєрвол

Створюється правило фаєрволу, яке дозволяє шлюзу VPN (10.8.0.1) доступ до Mikrotik через тунель, створений на кроці 3.

Команда:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Моніторинг

Створюється скрипт моніторингу в Mikrotik для відправки даних про використання CPU, диску, пам’яті тощо.

Команда:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Користувач у Mikrotik

Створюється користувач з правами адміністратора для комунікації між MKController і Mikrotik. Пароль цього користувача регулярно змінюється для запобігання атакам методом підбору.

Команда:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Пріоритет

Правило, створене на кроці 5, розміщується на початку списку, щоб MKController мав доступ до пристрою навіть за наявності інших правил відмови.

Команда:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Активація портів

  • Активовані порти [webfig], ssh, api, [winbox] та [ftp].
  • Якщо порт закритий, він активується з дозволом доступу тільки з адреси 10.8.0.1, забезпечуючи доступ лише через OVPN.
  • Якщо порт відкритий, адреса 10.8.0.1 додається до списку дозволених.
  • Усі служби можна перевірити в IP -> Services.

Команди:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Що станеться при закритті кожної служби.

  • [www service] – Підключення webfig не працюватиме через веб або мобільний додаток;

  • [winbox service] – Підключення winbox не працюватиме через веб або мобільний додаток;

  • [ssh service] – Резервне копіювання, завантаження та скачування файлів не працюватимуть;

  • api service – Публічний API системи, наприклад walled garden, не працюватиме
    (Повна документація за адресою https://app.mkcontroller.com/mkcontroller-puclic/);

  • [ftp service] – Функції файлової системи, такі як інтеграція ftp, список файлів і пакетне завантаження, не працюватимуть.

Перейти сюди