Bỏ qua nội dung
MKController

Bản Thiết Kế MKController Trên Thiết Bị Của Bạn

Tóm tắt

Khi bạn áp dụng một thiết bị cho MKController, bạn cần sao chép một script vào Mikrotik. Mục đích tài liệu này là giải thích script làm gì trên Mikrotik và những gì xảy ra nếu bạn xóa các luật.

UniFiControllerLogo.

Yêu cầu cơ bản

RouterOS phải là phiên bản 6.39 trở lên.

1. Chứng chỉ

  • Chứng chỉ ovpn được dùng cho kết nối ovpn được lưu trên hệ thống file

  • Chứng chỉ được nhập vào Mikrotik. Có thể truy cập trong menu System -> Certificates

Lệnh:

/certificate import file-name=”[ID DO CERTIFICADO]” passphrase=””

2. Tạo hồ sơ

  • Tạo một hồ sơ profile, sẽ được dùng trong VPN

Lệnh:

/ppp profile add name=”[ID DO PROFILE]” use-encryption=yes comment=”MKController”

3. Kết nối VPN Client

Chứng chỉ của bước 1 và hồ sơ của bước 2 được dùng để tạo kết nối ovpn tới máy chủ ovpn.mkcontroller.com

Lệnh:

interface ovpn-client add connect-to=”ovpn.mkcontroller.com” user=”[ID DO USUARIO]” auth=sha1 cipher=aes256 certificate=”[ID DO CERTIFICADO]” port=443 profile=”[ID DO PROFILE” name=”MKController” comment=”MKController”

4. Tường lửa (Firewall)

Tạo luật tường lửa đảm bảo cổng VPN (10.8.0.1) có quyền truy cập Mikrotik qua tunnel được tạo ở bước 3

Lệnh:

/ip firewall filter add chain=input action=accept src-address=”10.8.0.1″ priority=0 comment=”MKController”

5. Giám sát

Tạo script giám sát trên Mikrotik gửi dữ liệu như CPU, dung lượng ổ đĩa, bộ nhớ, v.v.

Lệnh:

/system scheduler add name=”resources-1d9ca987″ interval=”90″ on-event=”[EVENTO] comment=”MKController”

6. Người dùng trên Mikrotik

Tạo người dùng trên Mikrotik với quyền admin, dùng để quản lý giao tiếp giữa MKController và Mikrotik. Mật khẩu người dùng này sẽ được thay đổi thường xuyên để ngăn tấn công brute force

Lệnh:

/user add name=”[ID do usuario]” group=full password=”[Senha temporaria]”

7. Ưu tiên

Luật tạo ở bước 5 được đặt lên đầu danh sách, đảm bảo MKController luôn truy cập thiết bị ngay cả khi có các luật từ chối khác

Lệnh:

:do {

:local n [/ip firewall filter find where comment=”MKController”];/ip firewall filter move numbers=$n destination=0

} on-error {

8. Kích hoạt cổng

  • Các cổng [webfig], ssh, api, [winbox] và [ftp] được kích hoạt
  • Nếu cổng đóng, nó sẽ được bật với quyền sử dụng địa chỉ 10.8.0.1, đảm bảo chỉ ovpn có thể truy cập
  • Nếu cổng mở, địa chỉ 10.8.0.1 sẽ được thêm vào danh sách quyền truy cập
  • Tất cả dịch vụ có thể kiểm tra trong IP -> Services

Lệnh:

/ip service enable www; /ip service set www address=”10.8.0.1″

/ip service enable winbox; /ip service set winbox address=”10.8.0.1″

/ip service enable ssh; /ip service set ssh address=”10.8.0.1″

/ip service enable api; /ip service set api address=”10.8.0.1″

/ip service enable ftp; /ip service set ftp address=”10.8.0.1″

Điều gì xảy ra nếu từng dịch vụ bị đóng.

  • [Dịch vụ www] – Kết nối webfig sẽ không hoạt động qua web hoặc ứng dụng di động;

  • [Dịch vụ winbox] – Kết nối winbox sẽ không hoạt động qua web hoặc ứng dụng di động;

  • [Dịch vụ ssh] – Sao lưu, tải lên và tải xuống file sẽ không hoạt động;

  • Dịch vụ api – API công cộng của hệ thống như walled garden sẽ không hoạt động
    (Tài liệu đầy đủ tại https://app.mkcontroller.com/mkcontroller-puclic/);

  • [Dịch vụ ftp] – Các tính năng hệ thống file như tích hợp ftp, liệt kê file và tải lên tập tin hàng loạt sẽ không hoạt động

Truy cập tại đây