Script Tiếp Nhận MikroTik — 8 Thành Phần

Tóm tắt Script tiếp nhận MKController cài 8 thành phần trên thiết bị MikroTik: chứng chỉ OpenVPN, hồ sơ VPN, tunnel OpenVPN đến máy chủ MKController, quy tắc tường lửa cho phép truy cập gateway VPN, bộ lập lịch giám sát, tài khoản người dùng được quản lý, quy tắc ưu tiên tường lửa, và các cổng dịch vụ được bật giới hạn trong tunnel VPN. Trang này giải thích từng thành phần và điều gì bị hỏng nếu xóa nó.

Script Tiếp Nhận MKController Cài Gì trên MikroTik?

Script tiếp nhận MKController là một chương trình RouterOS ngắn thiết lập kết nối an toàn, mã hóa giữa thiết bị MikroTik và cơ sở hạ tầng đám mây MKController. Khi chạy, nó tạo chính xác 8 thành phần trên thiết bị — không hơn không kém. Hiểu từng thành phần giúp bạn duy trì kết nối, khắc phục sự cố và đưa ra quyết định sáng suốt về cấu hình RouterOS.

Yêu Cầu

RouterOS phiên bản 6.39 trở lên là yêu cầu bắt buộc. Xem danh sách phiên bản được hỗ trợ đầy đủ tại Phiên Bản RouterOS Được Hỗ Trợ.

Thành Phần 1: Chứng Chỉ OpenVPN

Chứng chỉ OpenVPN được tải về và lưu vào hệ thống file MikroTik, sau đó nhập vào kho chứng chỉ của thiết bị.

Bạn có thể xác minh tại: System → Certificates

/certificate import file-name="[CERTIFICATE_ID]" passphrase=""

Chứng chỉ này xác thực thiết bị với máy chủ VPN MKController. Nếu không có nó, kết nối VPN không thể được thiết lập.

Thành Phần 2: Hồ Sơ VPN

Hồ sơ PPP được tạo với mã hóa được bật. Hồ sơ này được tunnel VPN trong Thành Phần 3 sử dụng.

/ppp profile add name="[PROFILE_ID]" use-encryption=yes comment="MKController"

Thành Phần 3: Tunnel Client OpenVPN

Sử dụng chứng chỉ từ Thành Phần 1 và hồ sơ từ Thành Phần 2, một interface client OpenVPN được tạo. Nó kết nối ra ngoài đến ovpn.mkcontroller.com trên cổng 443 dùng cipher AES-256 và xác thực SHA-1.

/interface ovpn-client add connect-to="ovpn.mkcontroller.com" user="[USER_ID]" auth=sha1 cipher=aes256 certificate="[CERTIFICATE_ID]" port=443 profile="[PROFILE_ID]" name="MKController" comment="MKController"

Tunnel này cho phép tất cả tính năng đám mây: truy cập từ xa, sao lưu, giám sát và các lệnh API — mà không cần bất kỳ cổng inbound nào mở trên router.

Thành Phần 4: Quy Tắc Tường Lửa Input

Một quy tắc tường lửa duy nhất được tạo cho phép địa chỉ gateway VPN (10.8.0.1) truy cập MikroTik qua tunnel.

/ip firewall filter add chain=input action=accept src-address="10.8.0.1" priority=0 comment="MKController"

Chỉ địa chỉ IP này — máy chủ VPN MKController — được cấp quyền truy cập. Không có IP bên ngoài nào khác được whitelist.

Thành Phần 5: Bộ Lập Lịch Giám Sát

Script lập lịch RouterOS chạy mỗi 90 giây và gửi dữ liệu sức khỏe thiết bị đến MKController: sử dụng CPU, tiêu thụ RAM, dung lượng đĩa và nhiệt độ (trên các model được hỗ trợ).

/system scheduler add name="resources-[ID]" interval="90" on-event="[EVENT]" comment="MKController"

Dữ liệu này điền vào thẻ thiết bị thời gian thực và báo cáo khả dụng trên bảng điều khiển MKController.

Thành Phần 6: Tài Khoản Người Dùng MKController

Một tài khoản người dùng truy cập đầy đủ được tạo trên MikroTik. Tài khoản này được dùng cho tất cả giao tiếp API giữa MKController và thiết bị. Mật khẩu của nó tự động xoay vòng thường xuyên để ngăn tấn công brute-force.

/user add name="[USER_ID]" group=full password="[TEMPORARY_PASSWORD]"

Bạn có thể thấy người dùng này tại: System → Users (xuất hiện dưới dạng tên kiểu UUID).

Thành Phần 7: Ưu Tiên Quy Tắc Tường Lửa

Quy tắc tường lửa từ Thành Phần 4 được di chuyển lên đầu input chain, đảm bảo quyền truy cập MKController không bị chặn bởi các quy tắc được thêm sau này.

:do {
  :local n [/ip firewall filter find where comment="MKController"];
  /ip firewall filter move numbers=$n destination=0
} on-error {}

Thành Phần 8: Kích Hoạt Cổng Dịch Vụ

Năm cổng dịch vụ RouterOS được bật và quyền truy cập của chúng bị giới hạn đối với địa chỉ gateway VPN 10.8.0.1 — nghĩa là chỉ MKController (qua tunnel VPN) mới có thể tiếp cận chúng. Nếu cổng đã mở, 10.8.0.1 được thêm vào danh sách địa chỉ được phép mà không xóa các mục hiện có.

/ip service enable www;    /ip service set www    address="10.8.0.1"
/ip service enable winbox; /ip service set winbox address="10.8.0.1"
/ip service enable ssh;    /ip service set ssh    address="10.8.0.1"
/ip service enable api;    /ip service set api    address="10.8.0.1"
/ip service enable ftp;    /ip service set ftp    address="10.8.0.1"

Bạn có thể xác minh trạng thái dịch vụ tại: IP → Services

Điều Gì Bị Hỏng Nếu Dịch Vụ Bị Tắt?

Có câu hỏi về script tiếp nhận hoặc hành vi thành phần? Liên hệ hỗ trợ MKController qua WhatsApp.