Как сохранить и восстановить конфигурацию MikroTik

В этой статье мы разберем способы создания резервной копии конфигурации MikroTik, рассмотрим разницу между разными форматами бэкапа и покажем, как восстановить устройство из сохраненного файла.

Создание бэкапа через меню Files

Один из самых простых способов сохранить конфигурацию MikroTik — это использование встроенной функции резервного копирования. Для этого необходимо:

1. Открыть WinBox и подключиться к маршрутизатору.
2. Перейти в меню Files.
3. В открывшемся окне нажать кнопку Backup.

4. В окне создания бэкапа ввести название файла. Рекомендуется использовать понятные имена, например, указав дату и тип бэкапа. Например: 20250221_start. После этого нажать кнопку Backup.

После выполнения этих действий в списке файлов появится новый файл с именем 20250221_start и расширением .backup. Этот файл содержит полную резервную копию всех настроек устройства, включая пароли, ключи и другие конфиденциальные данные.

Важно понимать, что этот тип бэкапа привязан к конкретному устройству и его версии прошивки. Это означает, что восстановить его можно только на том же MikroTik (или идентичной модели) с той же или очень близкой версией RouterOS. Если попытаться загрузить этот бэкап на другое устройство, могут возникнуть ошибки или сбои в работе.

Этот метод удобен для быстрого восстановления конфигурации на том же устройстве, но не подходит для переноса настроек на другой маршрутизатор.

Создание бэкапа через терминал

Еще один способ сохранить конфигурацию MikroTik — это экспорт настроек через терминал. Этот метод позволяет сохранить конфигурацию в текстовом виде, что делает ее универсальной и удобной для редактирования или переноса на другое устройство.

Для создания бэкапа необходимо:

1. Открыть WinBox и подключиться к маршрутизатору.
2. Перейти в меню New Terminal.

3. Ввести поочередно три команды, которые создадут три разных вида бэкапа:

export file=20250221_compact compact
export file=20250221_verbose verbose
export file=20250221_terse terse

После выполнения этих команд в списке файлов появятся три новых файла:

• 20250221_compact.rsc
• 20250221_verbose.rsc
• 20250221_terse.rsc

Разница между типами бэкапов в MikroTik

Когда мы выполняем команду export file=название_файла , конфигурация сохраняется в виде текста, который можно просмотреть, отредактировать или применить на другом устройстве. Однако, в MikroTik есть три варианта экспорта: compact, verbose и terse. Давайте подробно разберем, чем они отличаются.

1. Compact (команда export file=имя compact)

Этот вариант сохраняет только измененные пользователем настройки, исключая параметры, которые остались стандартными.

Как это работает:

• MikroTik изначально имеет набор стандартных настроек по умолчанию.
• Когда вы вносите изменения (например, создаете интерфейсы, добавляете правила фаервола, настраиваете IP-адреса), эти изменения записываются в compact-бэкап.
• Однако он не показывает настройки, которые не менялись.

📌 Когда использовать?

• Если нужно быстро сохранить только внесенные изменения и перенести их на другой MikroTik, не сбрасывая существующую конфигурацию.
• Удобен для резервного копирования модификаций, но не гарантирует полного восстановления в случае сбоя или при переносе на другой маршрутизатор.

🔴 Ограничения:

• Не содержит стандартных настроек, поэтому при восстановлении на другой MikroTik возможны ошибки (особенно, если там уже есть своя конфигурация).
• Подходит только для опытных пользователей, понимающих, какие параметры были изменены.

2. Verbose (команда export file=имя verbose)

Это самый полный и детализированный вариант бэкапа. Он включает в себя:

• Все настройки MikroTik, включая стандартные и пользовательские.
• Все комментарии и описания, которые были добавлены к правилам и объектам.

📌 Когда использовать?

• Если нужно перенести полную конфигурацию на другой маршрутизатор или восстановить устройство в исходное состояние.
• Если важно видеть все настройки, включая те, что были установлены по умолчанию.

🔴 Ограничения:

• Файл получается большим и может содержать ненужные данные, что затрудняет ручную правку.

3. Terse (команда export file=имя terse)

Это самый короткий и минималистичный вариант экспорта. Он:

• Содержит всю конфигурацию, но без пояснений и комментариев.
• Записывает настройки в максимально сжатом формате, убирая пробелы, описания и дополнительные параметры.

📌 Когда использовать?

• Если нужно передавать конфигурацию в компактном виде или автоматически загружать на другие устройства.
• Когда важна экономия места и скорость загрузки конфигурации.

🔴 Ограничения:

• Плохо читается человеком, сложно редактировать вручную.
• Может быть неудобен при анализе конфигурации.

Какой вариант лучше выбрать?

• Если вам нужен только список ваших изменений — выбирайте compact.
• Если вам нужен полный бэкап с возможностью восстановления на другом устройстве — используйте verbose.
• Если нужен минимальный по размеру бэкап, но с сохранением всех данных — подойдет terse.

В большинстве случаев для резервного копирования и последующего восстановления наилучший вариант — verbose, так как он гарантирует перенос всех параметров.

Сохранение бэкапа на компьютер

После создания резервных копий рекомендуется сохранить их на локальном компьютере. Для этого:

1. Создаем на рабочем столе папку, например, с датой бэкапа: 20250221.
2. Перетаскиваем туда все файлы .rsc из меню Files в WinBox.

3. Теперь нам нужно дополнительно сохранить сертификаты. Это особенно важно, если маршрутизатор используется для VPN, HTTPS-доступа или других сервисов, зависящих от сертификатов.

Экспорт сертификатов

В первую очередь необходимо сохранить сертификат центра сертификации (CA) и сертификат сервера. В вашем случае:

• CA-сертификат
• Сертификат сервера (например, 77.228.150.130 )

Экспорт сертификатов выполняется следующим образом:

1. Открываем WinBox и переходим в меню System → Certificates.
2. Выбираем CA-сертификат.

3. В параметре Type выбираем PKCS12 (это формат, содержащий закрытый ключ и сертификат).
4. В поле Export Passphrase придумываем и вводим пароль, который защитит файл при передаче и хранении. Этот пароль потребуется при восстановлении.
5. Задаем имя файла, например, CA.p12, и нажимаем Export.

6. Повторяем те же действия для сертификата сервера, например, 77.228.150.130.p12.

Сохранение сертификатов на компьютер

После экспорта сертификаты появятся в списке файлов в WinBox. Теперь их нужно сохранить на компьютер:

• Перетаскиваем файлы CA.p12 и сертификат сервера.p12 в папку 20250221 на рабочем столе.

Как мы видим, теперь в папке 20250221 находятся:

• Файлы резервной копии конфигурации (.backup, .rsc)
• Экспортированные сертификаты (.p12)

Теперь у нас есть полная локальная копия всех важных настроек маршрутизатора, что позволит быстро восстановить их в случае необходимости.

На этом создание резервных копий завершено. Далее мы разберем, как восстановить конфигурацию MikroTik из сохраненных файлов.

Восстановление конфигурации из бэкапа

Теперь перейдем к процессу восстановления конфигурации MikroTik. В данном случае мы будем восстанавливать бэкап, созданный в формате compact. Этот метод удобен тем, что позволяет вручную редактировать параметры перед восстановлением.

Анализ содержимого бэкапа

Открываем файл 20250221_compact.rsc в любом текстовом редакторе. Как мы видим, в нем содержатся все измененные настройки маршрутизатора. Например, в 29-й строке есть строка:

Если вам нужно изменить IP-адрес (например, при переносе конфигурации на новый сервер), это можно сделать прямо в файле перед импортом.

🛠️ Перед восстановлением необходимо установить RouterOS заново и вручную назначить ему IP-адрес и задать маршрут. Это базовая подготовка, без которой вам просто некуда будет разворачивать бэкап — маршрутизатор должен быть готов к приему конфигурации.

Если вы не знаете, как установить MikroTik RouterOS на VPS и выполнить начальную настройку, обязательно посмотрите мою первую статью из этой серии — Как установить MikroTik RouterOS на VPS сервер. Там подробно описан процесс установки и назначения IP.

Два сценария восстановления

1️⃣ Восстановление на тот же сервер

Этот сценарий самый простой и быстрый, так как не требует редактирования файла конфигурации перед импортом. Главное условие — сервер должен быть предварительно обнулен, чтобы избежать конфликтов с существующими настройками.

2️⃣ Перенос на новый сервер с другим IP-адресом

Этот сценарий более сложный и требует предварительной подготовки. Вам потребуется вручную изменить все IP-адреса в файле compact.rsc, чтобы они соответствовали новому окружению

Также потребуется корректная работа с сертификатами — без них восстановление может завершиться с ошибками. Мы подробно рассмотрим этот вариант ниже, включая все шаги по адаптации конфигурации и переносу сертификатов.

Восстановление на тот же сервер

Импорт сертификатов

Перед восстановлением конфигурации нам нужно вернуть сертификаты:

1. Открываем WinBox и переходим в Files.
2. Копируем все файлы .p12 (сертификаты) на маршрутизатор в File List.

3. Переходим в меню System → Certificates.
4. Нажимаем кнопку Import и поочередно импортируем все необходимые сертификаты.

• CA-сертификат (CA.p12)
• Сертификат сервера (77.228.150.130.p12)
• Сертификаты пользователей (например, Pawel.p12)

После успешного импорта все сертификаты появятся в списке и будут готовы к использованию.

Восстановление конфигурации

1. Открываем файл 20250221_compact.rsc и копируем весь его текст.

2. В WinBox открываем New Terminal.

3. Вставляем скопированные команды в терминал и нажимаем Enter.
4. Ждем выполнения всех команд (процесс может занять несколько секунд).

Если импорт прошел успешно, в терминале не будет ошибок, и все настройки восстановятся.

Маршрутизатор полностью готов к работе с восстановленной конфигурацией. Теперь перейдём ко второму сценарию восстановления — переносу конфигурации на новое устройство с другим IP-адресом.

Перенос на новый сервер с другим IP-адресом

Этот сценарий более сложный и требует дополнительной подготовки.

Шаг 1. Импорт сертификатов

Первым шагом, так же как и в случае восстановления на том же сервере, необходимо импортировать все сертификаты.

Шаг 2. Восстановление конфигурации

1. Открываем файл 20250221_compact.rsc в любом текстовом редакторе.
2. Удаляем из него строки, отвечающие за настройки IP-адресов и маршрутов, такие как:

/ip address
/ip route

Эти параметры мы уже задавали вручную ранее при установке MikroTik RouterOS на новый сервер — на этапе первичной настройки вы прописали актуальный IP-адрес, маску и шлюз. Если не удалить эти строки, можно случайно переопределить текущие параметры, что приведёт к потере связи с маршрутизатором.

3. Открываем WinBox → New Terminal.
4. Вставляем очищенные команды из файла 20250221_compact.rsc в терминал и нажимаем Enter.
5. Ждём выполнения всех команд — это может занять несколько секунд.

Если импорт прошёл успешно, в терминале не будет ошибок. Откройте основные разделы (Interfaces, IP > Firewall, PPP, IPsec и т.д.) и убедитесь, что настройки полностью восстановлены.

Шаг 3. Создание нового сертификата под новый IP

Переходим в System → Certificates и нажимаем Add New:

• Name: 45.12.170.130
• Common Name: 45.12.170.130
• Subject Alt. Name: 45.12.170.130
• Days Valid: 3650 (примерно 10 лет)

Переходим на вкладку Key Usage и выбираем tls-server. Нажимаем Apply.

Затем нажимаем кнопку Sign — это действие необходимо, чтобы подписать новый сертификат вашим CA и сделать его действительным.

В открывшемся окне заполняем:

• Certificate: 45.12.170.130
• CA: CA — это ваш ранее импортированный корневой сертификат
• CA CRL Host: 127.0.0.1 (локальный адрес для списка отзыва сертификатов)

Нажимаем Start.

Шаг 4. Обновление конфигурации сервисов

После создания нового сертификата необходимо заменить старый во всех службах, которые его используют.

1. Переходим в IP → IPsec → Identities, выбираем нужную запись, в поле Certificate выбираем новый сертификат, нажимаем Apply.

2. Далее — PPP → SSTP Server. В открывшемся окне выбираем новый сертификат и нажимаем OK.

3. Возвращаемся в System → Certificates и удаляем старый сертификат, так как он больше не нужен. Нажимаем Remove.

Шаг 5. Активация лицензии

Для того чтобы снять ограничение скорости (по умолчанию — до 1 Мбит/с в бесплатной версии), активируем лицензию уровня P1. Это позволит использовать все возможности MikroTik с полноценной скоростью до 1 Гбит/с.

Вот и все!

Заключение

Создание и восстановление резервных копий MikroTik — это основа стабильного и предсказуемого управления сетью. В этой статье мы пошагово разобрали, как сформировать резервную копию конфигурации разными способами, сохранить и перенести важные сертификаты, восстановить настройки на том же или новом сервере с другим IP, заменить сертификаты в критичных службах и выполнить финальную проверку работоспособности.

Понимание различий между форматами экспорта, грамотная работа с сертификатами и знание тонкостей импорта позволяют системному администратору выполнять миграции и аварийное восстановление быстро, безопасно и без лишнего стресса. Делайте бэкапы регулярно, сохраняйте их в нескольких местах и не забывайте — лучше восстановиться за 5 минут, чем настраивать всё с нуля.

Вам понравилась эта статья? Тогда вам, скорее всего, будет интересна другая полезная статья Как настроить базовые правила фаервола в MikroTik RouterOS.

Интересуешься IT и системным администрированием? Подпишись на SysAdminHub в телеграмм, чтобы узнавать обо всем первым — t.me/SysAdminHub

---