MikroTik backup: настройка резервного копирования и восстановления RouterOS

Mikrotik

В данной статье рассмотрим два вида создание и восстановление MikroTik из backup (бэкапа), покажем как настроить и восстановить только config и как полностью сделать копию устройства. И так что делать если ваш девайс случайно/преднамеренно умер или его сбросили к заводским настройкам или же вы хотите тиражировать ваш конфиг на множество устройств. Не стоит упускать из вида тему резервного копирования и конечно у Mikrotik имеются некоторые особенности.

Итого есть 2 вида бэкапов:

  • Бинарный (системный);
  • Текстовый.

Все действия описаны на RouterOS 6.48.2

Бинарный

Это некий слепок вашего девайса RouterOS. Особенность его в том, что он сохраняет абсолютно все что есть на роутере:

  1. Конфигурацию;
  2. Пользователей;
  3. MAC адреса.

Восстановиться вы можете только на таких же устройствах. Т.е. допустим если вы сняли бинарный с одного Mikrotik hAp AC lite, то восстановиться сможете только на этом же hAP AC lite или любом другом, но этой же модели. Проще говоря, на других моделях не откатитесь. Учтите момент с MAC, они так же восстановятся из исходного бэкапа. В бинарном виде вся чувствительная информация (пароли) не скрывается, но есть возможность ее шифрования и тут тоже есть нюансы.

С CHR аналогично, вы можете снять системный бэкап и восстановиться на такой же платформе виртуализации.  Итак, у меня есть 2 CHR девайса, оба на EVE-NG с 5-ю портами. Попробуем перенести конфигурацию с первого на второй. Что настроено на EVE-NG:

  1. Identity – R1;
  2. DNS сервер 1.0.0.1, время жизни в кэше 2 часа;
  3. Создан пользователь admin2 с паролём 123;
  4. Btest сервер выключен.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Создадим бинарный бэкап. Открываем File, далее Backup.

Здесь все просто, задаём имя файлу и жмём backup. Создастся обычный файл, без шифрования. Т.е. все чувствительные данные будут не зашифрованы несмотря на то, что Encryption стоит aes-sha-256. Это потому, что пользователь admin в моем случае не имеет пароля.

Переносим данный файл на вторую машину. Жмём Restore и ВМ уходит в ребут.

Все параметры восстановились без проблем, кроме MAC адресов, они не изменились к моему большому удивлению. Вы это можете заметить во строке соединения второго устройства.

А теперь давайте попробуем на CHR который хостится на Hyper-V.

Жмём Restore, после чего виртуальная машина уходит в ребут.

Восстановились без проблем, но обратите внимание на имена интерфейсов. Возможно, это связанно с особенностями платформ виртуализации. Аналогично можно сказать и про MAC адреса.

Теперь стоит обратить внимание на следующие нюансы:

  1. Если вы не задали имя файлу, то сгенерируется оно автоматически, с identity, полной датой и временем создания;
  2. Разницы между установленной галочкой Don’t Encryption и отключённой, но не установленным паролём пользователя RouterOS из-под которого запускается процесс – никакой, и там и там файл будет не шифрованный;
  3. Чтобы зашифровать файл, нужно выполнять резервное копирование с установленным Password (это скорее самый предпочитаемый и верный способ). Если вы его не указали и запустили процесс от пользователя RouterOS с установленным паролём, то файл зашифруется паролём пользователя. В противном случае пункт 2.

В процессе написания статьи я заметил очень интересную вещь на счёт пункта 3. Я создал пользователя test с полными правами, задал ему пароль 1234, выполнил РК под его сессией. Далее перенёс файл на другую машину и нажал restore – о чудо, восстановление прошло без руганей и матов. Для меня это загадка, которую я адресовал поддержке Mikrotik.

Мои эксперименты продолжились, и я решил восстановить бинарный бэкап с моего домашнего Mikrotik hAp AC lite на Hyper-V и EVE-NG. Большинство переехало без проблем, но были нюансы:

  1. MAC адреса не сменились;
  2. Интерфейсы снова переименовались и как следствие Bridge не были сконфигурированы корректно. А что делать если у вас VLAN?

Надеюсь, у читателя сложилось правильное понимание, бинарный бэкап портировать на другое оборудование – плохая затея. Для тиражирования не самый лучший вариант.

Экспорт

Текстовый

Этот вид восстановления подойдёт тем кто хочет сделать только backup самого конфига на Микротика. То есть экспорт, это разница, между default config и текущим состоянием. Т.к. я не люблю default config, я всегда сбрасываю в blank и в этом случае, это разница между так сказать 0 и сейчас. Проще говоря:

  1. Если вы сбросили в «ноль» ваш девайс, настроили его, и сделали export без каких-либо ключей, то на выходе получаете текущий конфиг девайса;
  2. Если вы сбросили девайс и при сбросе не поставили галочку No Default Configuration, то вы получите тот самый default config, т.е. уже пред настроенный, с бриджами, правилами firewall, NAT. Такой конфиг так же получается через сброс с кнопки.

Экспорт не выгружает информацию о:

  1. Пользователях RouterOS;
  2. SNMP Community. Из плюсов;
  3. Не шифруется по умолчанию.

Из плюсов:

  1. Импорт на любой Микротик;
  2. Возможен частичный импорт;
  3. Текстовый вид.

Данная утилита доступна только в консоли. Откроем R1 и посмотрим на настройки девайса.

Чтобы сохранить вывод в файл используем команду export file=test_config.

Переносим файлик в абсолютно чистый роутер. Для импорта конфига используем команду import test_config.rsc

Вы так же можете выгрузить частичную информацию.

И импортировать просто скопировав нужные строки и вставив в консоль или ключом from-line указать с какой строки производить импорт.

Если нужна полная и исчерпывающая информацию, то используем ключ verbose, он так поможет при импорте, RouterOS расскажет, что ему не понравилось.

И наконец, если хотим скрыть всю чувствительную информацию, используем hide-sensitive. При импорте естественно вся скрытая информация не добавится.

Базовые принципы описанные ваше, помогут вам, создавать тиражируемый конфиг, но это может оказать не простым делом. Вы так же можете сделать скрипт, который будет отправлять бинарный и текстовый бэкап вам на почту или ftp, что поможет следить за версионностью исключительно текстовых.

И так в данной статье мы узнали что резервное копирование и восстановление бэкапа (backup) на роутере MikroTik можно делать двумя способами: импорт только конфига (config) или полностью скопировать устройство на аналогичное, с переносом всей информации которая есть на нем.

Оцените статью
PROITWORK
Добавить комментарий