Configuration Management
This article describes a set of commands used for configuration management.
A simple example to demonstrate the addition of firewall rule and how to undo and redo the action:
We have added firewall rule and in /system history we can see all what is being done.
Let’s undo everything:
As you can see firewall rule disappeared.
Now redo the last change:
System history is capable of showing exact CLI commands that will be executed during Undo or Redo actions even if we perform the action from GUI, for example, detailed history output after adding TCP accept rule from WinBox:
Safe Mode
Sometimes it happens that the router’s configuration is changed in a way that will make the router inaccessible (except local console). Usually, this is done by accident, but there is no way to undo the last change when the connection to the router is already cut. Safe mode can be used to minimize such risk.
Safe mode is entered by pressing Ctrl-X. To save changes and quit safe mode, press Ctrl-X again. To exit without saving the made changes, hit Ctrl-D
Message Safe Mode taken is displayed and prompt changes to reflect that session is now in safe mode. In WinBox safe mode is enabled by toggling the Safe Mode toggle button on the left side of the toolbar.
All configuration changes that are made (also from other login sessions), while the router is in safe mode, are automatically undone if the safe mode session terminates abnormally. You can see all such changes that will be automatically undone tagged with an F flag in system history:
Now, if telnet connection, WinBox terminal (if the safe mode was enabled on WinBox terminal window), or WinBox connection is cut, then after a while (TCP timeout is 9 minutes) all changes that were made while in safe mode will be undone. Exiting session by Ctrl-D also undoes all safe mode changes, while /quit does not.
If another user tries to enter safe mode, he’s given the following message:
If too many changes are made while in safe mode, and there’s no room in history to hold them all (currently history keeps up to 100 most recent actions), then the session is automatically put out of the safe mode, no changes are automatically undone. Thus, it is best to change the configuration in small steps, while in safe mode. Pressing Ctrl—X twice is an easy way to empty the safe mode action list.
System Backup/Restore
System backup is the way to completely clone routers configuration in binary format. The backup file contains not just configuration, but also statistics data, logs, etc. The backup file is best used to save and restore configuration on the same device, for moving configuration to other devices, use export files instead.
Backup files contain sensitive information (passwords, keys, certificates). The file can be encrypted, but even then backups should be stored only in a secure location.
Restoring backup files should be done only on the same router or on a similar router when the previous router fails. A backup must not be used to clone configuration on multiple network routers.
Example to save and load backup file:
Import/Export
RouterOS allows to export and import of parts of the configuration in plain text format. This method can be used to copy bits of configuration between different devices, for example, clone the whole firewall from one router to another.
An export command can be executed from each individual menu (resulting in configuration export only from this specific menu and all its sub-menus) or from the root menu for complete config export.
Following command parameters are accepted:
| Property | Description |
|---|---|
| compact | Output only modified configuration, the default behavior |
| file | Export configuration to a specified file. When the file is not specified export output will be printed to the terminal |
| hide-sensitive | Hide sensitive information, like passwords, keys, etc. |
| verbose | With this parameter, the export command will output whole configuration parameters and items including defaults. |
For example export configuration from /ip address menu and save it to file:
By default export command writes only user-edited configuration, RouterOS defaults are omitted.
For example, IPSec default policy will not be exported, and if we change one property then only our change will be exported:
Notice the * flag, it indicates that entry is system default and cannot be removed manually.
Here is the list of all menus containing default system entries
| Menu | Default Entry |
|---|---|
| /interface wireless security-profiles | default |
| /ppp profile | «default», «default-encryption» |
| /ip hotspot profile | default |
| /ip hotspot user profile | default |
| /ip ipsec policy | default |
| /ip ipsec policy group | default |
| /ip ipsec proposal | default |
| /ip ipsec mode-conf | read-only |
| /ip smb shares | pub |
| /ip smb users | guest |
| /ipv6 nd | any |
| /mpls interface | all |
| /routing bfd interface | all |
| /routing bgp instance | default |
| /routing ospf instance | default |
| /routing ospf area | backbone |
| /routing ospf-v3 instance | defailt |
| /routing ospf-v3 area | backbone |
| /snmp community | public |
| /tool mac-server mac-winbox | all |
| /tool mac-server | all |
| /system logging | «info», «error», «warning», «critical» |
| /system logging action | «memory», «disk», «echo», «remote» |
| /queue type | «default», «ethernet-default», «wireless-default», «synchronous-default», «hotspot-default», «only-hardware-queue», «multi-queue-ethernet-default», «default-small» |
Configuration Import
Root menu command import allows running configuration script from the specified file. Script file (with extension «.rsc») can contain any console command including complex scripts.
For example, load saved configuration file
Import command allows to specify following parameters:
| Property | Description |
|---|---|
| from-line | Start executing the script from the specified line number |
| file-name | Name of the script (.rsc) file to be executed. |
| verbose | Reads each line from the file and executes individually, allowing to debug syntax or other errors more easily. |
Auto Import
It is also possible to automatically execute scripts after uploading to the router with FTP or SFTP. The script file must be named with extension *.auto.rsc. Once the commands in the file are executed, a new *.auto.log file is created which contains import success or failure information.
«.auto.rsc» in the filename is mandatory for a file to be automatically executed.
Configuration Reset
RouterOS allows resetting configuration with /system reset-configuration command
This command clears all configuration of the router and sets it to the factory defaults including the login name and password (‘admin’ with an empty password). For more details on the default configuration see the list.
After the configuration reset command is executed router will reboot and load the default configuration.
The backup file of the existing configuration is stored before reset. That way you can easily restore any previous configuration if reset is done by mistake.
If the router has been installed using Netinstall and had a script specified as the initial configuration, the reset command executes this script after purging the configuration. To stop it from doing so, you will have to reinstall the router.
It is possible to override default reset behavior with the parameters below:
For example hard reset configuration without loading default config and skipping backup file:
Mikrotik auto before reset backup
Разбор множества мелких, относительно связанных между собой, тем: программный и аппаратный сброс настроек, функция Protected RouterBoot, бекапы и экспорт конфигурации, разбивка flash памяти на разделы.
Программный сброс настроек
Если есть доступ к роутеру от пользователя с full правами, то можно сбросить все настройки через [System] → [Reset Configuration]
Аппаратный сброс настроек
Все зависит от модели роутера, возможно три варианта:
Присутствует кнопка reset
Для начала отключаем питание, зажимаем reset и включаем питание. Отпускаем через:
Контактная площадка
На wiki утверждают, что все девайсы оснащены подобной площадкой. Ради интереса вскрыл RB491-2nD и не обнаружил таковой.
Технология сброса: отключаем питание, замыкаем площадку(бипер издает хрипящий писк) и не отпускаем до полной загрузки.
Перемычка
Присутствует на старых моделях.
Технология сброса: отключаем питание, замыкаем перемычку, ждем полной загрузки, убираем перемычку.
Protected RouterBoot
Может случится ситуация, когда после сброса чужого(иначе вы бы знали) роутера он не будет загружаться дальше «первого пика» — это новая фитча от Mikrotik затирающая всю флеш память( включая RouterOS), для восстановления потребуется netinstall.
Про RouterBoot
RouterBoot — начальный загрузчик на девайсах Mikrotik, с ним можно взаимодействовать через Serial интерфейс и одно из предназначений Protected RouterBoot не давать вмешиваться в процесс загрузки.
Загрузчик разделен на две части:
Посмотреть текущие версии можно в [System] → [RouterBoard]. Кнопкой [Upgrade] производится обновление Current загрузчика. Если система работает плохо и загружается только с резервного(как написано разделом выше), то в [Settings] можно явно указать recovery загрузчик в качестве постоянного, опция Auto Upgrade для обновления current загрузчика вместе с RouterOS. И раз мы тут — опция Silent Boot отключает звуки во время загрузки.
Даунгрейд до Bugfix и спец. версия загрузчика
Копируйте на устройство, если у вас bugfix ветка то достаточно перезагрузиться, если нет читаем дальше.
Откат прошивки. Вариант 1:
[System] → [Packages] → [Check for updates]
Channel: Bugfix Only
нажимаем [Download and Install]
Консольный вариант:
Откат прошивки. Вариант 2:
Далее: [System] → [Packages] → [Downgrade]
[System] → [RouterBoard] → [Settings]
Включаем Protected RouterBoot=yes, что теперь.
Я не призываю вас включать эту опцию в обязательном порядке, думайте сами когда оно вам надо, а когда можно обойтись без подобных мер.
Восстановление прошивки средствами netinstall
Netinstall — универсальный инструмент для прошивки и предварительной настройки роутеров MikroTik. При использовании происходит ворматирование внутренней памяти и конфигурации, без изменения останутся только настройки в [System] → [RouterBOARD]
Порядок действий
На что еще способен netinstall
Бекап и экспорт конфигурации в Mikrotik
Бинарный бекап
Name — имя файла. по умолчанию будет —
Password — пароль. По умолчанию используется пароль текущего пользователя.
Don’t encrypt — не шифровать бекап.
[Files] → [Подсветить необходимый файл] → [Restore]
Экспорт и импорт конфигурации
export не сохраняет конфигурацию в файл, если явно не задать ключ file= расширение rsc будет добавлено автоматически.
DualBoot в Mikrotik(Partition)
Flash накопитель можно разбить на несколько разделов и установить несколько копий RouterOS(в том числе различных). В случае неудачной загрузки с основного раздела будет загружаться следующий указанный. Функция доступна на девайсах с MIPS, PowerPC и CCR серии.
Разбивка на разделы:
Необходимо указать итоговое число разделов. Есть два ограничения: максимальное число разделов — 8 и минимальный размер раздела: 32MB on MIPS; 40MB on PowerPC; 48MB on CCR.
Новый раздел будет пустым, необходимо скопировать на него текущую прошивку через [Copy to].
В консоли лучше видны свойства разделов: Активный(A) — с которого будет произведена следующая загрузка и раздел с которого была загружена система®.
Смена активного раздела происходит в его свойствах кнопкой [Activate]. Опция Fallback to отвечает за выбор раздела, если загрузка не удалась.
[Save Config To] — Сохранить конфигурацию с текущего® раздела на выбранный.
[Restore Config From] — Сохранить конфигурацию с выбранного раздела на текущий®.
Функционал интересный, но имеет два недостатка: Не все роутеры комплектуются достаточным количеством flash памяти. Сбои в RouterOS, даже при обновлении, не такое частое явление.
Что бы сохранить конфигурацию MikroTik существует несколько способов и сейчас мы их рассмотрим:
1. Самый простой способ, это воспользоваться утилитой WinBox.
Для этого откроем меню Files и нажмем Backup.
В поле Name пишем название нашей резервной копии, при желании можем зашифровать введя пароль в поле Password, если пароль не требуется, ставим галочку Don’t Encrypt и нажимаем на кнопку Backup. После этого в списке файлов появится наша резервная копия. Что бы сохранить резервную копию к себе на компьютер, перетащите файл мышкой к себе на локальный диск.
Что бы восстановить резервную копию, выбираем файл и нажимаем Restore.
2. Сохранение резервной копии через терминал.
Зайдите в терминал через меню New Terminal и введите команду:
system backup save name=Backup_term (имя можно придумать любое)
После чего появится надпись:
Saving system configuration
Configuration backup saved
и в списке файлов будет наша резервная копия
Что бы восстановить резервную копию, введите команду:
system backup load name=Backup_term
Настройки будут восстановлены из файла Backup_term
3. Сохранение настроек в текстовом формате.
Настройки вашего устройства можно сохранить так же и в текстовом формате. Это удобно если требуется сравнить 2 конфигурации или изменить какие то настройки.
Что бы сохранить настройки в текстовом формате зайдите в New Terminal и введите команду:
После выполнения команды появится в файлах сохраненная наша конфигурация
Что бы восстановить конфигурацию, введите команду:
Иногда встречаются ситуации, когда требуется сохранить только часть настроек, например настройки dhcp сервера, правила и тд, для этого существуют следующие команды:
Операционная система RouterOS позволяет сохранить настройки MikroTik, и быстро восстановить резервную копию, чтобы возобновить работу устройства. Это очень удобно, если вы напортачили с настройками, или вам нужно выполнить одинаковую настройку нескольких устройств MikroTik. В этой статье мы расскажем, как создать резервную копию настроек MikroTik, восстановить ее или перенести на другое устройство.
Сохранение и восстановление настроек MikroTik
Чтобы сохранить настройки MikroTik, выполните следующее:
Далее резервную копию конфигурации MikroTik можно сохранить на компьютер, перетащив файл на рабочий стол или в проводник Windows.
Перед восстановлением настроек, нужно сбросить все настройки устройства, чтобы в нем не остались какие-то настройки из текущей конфигурации.
После перезагрузки подключайтесь к устройству по MAC адресу, поскольку IP адрес будет отсутствовать. В программе Winbox нужно нажать мышкой на MAC-адрес устройства и нажать кнопку Connect.
Чтобы восстановить конфигурацию MikroTik, выполните следующее:
Перенос настроек MikroTik на другое устройство
Для переноса настроек на другое устройство MikroTik, нужно сохранить настройки в файл в текстовом виде. Этот файл можно будет редактировать, если возникнут проблемы при переносе настроек.
Переносить настройки можно только на устройства MikroTik со схожей аппаратной конфигурацией. Вы не сможете перенести настройки с роутера на 10 LAN портов, на роутер с 5-ю LAN портами. При этом будут выдаваться ошибки. Можно конечно вручную отредактировать файл с настройками, но это довольно сложный и долгий процесс.
Чтобы сохранить настройки MikroTik в текстовом формате, откройте меню New Terminal и выполните следующую команду:
Название файла может быть любым. В названии файла желательно указывать дату, чтобы потом не запутаться. В данном случае в названии файла указана дата 20170403 — 3 апреля 2017 года. Файлы с датой, указанной таким образом, будет очень удобно сортировать по имени в проводнике или в файловом менеджере Total Commander, FAR Manager или MC (Linux).
Далее нужно скопировать созданный файл в другое устройство. Для этого сначала перетащите файл на рабочий стол Windows. После этого перетащите его в новое устройство в меню Files.
Перед импортированием настроек, нужно сбросить конфигурацию устройства, иначе будет конфликт с текущими настройками и при импорте будут выдаваться ошибки.
Чтобы импортировать настройки MikroTik, откройте меню New Terminal и выполните следующую команду:
При переносе настроек между похожими роутерами MikroTik с одинаковым количеством портов, но с разными процессорами или памятью, во время импорта могут возникать ошибки. Я как-то пытался перенести настройки между двумя очень схожими роутерами. При этом выдавало ошибку, что указанная частота памяти не поддерживается устройством. В этом случае откройте файл с настройками на компьютере, отредактируйте необходимую настройку или удалите ее.
Частичный перенос настроек
Бывают ситуации, когда нужно сохранить часть настроек, например, правила фаервола, скрипты, NAT, правила маркировки пакетов и т.п. Для этого помогут следующие команды:
Автоматическое создание резервных настроек MikroTik и отправка на email
Чтобы не забывать делать резервные копии конфигурации MikroTik, вы можете автоматизировать этот процесс и отправлять бэкапы себе на email.
Создание скрипта
Откройте меню System — Scripts и нажмите «красный плюсик», чтобы добавить новый скрипт. В поле Name укажите название скрипта, в поле Source вставьте скрипт и нажмите кнопку OK.
Чтобы протестировать работу скрипта, нажмите кнопку Run Script, и на ваш почтовый ящик будут высланы резервные копии. Процесс выполнения скрипта можно отслеживать в меню Log.
Скрипт для отправки резервной копии настроек MikroTik на email:
Для RouterOS v6.x
В примере указан скрипт для сервиса Gmail. При отправке через Gmail нужно предварительно разрешить ненадежным приложениям доступ к аккаунту. Для этого залогиньтесь, на странице «Мой аккаунт» перейдите в раздел «Ненадежные приложения» и выберите «Включить». Подробнее читайте Как разрешить ненадежным приложениям доступ к аккаунту.
Чтобы использовать сервис Рамблер Почта, замените в скрипте smtp.gmail.com на mail.rambler.ru. Чтобы использовать сервис Яндекс Почта, замените в скрипте smtp.gmail.com на smtp.yandex.ru. Также не забудьте изменить значения your_account@gmail.com и your_gmail_password на свои.
Настройка планировщика
Теперь нужно настроить с какой периодичностью будут создаваться резервные копии, и отправляться на email. Для этого настроим планировщик (Sheduler).
Откройте меню System — Sheduler и нажмите кнопку «плюсик», чтобы добавить новую задачу.
В открывшемся окне настраиваем параметры задачи:
Теперь каждый день в 00:00:00 будет создаваться резервная конфигурация MikroTik и отправляться вам на email.
