Skip to content
InstagramYouTubeFacebook

Tutorial

Vodič za ažuriranje i zakrpe RouterOS-a

Kako ažurirati i zakrpati MikroTik RouterOS u ISP floti: kanali izdanja, postupno uvođenje, sigurnosne kopije, vraćanje i CVE-i 2026.

Sažetak Ažuriranje MikroTik RouterOS-a u ISP floti kontroliran je proces, a ne radnja jednim klikom. Odaberite kanal izdanja koji odgovara vašim SLA-ovima, izradite sigurnosnu kopiju svakog uređaja, provjerite na pilotu, a zatim uvodite u valovima svjesnima topologije s jasnim putem vraćanja. U 2026. to je važnije nego ikad: javno iskoristiva ranjivost RouterOS-a (CVE-2026-7668) i novo stable izdanje (7.23.1) znače da su nezakrpani rubni ruteri aktivan rizik.

Tijek rada za ažuriranje i zakrpavanje MikroTik RouterOS-a za ISP flotu: odabir kanala, sigurnosna kopija, pilot test, postupno uvođenje i vraćanje

Što je zakrpavanje RouterOS-a za ISP flotu?

Zakrpavanje RouterOS-a discipliniran je proces podizanja populacije MikroTik uređaja s jedne verzije RouterOS-a na noviju kako bi se ispravili sigurnosni propusti, greške stabilnosti i regresije ponašanja — bez narušavanja usluga koje na njima rade. Na jednom kućnom ruteru to je zadatak od dvije minute. Na stotinama ili tisućama CPE-ova i rubnih rutera to postaje operativni program: trebate politiku kanala izdanja, standard sigurnosnih kopija, korak staginga, postupno uvođenje i plan vraćanja. Cilj je lako izreći, a teško ostvariti u velikom mjerilu — svaki uređaj na kraju je zakrpan, a nijedan se pritom ne ugasi.

Zaslužuje pravi tijek rada jer nadogradnja dodiruje upravo ono čemu ne možete lako ponovno pristupiti ako zakaže: ruter na rubu kod korisnika, često iza CGNAT-a. Loša isporuka koja izgubi upravljački pristup pretvara se u izlazak na teren. Zato sljedeći tijek rada prvo optimizira sigurnost i dostupnost, a tek zatim brzinu.

Zašto zakrpati sada: sigurnosna slika 2026.

Kadenca zakrpavanja ostaje tiha pozadinska zadaća sve dok ranjivost ne prisili na djelovanje, a 2026. daje konkretne razloge da je pooštrite. CVE-2026-7668 jest out-of-bounds čitanje u SCEP endpointu RouterOS-a ocijenjeno CVSS 7.3 (visoko); može se aktivirati daljinski i postoji javni exploit. Zasebni savjeti iz ovog ciklusa pokrivaju problem neispravne kontrole pristupa u validaciji izvorišne IP adrese VXLAN-a (ispravljeno u RouterOS-u 7.20 i novijim) te propust oštećenja memorije u SMB usluzi koji neautenticirani napadač može pokrenuti pripremljenim paketima.

Smjernica MikroTika dosljedna je: održavajte RouterOS aktualnim i iza vatrozida koji blokira nepouzdane mreže. Trenutna stable grana, RouterOS 7.23.1 (objavljen 2. lipnja 2026.), također ispravlja BGP curenje memorije i problem stabilnosti DHCPv4-snoopinga. To je uobičajeni razlog zašto flotama treba ponovljiv proces zakrpavanja umjesto ad-hoc nadogradnji.

Korak 1 — Odaberite pravi kanal izdanja

RouterOS nudi više od jedne grane, a izbor je odluka o politici, a ne preferencija. Stable izdanja izlaze svakih nekoliko mjeseci s testiranim značajkama i ispravcima; long-term izdanja dobivaju samo kritične i sigurnosne ispravke i mijenjaju se daleko manje između verzija. Za rubne i CPE flote ISP-ova koji cijene predvidljivost, long-term grana često je ispravan zadani izbor, dok je stable rezerviran za hardver ili značajke koje to zahtijevaju. Što god odabrali, nikada ne pokrećite testing ili development verzije u produkciji. Dokumentirajte granu po klasi uređaja kako bi odluka bila ponovljiva u timu.

Korak 2 — Prvo izradite sigurnosnu kopiju i izvoz

Nikada ne nadograđujte bez točke vraćanja. Izradite i binarnu sigurnosnu kopiju (/system backup save) i čitljiv izvoz konfiguracije (/export file=), jer izvoz preživljava promjene verzija i omogućuje ponovnu izgradnju čak i ako se binarna sigurnosna kopija ne može vratiti na drugačiji build. Prebacite oba s uređaja u svoj sustav upravljanja. Prije početka potvrdite da ima dovoljno slobodne pohrane za nove pakete i dajte prednost žičanoj ili konzolnoj vezi — nadogradnja putem Wi-Fija ili nestabilne veze način je na koji se ruteri uniše usred zapisivanja. Za uređaje kod kojih je pristup oporavku stvarna briga, naš vodič za oporavak Netinstallom rezervni je izlaz kada nadogradnja pođe po zlu.

Korak 3 — Testirajte na pilot uređaju

Prvo nadogradite jedan reprezentativan ruter i promatrajte ga. Odaberite uređaj koji odražava produkcijsku klasu — isti model, ista uloga, slična konfiguracija — i primijenite ciljnu verziju tijekom prozora za održavanje. Nakon ponovnog pokretanja provjerite verziju, potvrdite da su paketi omogućeni i pregledajte changelog radi promjena ponašanja koje utječu na vašu konfiguraciju (semantika vatrozida, zadane usluge, imenovanje sučelja). Tek kada je pilot čist, odobravate šire uvođenje. Taj jedan korak sprječava najskuplji način kvara: otkrivanje regresije nakon što je već isporučena tisući korisnika.

Korak 4 — Uvodite u valovima svjesnima topologije

Masovno uvođenje tiče se redoslijeda i tempa, a ne pritiska na gumb posvuda odjednom. Grupirajte uređaje prema topologiji kako bi se ulančani ruteri ažurirali redom — ne želite da se uzvodni ruter ponovno pokrene prije nego što nizvodni uređaj dohvati svoje pakete. Definirajte valove s vlastitim prozorima za održavanje i pratite svaki uređaj u listi usklađivanja, kako bi svaka jedinica s problemom bila ponovno uvrštena, a ne zaboravljena. Da biste smanjili internetsku propusnost, usmjerite uređaje na središnji ruter koji djeluje kao lokalno zrcalo paketa; to također kontrolira koju verziju flota smije dohvatiti.

Postupno uvođenje funkcionira samo ako stvarno možete doseći svaki uređaj da biste potvrdili da se vratio. To je operativna zamka kod CPE-a iza CGNAT-a — i upravo tu se centralizirano upravljanje isplati.

Korak 5 — Provjerite, zatim vratite ako je potrebno

Nakon svakog vala potvrdite rezultat: provjerite prijavljenu verziju, potvrdite da je firmware routerboarda također nadograđen gdje je primjenjivo (/system routerboard upgrade) i provjerite da usluge do kojih vam je stalo propuštaju promet. Ako se uređaj ponaša neispravno, vratite prethodnu binarnu sigurnosnu kopiju, ili ponovno izgradite iz RSC izvoza, ili kao zadnju mjeru ponovno instalirajte prethodnu verziju pomoću Netinstalla. Program zakrpavanja nije „gotov” kada je nova verzija instalirana — gotov je kada je svaki uređaj provjereno ispravan i svaka iznimka praćena do zatvaranja.

Savjeti za zakrpavanje u mjerilu flote

  • Standardizirajte jednu očvrsnutu baznu liniju kako bi nadogradnje bile predvidljive. Naše najbolje prakse za sigurnost Winboxa i vodič za sigurnosne operacije u device-modeu definiraju baznu liniju na koju se svodi većina problema s nadogradnjom.
  • Ograničite upravljački pristup na VPN ili pouzdane IP adrese prije i nakon nadogradnji, kako poluzakrpana flota nikada ne bude izložena.
  • Održavajte upravljačku ravninu dostupnom čak i iza CGNAT-a, kako provjera i vraćanje ne bi zahtijevali posjet lokaciji.
  • Pregledavajte MikroTikove sigurnosne savjete po rasporedu umjesto da čekate incident.

Česta pitanja

Koliko često trebam ažurirati RouterOS? Ocijenite svako izdanje prema svojoj politici grane i zakrpajte izvanredno kad god savjet utječe na usluge koje izlažete. Ne postoji fiksni interval — samo kadenca vođena rizikom.

Stable ili long-term za ISP flotu? Long-term je sigurniji zadani izbor za rub i CPE; koristite stable ondje gdje vam treba podrška za noviji hardver ili značajke, nakon validacije u stagingu.

Što ako nadogradnja uniši udaljeni uređaj? Vratite iz sigurnosne kopije ili RSC izvoza; ako je uređaj nedostupan, oporavite ga Netinstallom. Zato su testirana sigurnosna kopija i dostupan upravljački put obvezni prije svakog vala.

Zakrpajte cijelu flotu bez izlazaka na teren

Najteži dio zakrpavanja flote nije nadogradnja — to je doseći i provjeriti svaki uređaj nakon nje, posebno CPE iza CGNAT-a. MKController centralizira vidljivost nad cijelom vašom MikroTik flotom, a NATCloud vam daje dostupnost iznutra prema van bez prosljeđivanja portova, tako da se postupna uvođenja, provjera i vraćanje odvijaju daljinski.

Pokrenite svoju besplatnu MKController probnu verziju