Skip to content
InstagramYouTubeFacebook

Tutorial

คู่มืออัปเดตและแพตช์ MikroTik RouterOS

วิธีอัปเดตและแพตช์ MikroTik RouterOS ทั่วทั้งฟลีต ISP: ช่องทางรีลีส การทยอยปล่อย การสำรองข้อมูล การย้อนกลับ และ CVE ปี 2026.

สรุป การอัปเดต MikroTik RouterOS ทั่วทั้งฟลีต ISP เป็นกระบวนการที่ควบคุมได้ ไม่ใช่การทำเพียงคลิกเดียว เลือกช่องทางรีลีสที่ตรงกับ SLA ของคุณ สำรองข้อมูลทุกอุปกรณ์ ตรวจสอบความถูกต้องบนอุปกรณ์นำร่อง แล้วทยอยปล่อยเป็นระลอกที่คำนึงถึงโทโพโลยีพร้อมเส้นทางย้อนกลับที่ชัดเจน ในปี 2026 เรื่องนี้สำคัญยิ่งกว่าที่เคย: ช่องโหว่ RouterOS ที่ถูกใช้ประโยชน์ได้ในวงกว้าง (CVE-2026-7668) และรีลีส stable ใหม่ (7.23.1) หมายความว่าเราเตอร์ edge ที่ยังไม่ได้แพตช์เป็นความเสี่ยงที่กำลังเกิดขึ้นจริง

ขั้นตอนการอัปเดตและแพตช์ MikroTik RouterOS สำหรับฟลีต ISP: การเลือกช่องทาง การสำรองข้อมูล การทดสอบนำร่อง การทยอยปล่อย และการย้อนกลับ

การแพตช์ RouterOS สำหรับฟลีต ISP คืออะไร?

การแพตช์ RouterOS คือกระบวนการที่มีระเบียบวินัยในการยกระดับอุปกรณ์ MikroTik จำนวนมากจากเวอร์ชัน RouterOS หนึ่งไปสู่เวอร์ชันที่ใหม่กว่า เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย ข้อบกพร่องด้านเสถียรภาพ และการถดถอยของพฤติกรรม — โดยไม่ทำให้บริการที่ทำงานอยู่ด้านบนเสียหาย บนเราเตอร์ภายในบ้านเครื่องเดียว นี่เป็นงานสองนาที แต่เมื่อต้องทำกับ CPE และเราเตอร์ edge หลายร้อยหรือหลายพันเครื่อง มันกลายเป็นโครงการเชิงปฏิบัติการ: คุณต้องมีนโยบายช่องทางรีลีส มาตรฐานการสำรองข้อมูล ขั้นตอน staging การทยอยปล่อย และแผนย้อนกลับ เป้าหมายนั้นพูดง่ายแต่ทำได้ยากในระดับใหญ่ — ทุกอุปกรณ์ต้องได้รับการแพตช์ และไม่มีเครื่องใดดับในระหว่างกระบวนการ

มันสมควรมีเวิร์กโฟลว์ที่แท้จริงเพราะการอัปเกรดแตะต้องสิ่งเดียวที่คุณเข้าถึงได้ยากอีกครั้งหากล้มเหลว: เราเตอร์ที่ขอบฝั่งลูกค้า ซึ่งมักอยู่หลัง CGNAT การ push ที่ผิดพลาดจนสูญเสียการเข้าถึงเพื่อจัดการกลายเป็นการออกไปหน้างาน ดังนั้นเวิร์กโฟลว์ด้านล่างจึงให้ความสำคัญกับความปลอดภัยและการเข้าถึงได้ก่อน แล้วจึงค่อยเป็นความเร็ว

ทำไมต้องแพตช์ตอนนี้: ภาพรวมความปลอดภัยปี 2026

จังหวะการแพตช์ยังคงเป็นงานเบื้องหลังที่เงียบ ๆ จนกว่าจะมีช่องโหว่บีบให้ต้องลงมือ และปี 2026 ให้เหตุผลที่เป็นรูปธรรมในการกระชับมันให้แน่นขึ้น CVE-2026-7668 เป็นการอ่านนอกขอบเขต (out-of-bounds read) ในจุดปลาย SCEP ของ RouterOS ได้คะแนน CVSS 7.3 (สูง) สามารถถูกกระตุ้นจากระยะไกลและมี exploit สาธารณะอยู่แล้ว คำแนะนำด้านความปลอดภัยแยกต่างหากในรอบนี้ครอบคลุมปัญหาการควบคุมการเข้าถึงที่ไม่เหมาะสมในการตรวจสอบ source-IP ของ VXLAN (แก้ไขใน RouterOS 7.20 ขึ้นไป) และช่องโหว่หน่วยความจำเสียหายในบริการ SMB ที่ผู้โจมตีซึ่งไม่ได้รับการยืนยันตัวตนสามารถกระตุ้นได้ด้วยแพ็กเก็ตที่จัดทำขึ้นเป็นพิเศษ

แนวทางของ MikroTik สอดคล้องกันเสมอ: รักษา RouterOS ให้เป็นปัจจุบันและอยู่หลังไฟร์วอลล์ที่บล็อกเครือข่ายที่ไม่น่าเชื่อถือ สาย stable ปัจจุบันคือ RouterOS 7.23.1 (เปิดตัว 2 มิถุนายน 2026) ยังแก้ไขการรั่วของหน่วยความจำ BGP และปัญหาเสถียรภาพของ DHCPv4-snooping อีกด้วย นี่คือเหตุผลธรรมดาที่ฟลีตต้องการกระบวนการแพตช์ที่ทำซ้ำได้แทนการอัปเกรดแบบเฉพาะกิจ

ขั้นตอนที่ 1 — เลือกช่องทางรีลีสที่เหมาะสม

RouterOS มีมากกว่าหนึ่งสาย และการเลือกเป็นการตัดสินใจเชิงนโยบาย ไม่ใช่ความชอบส่วนตัว รีลีส stable ออกทุกไม่กี่เดือนพร้อมฟีเจอร์และการแก้ไขที่ผ่านการทดสอบ ส่วนรีลีส long-term จะได้รับเฉพาะการแก้ไขที่สำคัญและด้านความปลอดภัย และเปลี่ยนแปลงระหว่างเวอร์ชันน้อยกว่ามาก สำหรับฟลีต edge และ CPE ของ ISP ที่ให้คุณค่ากับความคาดเดาได้ สาย long-term มักเป็นค่าเริ่มต้นที่เหมาะสม โดยสงวน stable ไว้สำหรับฮาร์ดแวร์หรือฟีเจอร์ที่จำเป็นต้องใช้ ไม่ว่าคุณจะเลือกอะไร: อย่ารัน build แบบ testing หรือ development ในระบบโปรดักชันเด็ดขาด จัดทำเอกสารบันทึกสายตามคลาสอุปกรณ์ เพื่อให้การตัดสินใจทำซ้ำได้ทั่วทั้งทีม

ขั้นตอนที่ 2 — สำรองและส่งออกก่อน

อย่าอัปเกรดโดยไม่มีจุดกู้คืน สร้างทั้งสำรองข้อมูลแบบไบนารี (/system backup save) และไฟล์ส่งออกการตั้งค่าที่มนุษย์อ่านได้ (/export file=) เพราะไฟล์ส่งออกอยู่รอดจากการเปลี่ยนเวอร์ชันและให้คุณสร้างใหม่ได้แม้สำรองข้อมูลแบบไบนารีจะกู้คืนลงใน build อื่นไม่ได้ ดึงทั้งสองออกจากอุปกรณ์มายังระบบจัดการของคุณ ยืนยันว่ามีพื้นที่จัดเก็บว่างเพียงพอสำหรับแพ็กเกจใหม่ก่อนเริ่ม และเลือกใช้การเชื่อมต่อแบบมีสายหรือคอนโซล — การอัปเกรดผ่าน Wi-Fi หรือลิงก์ที่ไม่เสถียรคือสาเหตุที่เราเตอร์กลายเป็นก้อนหิน (bricked) กลางการเขียน สำหรับอุปกรณ์ที่การเข้าถึงเพื่อกู้คืนคือความกังวลที่แท้จริง คู่มือกู้คืนด้วย Netinstall ของเราคือทางเลือกสำรองเมื่อการอัปเกรดผิดพลาด

ขั้นตอนที่ 3 — ทดสอบบนอุปกรณ์นำร่อง

อัปเกรดเราเตอร์ตัวแทนหนึ่งเครื่องก่อนและเฝ้าดูมัน เลือกอุปกรณ์ที่สะท้อนคลาสโปรดักชัน — รุ่นเดียวกัน บทบาทเดียวกัน การตั้งค่าใกล้เคียงกัน — และนำเวอร์ชันเป้าหมายไปใช้ในช่วงหน้าต่างบำรุงรักษา หลังจากรีบูต ให้ตรวจสอบเวอร์ชัน ยืนยันว่าแพ็กเกจเปิดใช้งานอยู่ และตรวจดู changelog สำหรับการเปลี่ยนแปลงพฤติกรรมที่กระทบการตั้งค่าของคุณ (ความหมายของไฟร์วอลล์ บริการเริ่มต้น การตั้งชื่ออินเทอร์เฟซ) เมื่ออุปกรณ์นำร่องผ่านสะอาดแล้วเท่านั้น คุณจึงอนุมัติการปล่อยในวงกว้างขึ้น ขั้นตอนเดียวนี้ป้องกันโหมดความล้มเหลวที่แพงที่สุด: การค้นพบการถดถอยหลังจากที่มันถูกส่งถึงลูกค้าหนึ่งพันรายไปแล้ว

ขั้นตอนที่ 4 — ทยอยปล่อยเป็นระลอกที่คำนึงถึงโทโพโลยี

การปล่อยจำนวนมากเป็นเรื่องของลำดับและจังหวะ ไม่ใช่การกดปุ่มทุกที่พร้อมกัน จัดกลุ่มอุปกรณ์ตามโทโพโลยีเพื่อให้เราเตอร์ที่เชื่อมต่อกันเป็นลูกโซ่อัปเดตตามลำดับ — คุณไม่ต้องการให้เราเตอร์ต้นทางรีบูตก่อนที่อุปกรณ์ปลายทางจะดึงแพ็กเกจมาได้ กำหนดระลอกด้วยหน้าต่างบำรุงรักษาของตัวเอง และติดตามแต่ละอุปกรณ์ในรายการกระทบยอด เพื่อให้เครื่องที่มีปัญหาถูกจัดคิวใหม่ ไม่ถูกลืม เพื่อลดแบนด์วิดท์อินเทอร์เน็ต ให้ชี้อุปกรณ์ไปยังเราเตอร์ส่วนกลางที่ทำหน้าที่เป็นแพ็กเกจมิเรอร์ในเครื่อง สิ่งนี้ยังควบคุมว่าฟลีตจะดึงเวอร์ชันใดได้บ้าง

การทยอยปล่อยจะได้ผลก็ต่อเมื่อคุณสามารถเข้าถึงทุกอุปกรณ์จริง ๆ เพื่อยืนยันว่ามันกลับมาแล้ว นั่นคือจุดติดขัดเชิงปฏิบัติการกับ CPE ที่อยู่หลัง CGNAT — และเป็นจุดที่การจัดการแบบรวมศูนย์แสดงคุณค่าของมัน

ขั้นตอนที่ 5 — ตรวจสอบ แล้วย้อนกลับเมื่อจำเป็น

หลังแต่ละระลอก ให้ยืนยันผลลัพธ์: ตรวจสอบเวอร์ชันที่รายงาน ยืนยันว่าเฟิร์มแวร์ routerboard ได้รับการอัปเกรดด้วยในกรณีที่เกี่ยวข้อง (/system routerboard upgrade) และตรวจสอบว่าบริการที่คุณให้ความสำคัญส่งผ่านการรับส่งข้อมูลได้ หากอุปกรณ์ทำงานผิดปกติ ให้กู้คืนสำรองข้อมูลแบบไบนารีก่อนหน้า หรือสร้างใหม่จากไฟล์ส่งออก RSC หรือติดตั้งเวอร์ชันก่อนหน้าใหม่ด้วย Netinstall เป็นทางเลือกสุดท้าย โปรแกรมการแพตช์ไม่ได้ ‘เสร็จสิ้น’ เมื่อติดตั้งเวอร์ชันใหม่แล้ว — มันเสร็จสิ้นเมื่อทุกอุปกรณ์ได้รับการยืนยันว่าแข็งแรงดี และทุกข้อยกเว้นถูกติดตามจนปิดเรื่อง

เคล็ดลับสำหรับการแพตช์ระดับฟลีต

  • กำหนดมาตรฐานเป็นเบสไลน์ที่เสริมความแข็งแกร่งเดียวเพื่อให้การอัปเกรดคาดเดาได้ แนวปฏิบัติที่ดีที่สุดด้านความปลอดภัย Winbox และ คู่มือปฏิบัติการความปลอดภัย device-mode ของเรากำหนดเบสไลน์ที่ปัญหาการอัปเกรดส่วนใหญ่สืบย้อนกลับไปได้
  • จำกัดการเข้าถึงเพื่อจัดการให้อยู่บน VPN หรือ IP ที่เชื่อถือได้ทั้งก่อนและหลังการอัปเกรด เพื่อให้ฟลีตที่แพตช์ไปครึ่งทางไม่ถูกเปิดเผยออกสู่ภายนอก
  • รักษาให้ระนาบการจัดการเข้าถึงได้แม้อยู่หลัง CGNAT เพื่อให้การตรวจสอบและการย้อนกลับไม่ต้องไปหน้างาน
  • ตรวจดูคำแนะนำด้านความปลอดภัยของ MikroTik ตามกำหนดการ แทนที่จะรอจนเกิดเหตุการณ์

คำถามที่พบบ่อย

ฉันควรอัปเดต RouterOS บ่อยแค่ไหน? ประเมินแต่ละรีลีสเทียบกับนโยบายสายของคุณ และแพตช์นอกรอบเมื่อใดก็ตามที่คำแนะนำด้านความปลอดภัยกระทบบริการที่คุณเปิดเผยออกสู่ภายนอก ไม่มีช่วงเวลาตายตัว — มีเพียงจังหวะที่ขับเคลื่อนด้วยความเสี่ยง

Stable หรือ long-term สำหรับฟลีต ISP? Long-term เป็นค่าเริ่มต้นที่ปลอดภัยกว่าสำหรับ edge และ CPE ใช้ stable ในจุดที่คุณต้องการการรองรับฮาร์ดแวร์หรือฟีเจอร์ที่ใหม่กว่า หลังจากตรวจสอบความถูกต้องใน staging แล้ว

จะทำอย่างไรหากการอัปเกรดทำให้อุปกรณ์ระยะไกลกลายเป็นก้อนหิน? กู้คืนจากสำรองข้อมูลหรือไฟล์ส่งออก RSC หากอุปกรณ์เข้าถึงไม่ได้ ให้กู้คืนด้วย Netinstall นี่คือเหตุผลที่สำรองข้อมูลที่ผ่านการทดสอบและเส้นทางการจัดการที่เข้าถึงได้เป็นข้อบังคับก่อนทุกระลอก

แพตช์ทั้งฟลีตของคุณโดยไม่ต้องออกไปหน้างาน

ส่วนที่ยากที่สุดของการแพตช์ฟลีตไม่ใช่การอัปเกรด — แต่คือการเข้าถึงและตรวจสอบทุกอุปกรณ์หลังจากนั้น โดยเฉพาะ CPE ที่อยู่หลัง CGNAT MKController รวมศูนย์การมองเห็นทั่วทั้งฟลีต MikroTik ของคุณ และ NATCloud ให้คุณเข้าถึงได้จากภายในสู่ภายนอกโดยไม่ต้องทำพอร์ตฟอร์เวิร์ดดิ้ง เพื่อให้การทยอยปล่อย การตรวจสอบ และการย้อนกลับ ทั้งหมดเกิดขึ้นจากระยะไกล

เริ่มทดลองใช้ MKController ฟรี