İçeriğe geç
InstagramYouTubeFacebook

Tutorial

MikroTik RouterOS Güncelleme Kılavuzu

ISP filosunda MikroTik RouterOS nasıl güncellenir ve yamalanır: yayın kanalları, kademeli dağıtım, yedekler, geri alma ve 2026 CVE'leri.

Özet Bir ISP filosu genelinde MikroTik RouterOS güncellemek, tek tıkla yapılan bir işlem değil, kontrollü bir süreçtir. SLA’larınıza uyan bir yayın kanalı seçin, her cihazı yedekleyin, bir pilotta doğrulayın ve ardından net bir geri alma yolu ile topolojiye duyarlı dalgalar hâlinde dağıtın. 2026’da bu her zamankinden daha önemli: kamuya açık şekilde istismar edilebilen bir RouterOS açığı (CVE-2026-7668) ve yeni bir stable sürümü (7.23.1), yamasız edge yönlendiricilerin aktif bir risk olduğu anlamına geliyor.

Bir ISP filosu için MikroTik RouterOS güncelleme ve yamalama iş akışı: kanal seçimi, yedekleme, pilot test, kademeli dağıtım ve geri alma

Bir ISP Filosu için RouterOS Yamalama Nedir?

RouterOS yamalama, güvenlik açıklarını, kararlılık hatalarını ve davranış gerilemelerini gidermek için bir MikroTik cihaz topluluğunu bir RouterOS sürümünden daha yenisine taşıma sürecidir — üzerinde çalışan hizmetleri bozmadan. Tek bir ev yönlendiricisinde bu iki dakikalık bir iştir. Yüzlerce ya da binlerce CPE ve edge yönlendiricisi genelinde ise operasyonel bir programa dönüşür: bir yayın kanalı politikasına, bir yedekleme standardına, bir staging adımına, kademeli bir dağıtıma ve bir geri alma planına ihtiyacınız vardır. Hedef söylenmesi kolay, büyük ölçekte yapılması zordur — her cihaz yamalanmış olarak biter ve bu süreçte hiçbiri devre dışı kalmaz.

Gerçek bir iş akışını hak eder; çünkü bir yükseltme, başarısız olursa kolayca yeniden erişemeyeceğiniz tek şeye dokunur: müşteri kenarındaki, çoğu zaman CGNAT arkasındaki bir yönlendiriciye. Yönetim erişimini kaybeden hatalı bir dağıtım, saha ziyaretine dönüşür. Bu nedenle aşağıdaki iş akışı önce güvenlik ve erişilebilirlik için, sonra hız için optimize edilmiştir.

Neden Şimdi Yamalamalı: 2026 Güvenlik Tablosu

Yamalama ritmi, bir güvenlik açığı meseleyi zorlayana kadar sessiz bir arka plan görevi olarak kalır ve 2026 bunu sıkılaştırmak için somut nedenler sunuyor. CVE-2026-7668, RouterOS SCEP uç noktasında CVSS 7.3 (Yüksek) puanlı bir sınır dışı okuma (out-of-bounds read) açığıdır; uzaktan tetiklenebilir ve kamuya açık bir istismar mevcuttur. Bu döngüdeki ayrı tavsiye yazıları, VXLAN kaynak IP doğrulamasındaki uygunsuz erişim denetimi sorununu (RouterOS 7.20 ve sonrasında giderildi) ve kimliği doğrulanmamış bir saldırganın özel hazırlanmış paketlerle tetikleyebileceği SMB hizmetindeki bir bellek bozulması açığını kapsar.

MikroTik’in yönlendirmesi tutarlıdır: RouterOS’u güncel tutun ve güvenilmeyen ağları engelleyen bir güvenlik duvarının arkasında bulundurun. Mevcut stable dalı olan RouterOS 7.23.1 (2 Haziran 2026’da yayımlandı), ayrıca bir BGP bellek sızıntısını ve bir DHCPv4-snooping kararlılık sorununu giderir. Filoların geçici yükseltmeler yerine tekrarlanabilir bir yama sürecine ihtiyaç duymasının sıradan nedeni budur.

Adım 1 — Doğru Yayın Kanalını Seçin

RouterOS birden fazla dal sunar ve bu seçim bir tercih değil, bir politika kararıdır. Stable sürümleri test edilmiş özellikler ve düzeltmelerle birkaç ayda bir çıkar; long-term sürümleri yalnızca kritik ve güvenlik düzeltmeleri alır ve sürümler arasında çok daha az değişir. Öngörülebilirliğe değer veren ISP edge ve CPE filoları için long-term dalı genellikle doğru varsayılandır; stable ise bunu gerektiren donanım veya özellikler için ayrılır. Ne seçerseniz seçin: üretimde asla testing veya development derlemeleri çalıştırmayın. Kararın ekip genelinde tekrarlanabilir olması için dalı cihaz sınıfı başına belgeleyin.

Adım 2 — Önce Yedekleyin ve Dışa Aktarın

Asla bir kurtarma noktası olmadan yükseltme yapmayın. Hem bir ikili yedek (/system backup save) hem de okunabilir bir yapılandırma dışa aktarımı (/export file=) oluşturun; çünkü dışa aktarım sürüm değişikliklerinden sağ çıkar ve bir ikili yedek farklı bir derlemeye geri yüklenemese bile yeniden inşa etmenize olanak tanır. Her ikisini de cihazdan yönetim sisteminize çekin. Başlamadan önce yeni paketler için yeterli boş depolama alanı olduğunu doğrulayın ve kablolu ya da konsol bağlantısını tercih edin — Wi-Fi veya istikrarsız bir bağlantı üzerinden yükseltme, yönlendiricilerin yazma sırasında bozulmasının (bricked) yoludur. Kurtarma erişiminin asıl endişe olduğu cihazlar için, bir yükseltme ters gittiğinde yedek seçeneğimiz Netinstall kurtarma kılavuzumuzdur.

Adım 3 — Bir Pilot Cihazda Test Edin

Önce temsil edici bir yönlendiriciyi yükseltin ve onu izleyin. Bir üretim sınıfını yansıtan bir cihaz seçin — aynı model, aynı rol, benzer yapılandırma — ve hedef sürümü bir bakım penceresi sırasında uygulayın. Yeniden başladıktan sonra sürümü doğrulayın, paketlerin etkin olduğunu teyit edin ve yapılandırmanızı etkileyen davranış değişiklikleri için changelog’u inceleyin (güvenlik duvarı semantiği, varsayılan hizmetler, arabirim adlandırması). Yalnızca pilot temiz olduğunda daha geniş dağıtımı yetkilendirin. Bu tek adım, en pahalı hata türünü önler: bir gerilemeyi, zaten bin müşteriye dağıtıldıktan sonra keşfetmek.

Adım 4 — Topolojiye Duyarlı Dalgalar Hâlinde Dağıtın

Toplu dağıtım, her yerde aynı anda bir düğmeye basmakla değil, sıralama ve hızla ilgilidir. Zincirleme yönlendiricilerin sırayla güncellenmesi için cihazları topolojiye göre gruplayın — bir alt cihaz paketlerini almadan önce bir üst yönlendiricinin yeniden başlamasını istemezsiniz. Dalgaları kendi bakım pencereleriyle tanımlayın ve her cihazı bir mutabakat listesinde izleyin; böylece sorunlu her birim unutulmaz, yeniden kuyruğa alınır. İnternet bant genişliğini azaltmak için cihazları yerel bir paket aynası olarak görev yapan merkezi bir yönlendiriciye yönlendirin; bu ayrıca filonun hangi sürümü alabileceğini de denetler.

Kademeli bir dağıtım, yalnızca her cihaza gerçekten ulaşıp geri döndüğünü doğrulayabiliyorsanız işe yarar. CGNAT arkasındaki CPE ile operasyonel sorun budur — ve merkezi yönetimin değerini kanıtladığı yer de burasıdır.

Adım 5 — Doğrulayın, Sonra Gerekirse Geri Alın

Her dalgadan sonra sonucu doğrulayın: bildirilen sürümü kontrol edin, uygun olduğu yerde routerboard ürün yazılımının da yükseltildiğini teyit edin (/system routerboard upgrade) ve önemsediğiniz hizmetlerin trafiği geçirdiğini doğrulayın. Bir cihaz hatalı davranırsa önceki ikili yedeği geri yükleyin ya da RSC dışa aktarımından yeniden inşa edin ya da son çare olarak önceki sürümü Netinstall ile yeniden kurun. Bir yama programı, yeni sürüm kurulduğunda “tamamlanmış” olmaz — her cihazın sağlıklı olduğu doğrulandığında ve her istisna kapanışa kadar izlendiğinde tamamlanmış olur.

Filo Ölçeğinde Yamalama için İpuçları

  • Yükseltmelerin öngörülebilir olması için tek bir sağlamlaştırılmış temel hat standardı belirleyin. Winbox güvenlik en iyi uygulamalarımız ve device-mode güvenlik operasyonları kılavuzumuz, çoğu yükseltme sorununun kökenindeki temel hattı tanımlar.
  • Yarı yamalı bir filonun asla açıkta kalmaması için yönetim erişimini yükseltmelerden önce ve sonra bir VPN’e veya güvenilir IP’lere kısıtlayın.
  • Doğrulama ve geri alma işlemlerinin saha ziyareti gerektirmemesi için yönetim düzlemini CGNAT arkasında bile erişilebilir tutun.
  • Bir olay beklemek yerine MikroTik’in güvenlik tavsiyelerini bir takvime göre gözden geçirin.

SSS

RouterOS’u ne sıklıkla güncellemeliyim? Her sürümü dal politikanıza göre değerlendirin ve açığa çıkardığınız hizmetleri bir tavsiye etkilediğinde plan dışı yama uygulayın. Sabit bir aralık yoktur — yalnızca riskle yönlendirilen bir ritim vardır.

Bir ISP filosu için stable mı yoksa long-term mı? Edge ve CPE için long-term daha güvenli varsayılandır; daha yeni donanım desteği veya özelliklere ihtiyaç duyduğunuz yerde, staging ortamında doğruladıktan sonra stable kullanın.

Bir yükseltme uzaktaki bir cihazı bozarsa (brick) ne olur? Yedekten veya RSC dışa aktarımından geri yükleyin; cihaz erişilemezse Netinstall ile kurtarın. Bu yüzden her dalgadan önce test edilmiş bir yedek ve erişilebilir bir yönetim yolu zorunludur.

Tüm Filonuzu Saha Ziyaretleri Olmadan Yamalayın

Filo yamalamanın en zor kısmı yükseltme değildir — özellikle CGNAT arkasındaki CPE’de, sonrasında her cihaza ulaşmak ve doğrulamaktır. MKController, MikroTik filonuz genelinde görünürlüğü merkezileştirir ve NATCloud, port yönlendirme olmadan içeriden dışarıya erişilebilirlik sağlar; böylece kademeli dağıtımlar, doğrulama ve geri alma işlemlerinin tümü uzaktan gerçekleşir.

Ücretsiz MKController denemenizi başlatın