Zum Inhalt springen
MKController

Backup-Fehler in MKController beheben

Zusammenfassung Diese Anleitung beschreibt die 3 häufigsten Ursachen, warum MikroTik-Geräte in MKController keine Backups erstellen: Das MKController-Benutzerkonto ist deaktiviert, der API-Serviceport ist geschlossen oder eine Firewall-Regel blockiert den MKController-Zugriff. Zu jedem Problem gibt es eine schrittweise Lösung. Am Ende steht jeweils die Möglichkeit, das Adoptionsskript erneut auszuführen, um alle erforderlichen Konfigurationen automatisch wiederherzustellen.

Warum schlagen MikroTik-Backups in MKController fehl?

MKController erstellt täglich binäre Backups, indem es über den API-Service durch den VPN-Tunnel mit Ihrem MikroTik-Gerät kommuniziert. Sind drei Bedingungen nicht erfüllt — der MKController-Benutzer ist aktiv, der API-Port ist erreichbar und die MKController-Firewallregel ist vorhanden — schlägt die Backuperstellung lautlos fehl oder liefert eine Fehlermeldung.

Gehen Sie die drei folgenden Prüfpunkte der Reihe nach durch.

Prüfung 1: Ist das MKController-Benutzerkonto aktiviert?

Das Adoptionsskript legt auf Ihrem MikroTik ein dediziertes Benutzerkonto an (erkennbar am UUID-ähnlichen Namen). Ist dieses Konto deaktiviert oder gelöscht, kann sich MKController nicht am Gerät authentifizieren.

  1. Melden Sie sich an Ihrem MikroTik über WebFig oder Winbox an.

  2. Navigieren Sie zu System → Benutzer.

    Menü System Benutzer in MikroTik

  3. Suchen Sie den Benutzer mit dem UUID-ähnlichen Namen (erstellt durch MKController). Ist er deaktiviert, aktivieren Sie ihn.

    MKController-Benutzerkonto in MikroTik System Benutzer aktivieren

Prüfung 2: Sind die API-Serviceports geöffnet und erreichbar?

MKController verwendet den RouterOS-API-Port zum Erstellen von Backups. Ist der Port deaktiviert oder enthält ein IP-Filter nicht die VPN-Gateway-Adresse (10.8.0.1), schlagen Backups fehl.

  1. Melden Sie sich an Ihrem MikroTik über WebFig oder Winbox an.

  2. Navigieren Sie zu IP → Dienste.

    Menü IP Dienste in MikroTik

  3. Stellen Sie sicher, dass der api-Port aktiviert ist. Ist er deaktiviert, aktivieren Sie ihn.

    API-Port aktiviert in MikroTik IP Dienste

  4. Ist der Filter Verfügbar von konfiguriert, prüfen Sie, ob 10.8.0.1 eingetragen ist. Fügen Sie die Adresse bei Bedarf hinzu oder deaktivieren Sie den Filter, um den Zugriff von allen VPN-Adressen zu erlauben.

    Filter Verfügbar von in MikroTik IP Dienste — 10.8.0.1 hinzufügen

Prüfung 3: Ist die MKController-Firewallregel vorhanden und aktiv?

Das Adoptionsskript erstellt eine Firewallregel namens „MKController”, die Datenverkehr von 10.8.0.1 zulässt. Wurde diese Regel gelöscht, deaktiviert oder unterhalb einer Drop-Regel verschoben, kann MKController das Gerät nicht erreichen.

  1. Melden Sie sich an Ihrem MikroTik über WebFig oder Winbox an.

  2. Navigieren Sie zu IP → Firewall.

    Menü IP Firewall in MikroTik

  3. Suchen Sie die Regel mit dem Namen MKController. Sie muss:

    • Aktiviert sein (nicht deaktiviert/ausgegraut).
    • Oberhalb aller Drop- oder Reject-Regeln in der Input-Chain platziert sein.

    MKController-Firewallregel aktiviert und an erster Stelle der Input-Chain

Fehlt die Regel, führen Sie das Adoptionsskript erneut aus (siehe unten), um sie wiederherzustellen.

Backups schlagen weiterhin fehl? Adoptionsskript erneut ausführen

Sind alle drei Prüfpunkte bestanden und schlagen Backups dennoch fehl, stellt das erneute Ausführen des Adoptionsskripts alle MKController-Konfigurationen auf dem Gerät automatisch wieder her.

  1. Suchen Sie in MKController das Gerät und klicken Sie auf Mehr anzeigen.

    Schaltfläche Mehr anzeigen auf der Gerätekarte in MKController

  2. Wählen Sie im Gerätemenü Gerätekonfiguration aus.

    Menüoption Gerätekonfiguration in MKController

  3. Kopieren Sie im Bereich Adoptionsskript das Skript.

    Adoptionsskript aus Gerätekonfiguration in MKController kopieren

  4. Führen Sie das kopierte Skript auf dem MikroTik-Gerät über WebFig, Winbox oder SSH aus. Eine Anleitung finden Sie im Onboarding-Leitfaden.

Backup-Fehler proaktiv verhindern

Die meisten Backup-Fehler entstehen, wenn jemand im Team die MikroTik-Konfiguration ändert, ohne die Auswirkungen auf den MKController-Zugriff zu kennen. Die häufigsten Ursachen:

  • Löschen oder Deaktivieren des MKController-Benutzers — passiert, wenn ein Techniker „ungenutzte” Konten auf dem Router bereinigt
  • Blockieren von Port 8728 in der Firewall — passiert, wenn ein Härtungsskript den gesamten API-Zugriff aus Sicherheitsgründen deaktiviert
  • Verschieben der Firewall-Accept-Regel unterhalb einer Drop-Regel — passiert bei der Umstrukturierung der Firewall

Um künftige Fehler zu verhindern, empfehlen wir, den MKController-Benutzer und die Firewallregel in Winbox/WebFig mit einer Notiz oder einem Label zu versehen, damit Teammitglieder wissen, dass diese nicht verändert werden dürfen.

Wie erstellt MKController Backups?

Das Verständnis des technischen Ablaufs hilft bei der Diagnose von Sonderfällen:

  1. MKController kommuniziert mit dem Gerät über den verschlüsselten VPN-Tunnel (Interface ovpn-MKController, Gateway 10.8.0.1).
  2. Es authentifiziert sich am RouterOS-API-Service auf Port 8728 mit den MKController-Benutzeranmeldedaten.
  3. Es führt die Befehle /system backup save und /export compact aus, um die Backup-Dateien zu erstellen.
  4. Die Dateien werden über dieselbe API-Verbindung abgerufen und in der MKController-Cloud gespeichert.

Schlägt ein Schritt in dieser Kette fehl — Tunnel unterbrochen, Benutzer deaktiviert, API blockiert, Firewall-Drop — wird das Backup nicht abgeschlossen.

Häufig gestellte Fragen

Wie erkenne ich, ob Backups für ein Gerät aktuell fehlschlagen? Öffnen Sie das Gerät in MKController und sehen Sie sich den Bereich „Backups” an. Ist der aktuellste Backup-Zeitstempel älter als 48 Stunden (unter Berücksichtigung von Zeitzonendifferenzen), ist wahrscheinlich ein Fehler aufgetreten. Prüfen Sie den Gerätestatus und gehen Sie die drei Prüfpunkte oben durch.

Beeinflusst ein erneuter Durchlauf des Adoptionsskripts meine aktuelle RouterOS-Konfiguration? Nein. Das Adoptionsskript erstellt oder repariert ausschließlich MKController-spezifische Elemente: das MKController-Benutzerkonto, die VPN-Tunnel-Konfiguration und die Firewall-Accept-Regel. Es verändert weder bestehende Firewallregeln noch Routing, IP-Adressen oder sonstige Konfigurationen.

Kann ich die RouterOS-API nach der Adoption deaktivieren, ohne MKController zu beeinträchtigen? Nein. MKController benötigt die RouterOS-API (Port 8728), die von 10.8.0.1 aus erreichbar sein muss, um Backups zu erstellen und Verwaltungsbefehle auszuführen. Das Deaktivieren der API unterbricht die Backuperstellung und die Remotekonfiguration.

Wenn das Problem nach allen Prüfschritten und einem erneuten Skriptdurchlauf weiterhin besteht, kontaktieren Sie den MKController-Support auf WhatsApp. Unser Team kann die Geräteprotokolle einsehen und Sonderfälle diagnostizieren.