Saltearse al contenido
MKController

Errores de Backup MikroTik en MKController

Resumen Esta guía cubre las 3 razones más comunes por las que los dispositivos MikroTik no generan backups en MKController: la cuenta de usuario de MKController está deshabilitada, el puerto del servicio API está cerrado, o una regla de firewall está bloqueando el acceso de MKController. Cada problema incluye instrucciones de resolución paso a paso y finaliza con la opción de volver a ejecutar el script de adopción para restaurar automáticamente todas las configuraciones necesarias.

¿Por Qué Fallan los Backups de MikroTik en MKController?

MKController crea backups binarios diarios comunicándose con tu dispositivo MikroTik a través del servicio API por el túnel VPN. Si alguna de las tres condiciones no se cumple — el usuario de MKController está activo, el puerto API es accesible y la regla de firewall de MKController está en su lugar — la generación de backups fallará silenciosamente o devolverá un error.

Revisa los tres puntos a continuación en orden.

Verificación 1: ¿Está Habilitada la Cuenta de Usuario de MKController?

El script de adopción crea una cuenta de usuario dedicada en tu MikroTik (identificable por su nombre en formato UUID). Si esta cuenta está deshabilitada o eliminada, MKController no puede autenticarse en el dispositivo.

  1. Inicia sesión en tu MikroTik vía WebFig o Winbox.

  2. Ve a System → Users.

    Menú System Users en MikroTik

  3. Busca el usuario con nombre en formato UUID (creado por MKController). Si está deshabilitado, habilítalo.

    Habilitar cuenta de usuario MKController en MikroTik System Users

Verificación 2: ¿Están Abiertos y Accesibles los Puertos del Servicio API?

MKController usa el puerto de la API de RouterOS para crear backups. Si el puerto está deshabilitado o tiene un filtro IP que excluye la dirección del gateway VPN (10.8.0.1), los backups fallarán.

  1. Inicia sesión en tu MikroTik vía WebFig o Winbox.

  2. Ve a IP → Services.

    Menú IP Services en MikroTik

  3. Verifica que el puerto api esté habilitado. Si está deshabilitado, habilítalo.

    Puerto API habilitado en MikroTik IP Services

  4. Si el filtro Available From está configurado, verifica que 10.8.0.1 esté listado. Agrégalo si falta, o deshabilita el filtro para permitir el acceso desde todas las direcciones VPN.

    Filtro Available From en MikroTik IP Services — agregar 10.8.0.1

Verificación 3: ¿Está Presente y Activa la Regla de Firewall de MKController?

El script de adopción crea una regla de firewall llamada “MKController” que acepta tráfico desde 10.8.0.1. Si esta regla fue eliminada, deshabilitada o colocada debajo de una regla de bloqueo, MKController no puede alcanzar el dispositivo.

  1. Inicia sesión en tu MikroTik vía WebFig o Winbox.

  2. Ve a IP → Firewall.

    Menú IP Firewall en MikroTik

  3. Encuentra la regla llamada MKController. Debe estar:

    • Habilitada (no deshabilitada/en gris).
    • Posicionada por encima de cualquier regla de bloqueo o rechazo en la cadena de entrada.

    Regla de firewall MKController habilitada y en la parte superior de la cadena de entrada

Si la regla falta, vuelve a ejecutar el script de adopción (ver a continuación) para restaurarla.

¿Aún Falla? Vuelve a Ejecutar el Script de Adopción

Si los tres puntos de verificación están correctos y los backups siguen fallando, volver a ejecutar el script de adopción restaurará automáticamente todas las configuraciones de MKController en el dispositivo.

  1. En MKController, encuentra el dispositivo y haz clic en View More.

    Botón View More en la tarjeta del dispositivo en MKController

  2. Selecciona Device Configuration en el menú del dispositivo.

    Opción del menú Device Configuration en MKController

  3. En la sección Adoption Script, copia el script.

    Copiar script de adopción desde Device Configuration en MKController

  4. Ejecuta el script copiado en el dispositivo MikroTik vía WebFig, Winbox o SSH. Consulta la guía de Onboarding para las instrucciones.

Prevenir Fallos de Backup Antes de que Ocurran

La mayoría de los fallos de backup ocurren cuando alguien del equipo modifica la configuración de MikroTik sin darse cuenta del impacto en el acceso de MKController. Las causas más comunes:

  • Eliminar o deshabilitar el usuario de MKController — sucede cuando un técnico limpia cuentas “sin usar” en el router
  • Bloquear el puerto 8728 en el firewall — sucede cuando un script de hardening deshabilita todo el acceso API por seguridad
  • Mover la regla de aceptación del firewall debajo de una regla de bloqueo — sucede durante la reorganización del firewall

Para prevenir futuros fallos, considera añadir una nota o etiqueta al usuario y a la regla de firewall de MKController en Winbox/WebFig, para que los miembros del equipo sepan que no deben modificarlos.

¿Qué Usa MKController para Crear Backups?

Entender el flujo técnico ayuda a diagnosticar casos complejos:

  1. MKController se comunica con el dispositivo a través del túnel VPN cifrado (interfaz ovpn-MKController, gateway 10.8.0.1).
  2. Se autentica en el servicio de la API de RouterOS en el puerto 8728 usando las credenciales del usuario de MKController.
  3. Emite los comandos /system backup save y /export compact para generar los archivos de backup.
  4. Los archivos se recuperan a través de la misma conexión API y se almacenan en la nube de MKController.

Si algún paso en esta cadena falla — túnel caído, usuario deshabilitado, API bloqueada, bloqueo de firewall — el backup no se completará.

Preguntas Frecuentes

¿Cómo sé si los backups están fallando actualmente para un dispositivo? En MKController, abre el dispositivo y mira la sección Backups. Si la marca de tiempo del backup más reciente tiene más de 48 horas (considerando variaciones de zona horaria), probablemente ha ocurrido un fallo. Verifica el estado del dispositivo y revisa los tres puntos anteriores.

¿Volver a ejecutar el script de adopción afecta mi configuración actual de RouterOS? No. El script de adopción solo crea o repara los elementos específicos de MKController: la cuenta de usuario de MKController, la configuración del túnel VPN y la regla de aceptación del firewall. No modifica tus reglas de firewall existentes, enrutamiento, direcciones IP ni ninguna otra configuración.

¿Puedo deshabilitar la API de RouterOS después de la adopción sin romper MKController? No. MKController requiere que la API de RouterOS (puerto 8728) sea accesible desde 10.8.0.1 para crear backups y ejecutar comandos de gestión. Deshabilitar la API rompe la generación de backups y la configuración remota.

Si el problema persiste después de todas las verificaciones y volver a ejecutar el script, contacta al soporte de MKController por WhatsApp. Nuestro equipo puede revisar los registros del dispositivo y ayudar a diagnosticar casos complejos.