Risolvi Errori Backup MikroTik

Sommario Questa guida tratta le 3 cause più comuni per cui i dispositivi MikroTik non riescono a generare backup in MKController: l’account utente MKController è disabilitato, la porta del servizio API è chiusa, o una regola firewall blocca l’accesso MKController. Ogni problema include istruzioni di risoluzione passo-passo e termina con l’opzione di rieseguire lo script di adozione per ripristinare automaticamente tutte le configurazioni richieste.

Perché i backup MikroTik falliscono in MKController?

MKController crea backup binari giornalieri comunicando con il tuo dispositivo MikroTik tramite il servizio API attraverso il tunnel VPN. Se una delle tre condizioni non è soddisfatta — l’utente MKController è attivo, la porta API è accessibile e la regola firewall MKController è in vigore — la generazione del backup fallirà silenziosamente o restituirà un errore.

Esegui i tre controlli di seguito nell’ordine indicato.

Controllo 1: L’account utente MKController è abilitato?

Lo script di adozione crea un account utente dedicato sul tuo MikroTik (identificabile per il nome in stile UUID). Se questo account è disabilitato o eliminato, MKController non può autenticarsi sul dispositivo.

Accedi al tuo MikroTik tramite WebFig o Winbox.
Vai a System → Users.
Cerca l’utente con il nome in stile UUID (creato da MKController). Se è disabilitato, abilitalo.

Controllo 2: Le porte del servizio API sono aperte e accessibili?

MKController usa la porta API di RouterOS per creare backup. Se la porta è disabilitata o ha un filtro IP che esclude l’indirizzo del gateway VPN (10.8.0.1), i backup falliranno.

Accedi al tuo MikroTik tramite WebFig o Winbox.
Vai a IP → Services.
Verifica che la porta api sia abilitata. Se è disabilitata, abilitala.
Se il filtro Available From è configurato, verifica che 10.8.0.1 sia nell’elenco. Aggiungilo se mancante, o disabilita il filtro per consentire l’accesso da tutti gli indirizzi VPN.

Controllo 3: La regola firewall MKController è presente e attiva?

Lo script di adozione crea una regola firewall denominata “MKController” che accetta il traffico da 10.8.0.1. Se questa regola è stata eliminata, disabilitata o spostata sotto una regola di drop, MKController non può raggiungere il dispositivo.

Accedi al tuo MikroTik tramite WebFig o Winbox.
Vai a IP → Firewall.
Trova la regola denominata MKController. Deve essere:
- Abilitata (non disabilitata/in grigio).
- Posizionata sopra qualsiasi regola di drop o reject nella catena input.

Se la regola è mancante, riesegui lo script di adozione (vedi di seguito) per ripristinarla.

Ancora fallimenti? Riesegui lo Script di Adozione

Se tutti e tre i controlli sono superati e i backup continuano a fallire, rieseguire lo script di adozione ripristinerà automaticamente tutte le configurazioni MKController sul dispositivo.

In MKController, trova il dispositivo e clicca View More (Vedi altro).
Seleziona Device Configuration (Configurazione Dispositivo) dal menu del dispositivo.
Nella sezione Adoption Script (Script di Adozione), copia lo script.
Esegui lo script copiato sul dispositivo MikroTik tramite WebFig, Winbox o SSH. Vedi la guida all’Onboarding per le istruzioni.

Prevenire i fallimenti di backup prima che accadano

La maggior parte dei fallimenti di backup si verifica quando qualcuno nel team modifica la configurazione MikroTik senza rendersi conto dell’impatto sull’accesso MKController. Le cause più comuni:

Eliminare o disabilitare l’utente MKController — accade quando un tecnico pulisce gli account “inutilizzati” sul router
Bloccare la porta 8728 nel firewall — accade quando uno script di hardening disabilita tutti gli accessi API per sicurezza
Spostare la regola di accettazione firewall sotto una regola di drop — accade durante la riorganizzazione del firewall

Per prevenire futuri fallimenti, considera di aggiungere una nota o un’etichetta all’utente MKController e alla regola firewall in Winbox/WebFig, in modo che i membri del team sappiano di non modificarli.

Cosa usa MKController per creare i backup?

Capire il flusso tecnico aiuta a diagnosticare casi limite:

MKController comunica con il dispositivo tramite il tunnel VPN cifrato (interfaccia ovpn-MKController, gateway 10.8.0.1).
Si autentica al servizio API di RouterOS sulla porta 8728 usando le credenziali dell’utente MKController.
Emette i comandi /system backup save e /export compact per generare i file di backup.
I file vengono recuperati tramite la stessa connessione API e archiviati nel cloud di MKController.

Se qualsiasi passo in questa catena fallisce — tunnel inattivo, utente disabilitato, API bloccata, regola firewall di drop — il backup non verrà completato.

Domande Frequenti

Come posso sapere se i backup stanno attualmente fallendo per un dispositivo? In MKController, apri il dispositivo e guarda la sezione Backup. Se il timestamp del backup più recente ha più di 48 ore (considerando la variazione del fuso orario), probabilmente si è verificato un fallimento. Controlla lo stato del dispositivo ed esegui i tre controlli sopra.

Una riesecuzione dello script di adozione influisce sulla mia configurazione RouterOS attuale? No. Lo script di adozione crea o ripara solo gli elementi specifici di MKController: l’account utente MKController, la configurazione del tunnel VPN e la regola di accettazione firewall. Non modifica le tue regole firewall esistenti, il routing, gli indirizzi IP o qualsiasi altra configurazione.

Posso disabilitare l’API RouterOS dopo l’adozione senza rompere MKController? No. MKController richiede che l’API RouterOS (porta 8728) sia accessibile da 10.8.0.1 per creare backup ed eseguire comandi di gestione. Disabilitare l’API rompe la generazione dei backup e la configurazione remota.

Se il problema persiste dopo tutti i controlli e una riesecuzione dello script, contatta il supporto MKController su WhatsApp. Il nostro team può esaminare i log del dispositivo e aiutare a diagnosticare i casi limite.