コンテンツにスキップ
MKController

バックアップエラーのトラブルシューティング方法

概要 本ガイドでは、MKControllerでMikroTikデバイスがバックアップを生成できない最も一般的な3つの原因を取り上げます:MKControllerユーザーアカウントが無効化されている、APIサービスポートが閉じられている、ファイアウォールルールがMKControllerのアクセスをブロックしている、という3点です。各問題にはステップバイステップの解決手順が含まれており、最後には必要なすべての設定を自動的に復元するためにアダプションスクリプトを再実行するオプションも記載しています。

なぜMKControllerでMikroTikバックアップが失敗するのか?

MKControllerは、VPNトンネル経由のAPIサービスを通じてMikroTikデバイスと通信し、毎日バイナリバックアップを作成します。次の3つの条件のいずれかが満たされていない場合 — MKControllerユーザーが有効、APIポートにアクセス可能、MKControllerファイアウォールルールが配置されている — バックアップの生成は静かに失敗するか、エラーを返します。

以下の3つのチェックを順に実施してください。

チェック1:MKControllerユーザーアカウントは有効になっていますか?

アダプションスクリプトは、MikroTik上にUUID形式の名前を持つ専用のユーザーアカウントを作成します。このアカウントが無効化または削除されている場合、MKControllerはデバイスに認証できません。

  1. WebFigまたはWinboxでMikroTikにログインします。

  2. System → Usersに移動します。

    System Users menu in MikroTik

  3. UUID形式の名前を持つユーザー(MKControllerによって作成されたもの)を探します。無効化されている場合は有効化してください。

    Enable MKController user account in MikroTik System Users

チェック2:APIサービスポートは開いていてアクセス可能ですか?

MKControllerはバックアップ作成にRouterOSのAPIポートを使用します。ポートが無効化されている、またはVPNゲートウェイアドレス(10.8.0.1)を除外するIPフィルタが設定されている場合、バックアップは失敗します。

  1. WebFigまたはWinboxでMikroTikにログインします。

  2. IP → Servicesに移動します。

    IP Services menu in MikroTik

  3. apiポートが有効になっていることを確認します。無効化されている場合は有効化してください。

    API port enabled in MikroTik IP Services

  4. Available Fromフィルタが設定されている場合は、10.8.0.1が一覧に含まれていることを確認してください。含まれていない場合は追加するか、フィルタを無効にしてすべてのVPNアドレスからのアクセスを許可します。

    Available From filter in MikroTik IP Services — add 10.8.0.1

チェック3:MKControllerファイアウォールルールは存在し有効になっていますか?

アダプションスクリプトは、10.8.0.1からのトラフィックを許可する「MKController」という名前のファイアウォールルールを作成します。このルールが削除されたり、無効化されたり、ドロップルールの下に移動された場合、MKControllerはデバイスに到達できません。

  1. WebFigまたはWinboxでMikroTikにログインします。

  2. IP → Firewallに移動します。

    IP Firewall menu in MikroTik

  3. MKControllerという名前のルールを探します。次の条件を満たしている必要があります:

    • 有効であること(無効化/グレーアウトされていないこと)。
    • inputチェーン内のドロップ/拒否ルールよりも上に配置されていること。

    MKController firewall rule enabled and at top of input chain

ルールが存在しない場合は、アダプションスクリプトを再実行(下記参照)して復元してください。

それでも失敗する場合:アダプションスクリプトを再実行する

3つのチェックすべてをパスしてもバックアップが失敗し続ける場合、アダプションスクリプトを再実行すれば、デバイス上のすべてのMKController設定が自動的に復元されます。

  1. MKControllerで該当デバイスを見つけ、View Moreをクリックします。

    View More button on device card in MKController

  2. デバイスメニューからDevice Configurationを選択します。

    Device Configuration menu option in MKController

  3. Adoption Scriptセクションで、スクリプトをコピーします。

    Copy adoption script from Device Configuration in MKController

  4. コピーしたスクリプトを、WebFig、Winbox、またはSSH経由でMikroTikデバイス上で実行します。手順についてはオンボーディングガイドをご覧ください。

バックアップ失敗を未然に防ぐには

バックアップの失敗のほとんどは、チームの誰かがMKControllerのアクセスへの影響を認識せずにMikroTikの設定を変更した場合に発生します。最も一般的な原因は以下のとおりです:

  • MKControllerユーザーを削除または無効化する — 技術者がルーター上の「未使用」アカウントを整理する際に発生
  • ファイアウォールでポート8728をブロックする — セキュリティ目的のハードニングスクリプトがすべてのAPIアクセスを無効にする際に発生
  • ファイアウォール許可ルールをドロップルールの下に移動する — ファイアウォールの再編成時に発生

将来の失敗を防ぐため、Winbox/WebFig上でMKControllerユーザーとファイアウォールルールにメモやラベルを付与し、チームメンバーが変更しないように周知することを検討してください。

MKControllerはバックアップ作成に何を使用しているのか?

技術的なフローを理解しておくと、エッジケースの診断に役立ちます:

  1. MKControllerは暗号化されたVPNトンネル(インターフェースovpn-MKController、ゲートウェイ10.8.0.1)を介してデバイスと通信します。
  2. MKControllerユーザー認証情報を使用して、ポート8728のRouterOS APIサービスに認証します。
  3. /system backup saveおよび/export compactコマンドを発行し、バックアップファイルを生成します。
  4. ファイルは同じAPI接続経由で取得され、MKControllerのクラウドに保存されます。

このチェーン内のいずれかのステップが失敗した場合 — トンネル停止、ユーザー無効、APIブロック、ファイアウォールドロップなど — バックアップは完了しません。

よくあるご質問

デバイスのバックアップが現在失敗しているかどうかは、どうやって確認できますか? MKControllerでデバイスを開き、Backupsセクションを確認してください。最新のバックアップタイムスタンプが48時間以上経過している場合(タイムゾーンの差を考慮しても)、失敗が発生している可能性が高いです。デバイスのステータスを確認し、上記の3つのチェックを実施してください。

アダプションスクリプトを再実行すると、現在のRouterOS設定に影響しますか? いいえ。アダプションスクリプトはMKController固有の要素(MKControllerユーザーアカウント、VPNトンネル設定、ファイアウォール許可ルール)のみを作成または修復します。既存のファイアウォールルール、ルーティング、IPアドレス、その他の設定は変更しません。

アダプト後にRouterOS APIを無効化しても、MKControllerは動作しますか? いいえ。MKControllerはバックアップ作成および管理コマンドの実行のために、10.8.0.1からアクセス可能なRouterOS API(ポート8728)を必要とします。APIを無効化すると、バックアップ生成およびリモート設定は機能しなくなります。

すべてのチェックとスクリプト再実行を行っても問題が解決しない場合は、WhatsAppでMKControllerサポートにお問い合わせください。当社のチームがデバイスログを確認し、エッジケースの診断をサポートします。