Corrigir Erros de Backup MikroTik

Resumo Este guia cobre as 3 razões mais comuns pelas quais dispositivos MikroTik falham ao gerar backups no MKController: a conta de usuário MKController está desabilitada, a porta de serviço da API está fechada ou uma regra de firewall está bloqueando o acesso do MKController. Cada problema inclui instruções de resolução passo a passo e termina com a opção de reexecutar o script de adoção para restaurar automaticamente todas as configurações necessárias.

Por Que Backups do MikroTik Falham no MKController?

O MKController cria backups binários diários se comunicando com o seu dispositivo MikroTik pelo serviço de API através do túnel VPN. Se qualquer uma das três condições não for atendida — o usuário MKController ativo, a porta de API acessível e a regra de firewall do MKController presente — a geração de backup falhará silenciosamente ou retornará um erro.

Percorra as três verificações abaixo na ordem indicada.

---

Verificação 1: O Usuário MKController Está Habilitado?

O script de adoção cria uma conta de usuário dedicada no seu MikroTik (identificável pelo nome no formato UUID). Se essa conta estiver desabilitada ou excluída, o MKController não conseguirá se autenticar no dispositivo.

1. Faça login no seu MikroTik via WebFig ou Winbox.

2. Acesse System → Users.

   

3. Procure o usuário com nome no formato UUID (criado pelo MKController). Se estiver desabilitado, habilite-o.

   

---

Verificação 2: As Portas de Serviço da API Estão Abertas e Acessíveis?

O MKController usa a porta da API do RouterOS para criar backups. Se a porta estiver desabilitada ou tiver um filtro de IP que exclua o endereço do gateway VPN (10.8.0.1), os backups falharão.

1. Faça login no seu MikroTik via WebFig ou Winbox.

2. Acesse IP → Services.

   

3. Verifique se a porta api está habilitada. Se estiver desabilitada, habilite-a.

   

4. Se o filtro Available From estiver configurado, verifique se 10.8.0.1 está listado. Adicione-o se estiver faltando, ou desabilite o filtro para permitir acesso de todos os endereços VPN.

   

---

Verificação 3: A Regra de Firewall do MKController Está Presente e Ativa?

O script de adoção cria uma regra de firewall chamada “MKController” que aceita tráfego de 10.8.0.1. Se essa regra foi excluída, desabilitada ou movida para baixo de uma regra de bloqueio, o MKController não conseguirá alcançar o dispositivo.

1. Faça login no seu MikroTik via WebFig ou Winbox.

2. Acesse IP → Firewall.

   

3. Encontre a regra chamada MKController. Ela deve estar:

   • Habilitada (não desabilitada/acinzentada).
   • Posicionada acima de qualquer regra de drop ou reject na chain de input.

   

Se a regra estiver ausente, reexecute o script de adoção (veja abaixo) para restaurá-la.

---

Ainda Falhando? Reexecute o Script de Adoção

Se todas as três verificações passarem e os backups ainda estiverem falhando, reexecutar o script de adoção restaurará automaticamente todas as configurações do MKController no dispositivo.

1. No MKController, encontre o dispositivo e clique em Ver Mais.

   

2. Selecione Configuração do Dispositivo no menu do dispositivo.

   

3. Na seção Script de Adoção, copie o script.

   

4. Execute o script copiado no dispositivo MikroTik via WebFig, Winbox ou SSH. Veja o guia de Onboarding para instruções.

---

Prevenindo Falhas de Backup Antes que Aconteçam

A maioria das falhas de backup ocorre quando alguém da equipe modifica a configuração do MikroTik sem perceber o impacto no acesso do MKController. As causas mais comuns:

• Excluir ou desabilitar o usuário MKController — acontece quando um técnico limpa contas “não utilizadas” no roteador
• Bloquear a porta 8728 no firewall — acontece quando um script de hardening desabilita todo o acesso à API por segurança
• Mover a regra de aceite do firewall para abaixo de uma regra de bloqueio — acontece durante reorganizações do firewall

Para evitar falhas futuras, considere adicionar uma nota ou etiqueta ao usuário e à regra de firewall do MKController no Winbox/WebFig, para que os membros da equipe saibam que não devem modificá-los.

---

O Que o MKController Usa para Criar Backups?

Entender o fluxo técnico ajuda a diagnosticar casos específicos:

1. O MKController se comunica com o dispositivo pelo túnel VPN criptografado (interface ovpn-MKController, gateway 10.8.0.1).
2. Autentica-se no serviço de API do RouterOS na porta 8728 usando as credenciais do usuário MKController.
3. Emite os comandos /system backup save e /export compact para gerar os arquivos de backup.
4. Os arquivos são recuperados pela mesma conexão de API e armazenados na nuvem do MKController.

Se qualquer etapa dessa cadeia falhar — túnel inativo, usuário desabilitado, API bloqueada, regra de drop no firewall — o backup não será concluído.

---

Perguntas Frequentes

Como saber se os backups estão falhando para um dispositivo? No MKController, abra o dispositivo e veja a seção Backups. Se o timestamp do backup mais recente tiver mais de 48 horas (considerando variação de fuso horário), provavelmente ocorreu uma falha. Verifique o status do dispositivo e percorra as três verificações acima.

Reexecutar o script de adoção afeta minha configuração atual do RouterOS? Não. O script de adoção apenas cria ou repara elementos específicos do MKController: a conta de usuário MKController, a configuração do túnel VPN e a regra de aceite do firewall. Ele não modifica suas regras de firewall existentes, roteamento, endereços IP ou qualquer outra configuração.

Posso desabilitar a API do RouterOS após a adoção sem quebrar o MKController? Não. O MKController exige que a API do RouterOS (porta 8728) esteja acessível a partir de 10.8.0.1 para criar backups e executar comandos de gerenciamento. Desabilitar a API interrompe a geração de backups e a configuração remota.

---

Se o problema persistir após todas as verificações e uma reexecução do script, entre em contato com o suporte do MKController pelo WhatsApp. Nossa equipe pode revisar os logs do dispositivo e ajudar a diagnosticar casos específicos.