Перейти к содержимому
MKController

Ошибки резервного копирования

Краткое содержание Это руководство охватывает 3 наиболее распространённые причины, по которым устройства MikroTik не могут создать резервные копии в MKController: учётная запись пользователя MKController отключена, порт API-сервиса закрыт или правило файрвола блокирует доступ MKController. Для каждой проблемы приведены пошаговые инструкции по решению, а в конце предложен вариант повторного запуска скрипта адаптации, который автоматически восстановит все необходимые настройки.

Почему не создаются резервные копии MikroTik в MKController?

MKController создаёт ежедневные бинарные резервные копии, обращаясь к вашему устройству MikroTik через сервис API по VPN-туннелю. Если не выполнено хотя бы одно из трёх условий — пользователь MKController активен, порт API доступен и присутствует правило файрвола MKController — создание резервных копий будет молча завершаться неудачей или возвращать ошибку.

Последовательно выполните три проверки ниже.

Проверка 1: Включена ли учётная запись пользователя MKController?

Скрипт адаптации создаёт на вашем MikroTik отдельную учётную запись пользователя (узнаваемую по имени в формате UUID). Если эта учётная запись отключена или удалена, MKController не сможет пройти аутентификацию на устройстве.

  1. Войдите в MikroTik через WebFig или Winbox.

  2. Перейдите в System → Users.

    Меню System Users в MikroTik

  3. Найдите пользователя с именем в формате UUID (созданного MKController). Если он отключён — включите его.

    Включение учётной записи MKController в разделе System Users MikroTik

Проверка 2: Открыты и доступны ли порты API-сервиса?

MKController использует порт API RouterOS для создания резервных копий. Если порт отключён или настроен IP-фильтр, исключающий адрес VPN-шлюза (10.8.0.1), резервное копирование завершится неудачей.

  1. Войдите в MikroTik через WebFig или Winbox.

  2. Перейдите в IP → Services.

    Меню IP Services в MikroTik

  3. Убедитесь, что порт api включён. Если он отключён — включите его.

    Порт API включён в IP Services MikroTik

  4. Если настроен фильтр Available From, убедитесь, что в списке присутствует 10.8.0.1. Добавьте его, если его нет, или отключите фильтр, чтобы разрешить доступ со всех адресов VPN.

    Фильтр Available From в IP Services MikroTik — добавьте 10.8.0.1

Проверка 3: Существует и активно ли правило файрвола MKController?

Скрипт адаптации создаёт правило файрвола с именем «MKController», которое разрешает трафик с 10.8.0.1. Если это правило было удалено, отключено или перемещено ниже правила drop, MKController не сможет достучаться до устройства.

  1. Войдите в MikroTik через WebFig или Winbox.

  2. Перейдите в IP → Firewall.

    Меню IP Firewall в MikroTik

  3. Найдите правило с именем MKController. Оно должно быть:

    • Включено (не выключено и не выделено серым).
    • Расположено выше любых правил drop или reject в цепочке input.

    Правило файрвола MKController включено и находится наверху цепочки input

Если правило отсутствует, повторно запустите скрипт адаптации (см. ниже), чтобы восстановить его.

Всё ещё не работает? Запустите скрипт адаптации повторно

Если все три проверки пройдены, а резервные копии по-прежнему не создаются, повторный запуск скрипта адаптации автоматически восстановит все настройки MKController на устройстве.

  1. В MKController найдите устройство и нажмите View More.

    Кнопка View More на карточке устройства в MKController

  2. Выберите Device Configuration в меню устройства.

    Пункт меню Device Configuration в MKController

  3. В разделе Adoption Script скопируйте скрипт.

    Копирование скрипта адаптации из Device Configuration в MKController

  4. Запустите скопированный скрипт на устройстве MikroTik через WebFig, Winbox или SSH. Подробные инструкции см. в руководстве по подключению.

Предотвращение сбоев резервного копирования до их возникновения

Большинство сбоев резервного копирования происходят, когда кто-то в команде вносит изменения в конфигурацию MikroTik, не осознавая их влияние на доступ MKController. Самые частые причины:

  • Удаление или отключение пользователя MKController — случается, когда техник «чистит» неиспользуемые учётные записи на роутере
  • Блокировка порта 8728 в файрволе — случается, когда скрипт усиления безопасности отключает весь доступ к API ради безопасности
  • Перемещение разрешающего правила файрвола ниже правила drop — случается при реорганизации файрвола

Чтобы предотвратить будущие сбои, добавьте заметку или метку к пользователю MKController и правилу файрвола в Winbox/WebFig — так члены команды будут знать, что их трогать нельзя.

Что использует MKController для создания резервных копий?

Понимание технического процесса помогает диагностировать пограничные случаи:

  1. MKController обменивается данными с устройством по зашифрованному VPN-туннелю (интерфейс ovpn-MKController, шлюз 10.8.0.1).
  2. Он проходит аутентификацию в сервисе API RouterOS на порту 8728, используя учётные данные пользователя MKController.
  3. Он выполняет команды /system backup save и /export compact для создания файлов резервных копий.
  4. Файлы извлекаются по тому же API-соединению и сохраняются в облаке MKController.

Если какой-либо этап этой цепочки нарушен — туннель упал, пользователь отключён, API заблокирован, файрвол отбрасывает пакеты — резервное копирование не завершится.

Часто задаваемые вопросы

Как узнать, что резервные копии устройства в данный момент не создаются? В MKController откройте устройство и посмотрите на раздел Backups. Если временная метка последней резервной копии старше 48 часов (с учётом разницы часовых поясов), скорее всего произошёл сбой. Проверьте статус устройства и пройдите по трём проверкам выше.

Влияет ли повторный запуск скрипта адаптации на текущую конфигурацию RouterOS? Нет. Скрипт адаптации только создаёт или восстанавливает специфичные для MKController элементы: учётную запись пользователя MKController, конфигурацию VPN-туннеля и разрешающее правило файрвола. Он не изменяет ваши существующие правила файрвола, маршрутизацию, IP-адреса или любую другую конфигурацию.

Можно ли отключить API RouterOS после подключения, не сломав MKController? Нет. MKController требует, чтобы API RouterOS (порт 8728) был доступен с 10.8.0.1 для создания резервных копий и выполнения управляющих команд. Отключение API нарушает создание бэкапов и удалённую настройку.

Если проблема сохраняется после всех проверок и повторного запуска скрипта, свяжитесь со службой поддержки MKController в WhatsApp. Наша команда может изучить логи устройства и помочь диагностировать пограничные случаи.