Bỏ qua nội dung
MKController

Khắc Phục Lỗi Sao Lưu MikroTik

Tóm tắt Hướng dẫn này bao gồm 3 nguyên nhân phổ biến nhất khiến thiết bị MikroTik không tạo được sao lưu trong MKController: tài khoản MKController bị tắt, cổng dịch vụ API đóng, hoặc quy tắc tường lửa chặn quyền truy cập MKController. Mỗi vấn đề kèm hướng dẫn giải quyết từng bước và kết thúc với tùy chọn chạy lại script tiếp nhận để khôi phục tất cả cấu hình cần thiết tự động.

Tại Sao Sao Lưu MikroTik Thất Bại trong MKController?

MKController tạo sao lưu nhị phân hàng ngày bằng cách giao tiếp với thiết bị MikroTik qua dịch vụ API thông qua tunnel VPN. Nếu bất kỳ một trong ba điều kiện nào không được đáp ứng — tài khoản MKController đang hoạt động, cổng API có thể truy cập, và quy tắc tường lửa MKController đang hoạt động — việc tạo sao lưu sẽ thất bại.

Thực hiện ba kiểm tra dưới đây theo thứ tự.

Kiểm Tra 1: Tài Khoản Người Dùng MKController Có Được Bật Không?

Script tiếp nhận tạo một tài khoản người dùng chuyên dụng trên MikroTik (có thể nhận biết bằng tên dạng UUID). Nếu tài khoản này bị tắt hoặc xóa, MKController không thể xác thực với thiết bị.

  1. Đăng nhập MikroTik qua WebFig hoặc Winbox.

  2. Vào System → Users.

    Menu System Users trong MikroTik

  3. Tìm người dùng có tên dạng UUID (được tạo bởi MKController). Nếu bị tắt, hãy bật lại.

    Bật tài khoản người dùng MKController trong System Users MikroTik

Kiểm Tra 2: Cổng Dịch Vụ API Có Mở và Có Thể Truy Cập Không?

MKController dùng cổng API RouterOS để tạo sao lưu. Nếu cổng bị tắt hoặc có bộ lọc IP loại trừ địa chỉ gateway VPN (10.8.0.1), sao lưu sẽ thất bại.

  1. Đăng nhập MikroTik qua WebFig hoặc Winbox.

  2. Vào IP → Services.

    Menu IP Services trong MikroTik

  3. Xác minh cổng api đang được bật. Nếu bị tắt, hãy bật lên.

    Cổng API được bật trong IP Services MikroTik

  4. Nếu bộ lọc Available From được cấu hình, xác minh 10.8.0.1 có trong danh sách. Thêm nếu thiếu, hoặc tắt bộ lọc để cho phép truy cập từ tất cả địa chỉ VPN.

    Bộ lọc Available From trong IP Services MikroTik — thêm 10.8.0.1

Kiểm Tra 3: Quy Tắc Tường Lửa MKController Có Hiện Diện và Đang Hoạt Động Không?

Script tiếp nhận tạo quy tắc tường lửa tên “MKController” chấp nhận lưu lượng từ 10.8.0.1. Nếu quy tắc này bị xóa, tắt, hoặc di chuyển xuống dưới quy tắc drop, MKController không thể tiếp cận thiết bị.

  1. Đăng nhập MikroTik qua WebFig hoặc Winbox.

  2. Vào IP → Firewall.

    Menu IP Firewall trong MikroTik

  3. Tìm quy tắc có tên MKController. Nó phải:

    • Được bật (không bị tắt/xám).
    • Đặt trên bất kỳ quy tắc drop hoặc reject nào trong input chain.

    Quy tắc tường lửa MKController được bật và đứng đầu input chain

Nếu quy tắc bị thiếu, hãy chạy lại script tiếp nhận (xem bên dưới) để khôi phục.

Vẫn Thất Bại? Chạy Lại Script Tiếp Nhận

Nếu cả ba kiểm tra đều đạt mà sao lưu vẫn thất bại, chạy lại script tiếp nhận sẽ khôi phục tất cả cấu hình MKController trên thiết bị tự động.

  1. Trong MKController, tìm thiết bị và nhấp View More.

    Nút View More trên thẻ thiết bị trong MKController

  2. Chọn Device Configuration từ menu thiết bị.

    Tùy chọn menu Device Configuration trong MKController

  3. Trong phần Adoption Script, sao chép script.

    Sao chép script tiếp nhận từ Device Configuration trong MKController

  4. Chạy script đã sao chép trên thiết bị MikroTik qua WebFig, Winbox, hoặc SSH. Xem Hướng dẫn Onboarding để biết hướng dẫn.

Ngăn Chặn Lỗi Sao Lưu Trước Khi Xảy Ra

Hầu hết lỗi sao lưu xảy ra khi ai đó trong nhóm sửa đổi cấu hình MikroTik mà không nhận ra tác động đến quyền truy cập MKController. Các nguyên nhân phổ biến nhất:

  • Xóa hoặc tắt người dùng MKController — xảy ra khi kỹ thuật viên dọn dẹp các tài khoản “không dùng” trên router
  • Chặn cổng 8728 trong tường lửa — xảy ra khi script tăng cường bảo mật tắt toàn bộ quyền truy cập API
  • Di chuyển quy tắc accept tường lửa xuống dưới quy tắc drop — xảy ra trong quá trình tổ chức lại tường lửa

Để ngăn lỗi trong tương lai, hãy thêm ghi chú hoặc nhãn vào người dùng MKController và quy tắc tường lửa trong Winbox/WebFig, để thành viên nhóm biết không được sửa đổi chúng.

MKController Dùng Gì để Tạo Sao Lưu?

Hiểu luồng kỹ thuật giúp chẩn đoán các trường hợp đặc biệt:

  1. MKController giao tiếp với thiết bị qua tunnel VPN mã hóa (interface ovpn-MKController, gateway 10.8.0.1).
  2. Nó xác thực với dịch vụ API RouterOS trên cổng 8728 bằng thông tin đăng nhập người dùng MKController.
  3. Nó ra lệnh /system backup save/export compact để tạo file sao lưu.
  4. Các file được truy xuất qua cùng kết nối API và lưu trên đám mây MKController.

Nếu bất kỳ bước nào trong chuỗi này thất bại — tunnel down, người dùng bị tắt, API bị chặn, tường lửa drop — sao lưu sẽ không hoàn tất.

Câu Hỏi Thường Gặp

Làm sao biết sao lưu đang thất bại với một thiết bị? Trong MKController, mở thiết bị và xem phần Backups. Nếu timestamp sao lưu gần nhất cũ hơn 48 giờ (cho phép biến động múi giờ), có thể đã xảy ra lỗi. Kiểm tra trạng thái thiết bị và thực hiện ba kiểm tra ở trên.

Chạy lại script tiếp nhận có ảnh hưởng cấu hình RouterOS hiện tại không? Không. Script tiếp nhận chỉ tạo hoặc sửa chữa các thành phần dành riêng cho MKController: tài khoản người dùng, cấu hình tunnel VPN, và quy tắc accept tường lửa. Nó không sửa đổi quy tắc tường lửa hiện tại, định tuyến, địa chỉ IP, hoặc bất kỳ cấu hình nào khác.

Có thể tắt API RouterOS sau khi tiếp nhận không? Không. MKController yêu cầu API RouterOS (cổng 8728) có thể truy cập từ 10.8.0.1 để tạo sao lưu và thực thi lệnh quản lý. Tắt API làm hỏng tạo sao lưu và cấu hình từ xa.

Nếu vấn đề vẫn tiếp diễn sau tất cả kiểm tra và chạy lại script, liên hệ hỗ trợ MKController qua WhatsApp. Nhóm chúng tôi có thể xem lại nhật ký thiết bị và giúp chẩn đoán các trường hợp đặc biệt.