MikroTikを安全かつ確実にバックアップするにはどうすればよいでしょうか?
この包括的なステップバイステップガイドでは、以下の方法をご紹介します。 手動バックアップ MikroTikルーターからターミナル(SSH/CLI)を使用してバイナリバックアップファイル(.backup)を生成し、編集可能なテキスト出力(.rsc)を取得し、証明書を安全な形式(サポートされているバージョンではPKCS#12/.p12またはPEMなど)にエクスポートしてから、 転送、安全な保管、復元 あなたは学ぶでしょう。.
概要:MikroTikにおけるバックアップの種類と重要な違い
MikroTikには、少なくとも3種類の一般的なバックアップ出力タイプがあります。
- バックアップ(.backup): コマンドで作成されたバイナリファイル /システムバックアップ保存 構築済みです。高速かつ包括的ですが、 プラットフォーム依存 また、ハードウェア間またはバージョン間で転送できない場合があります。.
- エクスポート(.rsc): テキスト出力(スクリプト) /export file=… 作成済みであり、編集可能で、デバイス間の移行に適しています。.
- 証明書証明書は通常、次のセクションにあります。 証明書 保存されます。安全に転送するには、秘密鍵(パスフレーズ付き)を含めてPKCS#12(.p12)形式でエクスポートしてください。.
前提条件とセキュリティに関するヒント
始める前に、デバイスへの管理者アクセス権 (SSH または Winbox/WebFig) があることを確認してください。次のような安全なパスからファイルを転送するには、 SCP/SFTP またはHTTPSを使用し、TLSなしのFTPは避けてください。.
ベストプラクティスには以下が含まれます。 バックアップ暗号化それらをオフサイト(例えば、S3互換ストレージや異なる場所にあるVPSなど)に保存し、定期的な復元テストを計画する。.
手動バックアップの手順(ターミナル)
CLI を介してバックアップを取得する基本的な手順は次のとおりです。SSH ターミナルでコマンドを実行します。.
ルーターに接続中
バイナリバックアップ(.backup)を作成する
/system backup save name=router-backup-2026-05-01
/file print作成されたファイルには通常拡張子が付きます。 .。バックアップ 表示される(例) router-backup-2026-05-01.backup).
テキスト出力を取得する(.rsc形式でエクスポート)
/export file=full-config-2026-05-01
/export verbose file=full-config-2026-05-01このテキストファイル(full-config-2026-05-01.rsc)はテキストエディタで開くことができ、コマンドは個別に適用できます。.
輸出証明書 — ヒントと例
まず、証明書の一覧を確認し、必要に応じて、秘密鍵が含まれるようにPKCS#12形式でエクスポートしてください。.
/certificate print
/certificate export-certificate mycert passphrase="StrongP@ssw0rd" file-name=mycert-2026.p12バックアップファイルと証明書ファイルを管理サーバーまたはローカルにダウンロードします。
ファイルを作成した後、以下の方法でファイルを取得してください。
- SCP Linuxマシン/管理サーバーから:
scp [email protected]:router-backup-2026-05-01.backup /backups/mikrotik/ scp [email protected]:mycert-2026.p12 /backups/secure-certs/ - Winbox/WebFigファイルセクションをドラッグ&ドロップするか、ダウンロードボタンを使用してください。.
- クラウドまたはVPSにアップロードバックアップサーバーはSFTP/rsyncを使用してファイルを受信します。バックアップサーバー上のcronの例:
0 3 * * * scp [email protected]:router-backup-$(date +\%F).backup /srv/backups/mikrotik/ - ルーターから直接アップロードする必要があり、ルーターがFTP-TLSまたはSFTPをサポートしている場合は、 /tool fetch upload=yes と組み合わせて使用してください。
/tool fetch address=ftp.example.com src-path=router-backup-2026-05-01.backup user=ftpuser password=ftppass upload=yes
復元 ― 方法とヒント
復元には主に2つの方法があります。バイナリバックアップを読み込む方法と、テキストエクスポートをインポートする方法です。.
.backup(バイナリ)ファイルから復元する
SCPまたはWinboxを使用してファイルをファイルフォルダにアップロードし、その後:
/system backup load name=router-backup-2026-05-01.backup
/system reboot警告: バイナリバックアップは、異なるハードウェアやバージョンとの互換性がない場合があります。.
エクスポートファイル(.rsc)から復元する
/import file-name=full-config-2026-05-01.rscこの方法はテキストベースであり、デバイス間の移行により適しています。.
輸入証明書(.p12)
/certificate import file-name=mycert-2026.p12 passphrase="StrongP@ssw0rd"
/certificate printインポート後、その証明書を使用するサービス(IPsec、HTTPS、ホットスポットなど)を再設定してください。.
VPS/ストレージへの自動バックアップおよび転送のためのスケジュールスクリプト
RouterOSにおける、日々のバックアップ作成、エクスポート、およびバージョン管理を行うためのスクリプトの例:
/system script add name=auto-backup source={
:local fname ("router-backup-" . [/system clock get date]);
/system backup save name=$fname;
/export file=("export-" . $fname);
}
/system scheduler add name=auto-backup-sched start-time=startup interval=1d on-event="/system script run auto-backup"ルーターから保護対象サーバーにファイルを転送するには、バックアップサーバーでcronを使用します。
0 4 * * * scp admin@router:router-backup-$(date +\%F).backup /srv/backups/mikrotik/実践的なヒントとベストプラクティス
- 少なくとも1部 社外 (例えば、VPSやオブジェクトストレージを別の場所に保管するなど)。.
- ハードウェアへの依存度を減らすため、移行にはエクスポートファイル(.rsc)を使用してください。.
- 秘密鍵を含むファイル パスフレーズ 強力な暗号化を使用してください。.
- 定期的な復旧訓練を計画する。.
- バージョン管理を有効にしてください。リスクに応じて、最低7~30バージョンが必要です。.
- バックアップファイルへのアクセスを制限し、アクセスログを保持する。.
バックアップと復元のための簡単なチェックリスト
- [ ] バイナリバックアップを作成しています: /system backup save name=…
- [ ] テキストエクスポートの準備: /export file=…
- [ ] パスフレーズ付き証明書のエクスポート: /certificate export-certificate...
- [ ] SCP/SFTP/Winboxを使用してファイルをダウンロードする
- [ ] オフサイトストレージと暗号化
- [ ] import test: /import file-name=… そして /system backup load name=…
- [ ] 転送後にルーターから一時ファイルを安全に削除する
クラウドサービスとネットワークに関する問題
バックアップを分散させ、RTO/RPOを短縮するためには、複数の場所に分散したVPSまたはオブジェクトストレージを使用することをお勧めします。機密性の高い環境では、DDoS対策サーバーとストレージ暗号化の使用が不可欠です。.
NetflowやRPKI解析のような負荷の高い処理が必要な場合は、高性能サーバーやGPUを使用できます。.
よくある問題とその解決策
- .backup ファイルの読み込みエラー: 通常はアーキテクチャまたはバージョンの違いが原因です。エクスポート(.rsc)を使用してください。.
- 復元後に証明書が失われた: p12ファイルをインポートして、サービスを再構成してください。.
- SCPでファイルを転送できません: SSHが有効になっていること、およびファイアウォールがアクセスを許可していることを確認してください。.
結論
ターミナルを使用して MikroTik を手動でバックアップし、証明書を管理し、復元することは、適切な方法 (.backup による迅速な復元、.rsc による移行、証明書のための .p12)、安全な転送 (SCP/SFTP)、およびオフサイトストレージを使用すれば安全です。.
定期的な復元テストを実施し、セキュリティに関するベストプラクティスを遵守することで、インシデント発生時に迅速かつ自信を持って対応できるようになります。.
