Как вручную создать резервную копию MikroTik через терминал: пошаговая инструкция

Как безопасно и надежно создавать резервные копии MikroTik?

В этом подробном пошаговом руководстве мы покажем вам, как: Ручное резервное копирование С маршрутизаторов MikroTik, используя терминал (SSH/CLI), сгенерируйте двоичный файл резервной копии (.backup), получите редактируемый текстовый вывод (.rsc), экспортируйте сертификаты в безопасные форматы (например, PKCS#12/.p12 или PEM в поддерживаемых версиях), а затем Передача, безопасное хранение и восстановление Вы узнаете.

Обзор: Типы резервного копирования в MikroTik и важные различия.

В MikroTik существует как минимум три распространенных типа резервных копий:

• Резервная копия (.backup): Двоичный файл, созданный с помощью команды /системное резервное копирование сохранить Оно построено. Оно быстрое и всеобъемлющее, но зависит от платформы и может быть несовместимо с оборудованием или версиями.
• Экспорт (.rsc): Текстовый вывод (скрипт), который /export file=… Он создан, редактируем и подходит для переноса между устройствами.
• СертификатыСертификаты обычно находятся в следующем разделе: сертификат Сохранены. Для безопасной передачи экспортируйте их в формат PKCS#12 (.p12), включив в них закрытый ключ (с парольной фразой).

Предварительные условия и рекомендации по безопасности

Прежде чем начать, убедитесь, что у вас есть административный доступ к устройству (SSH или Winbox/WebFig). Для передачи файлов из защищенных путей, таких как... SCP/SFTP Или используйте HTTPS и избегайте FTP без TLS.

К передовым практикам относятся: Резервное шифрованиехранение их вне офиса (например, на S3-совместимом хранилище или VPS в разных местах) и планирование периодического тестирования восстановления.

Создание резервной копии вручную — пошаговая инструкция (в терминале)

Основные шаги для создания резервной копии через командную строку следующие: выполните команды в SSH-терминале.

Подключение к маршрутизатору

ssh [email protected]

Создание бинарной резервной копии (.backup)

/system backup save name=router-backup-2026-05-01
/file print

Созданный файл обычно имеет расширение . .backup появляется (например) router-backup-2026-05-01.backup).

Получение текстового вывода (экспорт .rsc)

/export file=full-config-2026-05-01
/export verbose file=full-config-2026-05-01

Этот текстовый файл (full-config-2026-05-01.rscФайл можно открыть с помощью текстового редактора, и команды можно применять по отдельности.

Экспортный сертификат — советы и примеры

Сначала проверьте список сертификатов, а затем, при необходимости, экспортируйте их в PKCS#12, чтобы включить в них закрытый ключ.

/certificate print
/certificate export-certificate mycert passphrase="StrongP@ssw0rd" file-name=mycert-2026.p12

Загрузите файлы резервных копий и сертификатов на сервер управления или локально.

После создания файлов используйте следующие методы для их получения:

• SCP С машины/сервера управления под управлением Linux:

  scp [email protected]:router-backup-2026-05-01.backup /backups/mikrotik/
  scp [email protected]:mycert-2026.p12 /backups/secure-certs/

• Winbox/WebFigВоспользуйтесь разделом «Файлы» с функцией перетаскивания или кнопкой «Скачать».
• Загрузка в облако или на VPSСервер резервного копирования получает файлы с помощью SFTP/rsync. Пример cron-задания на сервере резервного копирования:

  0 3 * * * scp [email protected]:router-backup-$(date +\%F).backup /srv/backups/mikrotik/

• Если вам необходимо загружать данные напрямую с маршрутизатора, и маршрутизатор поддерживает FTP-TLS или SFTP, используйте /tool fetch Использовать с параметром upload=yes:

  /tool fetch address=ftp.example.com src-path=router-backup-2026-05-01.backup user=ftpuser password=ftppass upload=yes

Восстановление — методы и советы

Существует два основных метода восстановления: загрузка бинарной резервной копии и импорт текстового файла.

Восстановление из файла .backup (двоичного файла).

Загрузите файл в папку «Файлы» с помощью SCP или Winbox, а затем:

/system backup load name=router-backup-2026-05-01.backup
/system reboot

Предупреждение: Бинарные резервные копии могут быть несовместимы с различным оборудованием или версиями.

Восстановить из экспортированного файла (.rsc)

/import file-name=full-config-2026-05-01.rsc

Этот метод основан на текстовом формате и больше подходит для переноса данных между устройствами.

Сертификат импорта (.p12)

/certificate import file-name=mycert-2026.p12 passphrase="StrongP@ssw0rd"
/certificate print

После импорта перенастройте службы, использующие этот сертификат (IPsec, HTTPS, точка доступа и т. д.).

Скрипт планирования для автоматического резервного копирования и переноса на VPS/хранилище.

Пример скрипта в RouterOS для создания ежедневных резервных копий, экспорта и управления поддержкой версий:

/system script add name=auto-backup source={
  :local fname ("router-backup-" . [/system clock get date]);
  /system backup save name=$fname;
  /export file=("export-" . $fname);
}
  
/system scheduler add name=auto-backup-sched start-time=startup interval=1d on-event="/system script run auto-backup"

Для передачи файлов с маршрутизатора на защищаемый сервер используйте cron на резервном сервере:

0 4 * * * scp admin@router:router-backup-$(date +\%F).backup /srv/backups/mikrotik/

Практические советы и лучшие практики

• По крайней мере один экземпляр вне офиса Хранить (например, VPS или объектное хранилище в разных местах).
• Для миграции используйте экспорт (.rsc), чтобы уменьшить зависимость от оборудования.
• Файлы, содержащие закрытый ключ с кодовая фраза Используйте надежное шифрование.
• Запланируйте периодические тренировки по восстановлению.
• Включите версионирование; от 7 до 30 версий в зависимости от уровня риска.
• Ограничьте доступ к файлам резервных копий и ведите журналы доступа.

Краткий контрольный список для резервного копирования и восстановления.

• [ ] Создание бинарной резервной копии: /system backup save name=…
• [ ] Подготовка экспорта текста: /export file=…
• [ ] Сертификат экспорта с парольной фразой: /certificate export-certificate...
• [ ] Загрузка файлов с помощью SCP/SFTP/Winbox
• [ ] Внешнее хранение и шифрование
• [ ] импорт теста: /import file-name=… и /system backup load name=…
• [ ] Безопасное удаление временных файлов из маршрутизатора после передачи

Вопросы, связанные с облачными сервисами и сетями.

Для распределения резервных копий и снижения RTO/RPO рекомендуется использовать VPS или объектное хранилище в нескольких местах. Для сред с высокой степенью конфиденциальности крайне важно использовать серверы с защитой от DDoS-атак и шифрование хранилища.

В случаях ресурсоемких вычислений, таких как анализ Netflow или RPKI, можно использовать мощные серверы или графические процессоры.

Распространенные проблемы и их решения

• Ошибка загрузки файла .backup: Обычно это вызвано различиями в архитектуре или версиях — используйте экспорт (.rsc).
• Сертификат утерян после восстановления: Убедитесь, что вы импортировали файл p12 и перенастроили службы.
• Не удаётся передать файлы с помощью SCP: Убедитесь, что SSH включен и что брандмауэр разрешает доступ.

Заключение

Создание резервных копий MikroTik вручную через терминал, управление сертификатами и их восстановление безопасны при использовании соответствующих методов (.backup для быстрого восстановления, .rsc для миграции и .p12 для сертификатов), безопасной передачи данных (SCP/SFTP) и удаленного хранения.

Периодическое тестирование системы на предмет восстановления и соблюдение передовых методов обеспечения безопасности гарантируют, что вы сможете быстро и уверенно реагировать в случае инцидента.

Часто задаваемые вопросы