Головна » Блог » Встановлення MikroTik RouterOS CHR на VPS

Встановлення MikroTik RouterOS CHR на VPS

MikroTik RouterOS
19 Грудня, 2025

Що знадобиться

VPS з Ubuntu 20.04 (бажано) і доступом root/sudo.
Дані мережі провайдера: IP/префікс і шлюз за замовчуванням — запишемо їх заздалегідь.
Доступ до аварійної консолі (VNC/Serial) в панелі провайдера на випадок, якщо мережа після запису ще не піднята.

Перевіряємо і фіксуємо мережеві параметри до перезапису диска (обов’язково)

Цей крок виконується до перезапису диска і інсталяції MikroTik CHR. Після запису RAW-образу поточна Ubuntu буде повністю видалена, SSH-доступ зникне, і налаштувати мережу в CHR можна буде тільки вручну через аварійну консоль, використовуючи заздалегідь збережені параметри. Тому перед продовженням обов’язково зафіксуйте мережеві налаштування, які видав провайдер.

Які дані потрібно зберегти

IP-адреса і маска (префікс)

Приклад: 203.0.113.10/24

Це значення буде використовуватися при додаванні IP-адреси в CHR.

Шлюз за замовчуванням (default gateway)

Приклад: 203.0.113.1

Ця адреса буде потрібна для налаштування маршруту за замовчуванням.

Тип мережі — звичайна або /32

Якщо IP видано з маскою /32 (часто зустрічається у VPS-провайдерів), це вимагатиме особливого налаштування на стороні CHR.

Приклад мережі з /32:

IP: 85.85.85.85/32
Gateway: 10.0.0.1

Для таких мереж шлюз вказується вручну при додаванні IP-адреси

				
					sudo -i
ip -c a
ip -c r

Підготовка Ubuntu та фіксація мережевих параметрів

				
					sudo -i
apt update && apt -y install unzip
ip -c a   # зафіксуйте ваш IP/префікс, наприклад 203.0.113.10/24
ip -c r   # випишіть default gateway, наприклад 203.0.113.1

Це стане в нагоді при первинному налаштуванні CHR через консоль після перезавантаження.

Завантажуємо RAW-образ Cloud Hosted Router

				
					cd /tmp
wget https://download.mikrotik.com/routeros/<VER>/chr-<VER>.img.zip
unzip chr-<VER>.img.zip   # отримаємо chr-<VER>.img

Де <VER> — стабільна версія. Якщо свіжа не завантажується — використовуйте 6.49.10, потім оновіть через CHR.

Визначаємо цільовий диск

				
					fdisk -l
# Наприклад, цільовий диск /dev/sda

Обережно: переконайтеся в правильності налаштувань, запис буде руйнівним.

Переводимо файлові системи в режим read-only

				
					echo u > /proc/sysrq-trigger
sync

Це знижує ризик «пошкодження» образу при dd (були випадки з xz-compressed data is corrupt).

Записуємо образ на диск (dd)

				
					dd if=chr-<VER>.img of=/dev/sda bs=4M oflag=sync status=progress

Дочекайтеся завершення без помилок. Це повністю перезапише поточну Ubuntu.

Жорстке перезавантаження в CHR

				
					echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger

SSH обірветься. VPS завантажиться під CHR у дефолтному стані — мережі ще немає.

Перший вхід в аварійну консоль

Відкрийте аварійну консоль в панелі провайдера.
Логін admin, пароль порожній → підтвердіть перегляд ліцензії → відразу задайте новий пароль.
На нових моделях/збірках бувають інші дефолти, але для CHR типовий сценарій — admin без пароля при першому вході.

Налаштування IP-адреси в RouterOS (CLI)

У консолі RouterOS (меню-орієнтована CLI):

				
					ip
address
add
address=203.0.113.10/24
interface=ether1

RouterOS сам розрахує network/broadcast за префіксом; адресу можна додати і в один рядок:

				
					/ip address add address=203.0.113.10/24 interface=ether1

Випадок з /32 (часто в хмарах)

Якщо провайдер видає публічний IP з маскою /32 і «зовнішнім» шлюзом (наприклад, 10.0.0.1), задайте network вручну:

				
					/ip address add address=85.85.85.85/32 interface=ether1 network=10.0.0.1

Потім маршрут за замовчуванням:

				
					/ip route add gateway=10.0.0.1

Це стандартний робочий рецепт для /32, підтверджений практикою.

Маршрут за замовчуванням (default route)

Коротка форма:

				
					/ip route add gateway=203.0.113.1

Після встановлення адреси та шлюзу CHR стане доступним у мережі.

Доступ до WebFig/Winbox

Відкрийте http://<IP> для WebFig (або https://<IP> при увімкненні HTTPS).

Або підключіться до Winbox (за замовчуванням TCP 8291).

Логін admin + ваш новий пароль.

Що зробити відразу після підйому мережі

Міні-безпека (відключаємо зайве, змінюємо сервіс-порти)

				
					/ip service print
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes         # увімкніть www-ssl замість plain-HTTP
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/ip service set ssh address=0.0.0.0/0    # звузьте при необхідності
/ip service set winbox port=8291         # за бажанням змініть порт

WebFig і Winbox — схожі за можливостями менеджери; за замовчуванням WebFig — HTTP на 80 (краще ввімкнути HTTPS), Winbox — TCP 8291.
Увімкнути HTTPS для WebFig:

				
					/ip service set www disabled=yes
/ip service set www-ssl disabled=no certificate=<ваш-cert>

Користувач і пароль

				
					/user add name=ops group=full password="СкладнийПароль123!"
/user disable admin

(або залиште admin, але задайте складний пароль і обмежте доступ за адресою)

Час і NTP

				
					/system clock set time-zone-name=Etc/UTC
/system ntp client set enabled=yes servers=pool.ntp.org

Базовий NAT (якщо це ваш «інтернет-маршрутизатор»)

				
					/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Міні-фаєрвол для управління

				
					/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input protocol=tcp dst-port=22,8291,443,80 src-address-list=mgmt action=accept
add chain=input in-interface=ether1 action=drop comment="drop rest from WAN"

/ip firewall address-list
add list=mgmt address=203.0.113.0/24

Оновлення та ліцензія CHR

Перевірити та оновити RouterOS:

				
					/system package update check-for-updates
/system package update install

Перевірити ліцензію CHR:

				
					/system license print

(Для продакшн-навантажень вибирають p1/p10/p-unlimited — див. офіційний розділ CHR)

Налагодження: типові проблеми

«xz-compressed data is corrupt / System halted» після dd
Часта причина — запис по «живій» ФС. Переведення ФС в read-only перед dd допомагає. При проблемах використовуйте 6.49.10, завантажтеся, потім оновіть до 7.x.
Немає пінгу після перезавантаження
Перевірте, що ви задали адресу і шлюз в CHR (кроки 8–9). Для /32 вказуйте network=<gateway> при додаванні адреси і задайте маршрут gateway=<gateway>.
+відкривається WebFig/Winbox
Зайдіть через аварійну консоль, перевірте /ip service print, фаєрвол і що ви дивитеся правильний порт (Winbox 8291/TCP).

Додатково: швидка сітка конфігурацій

Вхід по DHCP (якщо хмара видає адресу динамічно)

				
					/ip dhcp-client add interface=ether1 use-peer-dns=yes use-peer-ntp=yes

(Для серверних середовищ статична адреса є кращим варіантом.)

Bridge (якщо в CHR буде кілька інтерфейсів)

				
					/interface bridge add name=br0
/interface bridge port add bridge=br0 interface=ether1
/ip address add address=192.0.2.10/24 interface=br0

VLAN на інтерфейсі

				
					/interface vlan add name=wan.100 vlan-id=100 interface=ether1
/ip address add address=203.0.113.10/24 interface=wan.100
/ip route add gateway=203.0.113.1

+380443693988