Главная » Блог » Установка MikroTik RouterOS CHR на VPS

Установка MikroTik RouterOS CHR на VPS

MikroTik RouterOS
19 декабря, 2025

Что понадобится

VPS с Ubuntu 20.04 (желательно) и доступом root/sudo.
Данные сети провайдера: IP/префикс и шлюз по умолчанию — запишем их заранее.
Доступ к аварийной консоли (VNC/Serial) в панели провайдера на случай, если сеть после записи еще не поднята.

Проверяем и фиксируем сетевые параметры до перезаписи диска (обязательно)

Этот шаг выполняется до перезаписи диска и установки MikroTik CHR. После записи RAW-образа текущая Ubuntu будет полностью удалена, SSH-доступ исчезнет, и настроить сеть в CHR можно будет только вручную через аварийную консоль, используя заранее сохраненные параметры. Поэтому перед продолжением обязательно зафиксируйте сетевые настройки, выданные провайдером.

Какие данные нужно сохранить

IP-адрес и маска (префикс)

Пример: 203.0.113.10/24

Это значение будет использоваться при добавлении IP-адреса в CHR.

Шлюз по умолчанию (default gateway)

Пример: 203.0.113.1

Этот адрес будет нужен для настройки маршрута по умолчанию.

Тип сети — обычная или /32

Если IP выдан с маской /32 (часто встречается у VPS-провайдеров), это потребует особой настройки на стороне CHR.

Пример сети с /32:

IP: 85.85.85.85/32
Gateway: 10.0.0.1

Для таких сетей шлюз указывается вручную при добавлении IP-адреса

				
					sudo -i
ip -c a
ip -c r

Подготовка Ubuntu и фиксация сетевых параметров

				
					sudo -i
apt update && apt -y install unzip
ip -c a   # зафиксируйте ваш IP/префикс, например 203.0.113.10/24
ip -c r   # выпишите default gateway, например 203.0.113.1

Это пригодится при первоначальной настройке CHR через консоль после перезагрузки.

Загружаем RAW-образ Cloud Hosted Router

				
					cd /tmp
wget https://download.mikrotik.com/routeros/<VER>/chr-<VER>.img.zip
unzip chr-<VER>.img.zip   # получим chr-<VER>.img

Где <VER> — стабильная версия. Если свежая не загружается — используйте 6.49.10, затем обновите через CHR.

Определяем целевой диск

				
					fdisk -l
# Например, целевой диск /dev/sda

Внимание: убедитесь в правильности настроек, запись будет разрушительной.

Переводим файловые системы в режим read-only

				
					echo u > /proc/sysrq-trigger
sync

Это снижает риск «повреждения» образа при dd (были случаи с xz-compressed data is corrupt).

Записываем образ на диск (dd)

				
					dd if=chr-<VER>.img of=/dev/sda bs=4M oflag=sync status=progress

Дождитесь завершения без ошибок. Это полностью перезапишет текущую Ubuntu.

Жесткая перезагрузка в CHR

				
					echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger

SSH оборвется. VPS загрузится под CHR в дефолтном состоянии — сети еще нет.

Первый вход в аварийную консоль

Откройте аварийную консоль в панели провайдера.
Логин admin, пароль пустой → подтвердите просмотр лицензии → сразу задайте новый пароль.
На новых моделях/сборках бывают другие дефолты, но для CHR типичный сценарий — admin без пароля при первом входе.

Настройка IP-адреса в RouterOS (CLI)

В консоли RouterOS (меню-ориентированная CLI):

				
					ip
address
add
address=203.0.113.10/24
interface=ether1

RouterOS сам рассчитает network/broadcast по префиксу; адрес можно добавить и в одну строку:

				
					/ip address add address=203.0.113.10/24 interface=ether1

Случай с /32 (часто в облаках)

Если провайдер выдает публичный IP с маской /32 и «внешним» шлюзом (например, 10.0.0.1), задайте network вручную:

				
					/ip address add address=85.85.85.85/32 interface=ether1 network=10.0.0.1

Затем маршрут по умолчанию:

				
					/ip route add gateway=10.0.0.1

Это стандартный рабочий рецепт для /32, подтвержденный практикой.

Маршрут по умолчанию (default route)

Краткая форма:

				
					/ip route add gateway=203.0.113.1

После установки адреса и шлюза CHR станет доступным в сети.

Доступ к WebFig/Winbox

Откройте http://<IP> для WebFig (или https://<IP> при включении HTTPS).

Или подключитесь к Winbox (по умолчанию TCP 8291).

Логин admin + ваш новый пароль.

Что сделать сразу после подъема сети

Мини-безопасность (отключаем лишнее, меняем сервис-порты)

				
					/ip service print
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes         # включите www-ssl вместо plain-HTTP
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/ip service set ssh address=0.0.0.0/0    # сузьте при необходимости
/ip service set winbox port=8291         # по желанию измените порт

WebFig и Winbox — похожие по возможностям менеджеры; по умолчанию WebFig — HTTP на 80 (лучше включить HTTPS), Winbox — TCP 8291.
Включить HTTPS для WebFig:

				
					/ip service set www disabled=yes
/ip service set www-ssl disabled=no certificate=<ваш-cert>

Пользователь и пароль

				
					/user add name=ops group=full password="СкладнийПароль123!"
/user disable admin

(или оставьте admin, но задайте сложный пароль и ограничьте доступ по адресу)

Время и NTP

				
					/system clock set time-zone-name=Etc/UTC
/system ntp client set enabled=yes servers=pool.ntp.org

Базовый NAT (если это ваш «интернет-маршрутизатор»)

				
					/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Мини-файервол для управления

				
					/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input protocol=tcp dst-port=22,8291,443,80 src-address-list=mgmt action=accept
add chain=input in-interface=ether1 action=drop comment="drop rest from WAN"

/ip firewall address-list
add list=mgmt address=203.0.113.0/24

Обновление и лицензия CHR

Проверить и обновить RouterOS:

				
					/system package update check-for-updates
/system package update install

Проверить лицензию CHR:

				
					/system license print

(Для продакшн-нагрузок выбирают p1/p10/p-unlimited — см. официальный раздел CHR)

Настройка: типичные проблемы

«xz-compressed data is corrupt / System halted» после dd
Частая причина — запись по «живой» ФС. Перевод ФС в read-only перед dd помогает. При проблемах используйте 6.49.10, загрузитесь, затем обновите до 7.x.
Нет пинга после перезагрузки
Проверьте, что вы задали адрес и шлюз в CHR (шаги 8–9). Для /32 указывайте network=<gateway> при добавлении адреса и задайте маршрут gateway=<gateway>.
+открывается WebFig/Winbox
Зайдите через аварийную консоль, проверьте /ip service print, файервол и что вы смотрите правильный порт (Winbox 8291/TCP).

Дополнительно: быстрая сетка конфигураций

Вход по DHCP (если облако выдает адрес динамически)

				
					/ip dhcp-client add interface=ether1 use-peer-dns=yes use-peer-ntp=yes

(Для серверных сред статический адрес является предпочтительным вариантом.)

Bridge (если в CHR будет несколько интерфейсов)

				
					/interface bridge add name=br0
/interface bridge port add bridge=br0 interface=ether1
/ip address add address=192.0.2.10/24 interface=br0

VLAN на интерфейсе

				
					/interface vlan add name=wan.100 vlan-id=100 interface=ether1
/ip address add address=203.0.113.10/24 interface=wan.100
/ip route add gateway=203.0.113.1