Сброс MikroTik до заводских настроек: кнопка, команда, NetInstall

Когда без сброса не обойтись

Ситуация, знакомая каждому, кто хоть раз серьёзно ковырял MikroTik (латвийский производитель сетевого оборудования на базе RouterOS): настроил файрвол, закрыл доступ к роутеру, перезагрузил — и всё, ни WinBox, ни WebFig, ни SSH. Роутер работает, трафик гоняет, но ты для него теперь чужой.

Или другой сценарий. Обновил прошивку, а после перезагрузки устройство ушло в бесконечный цикл. Индикаторы моргают, но в сеть не выходит.

Или совсем бытовой вариант — достал из шкафа MikroTik hAP lite (бюджетная точка доступа), который настраивал два года назад. Пароль? Конфигурация? Тайна, покрытая мраком.

Во всех этих случаях нужен сброс настроек MikroTik. Способов несколько, и они не взаимозаменяемы — у каждого своя область применения. Пойдём от простого к сложному.

Программный сброс: если доступ к роутеру ещё есть

Самый мягкий вариант. Подходит, когда ты по-прежнему можешь зайти в RouterOS (операционная система MikroTik) — через WinBox (утилита управления MikroTik), терминал или WebFig (веб-интерфейс управления).

Через терминал:

bashКопировать/system reset-configuration

RouterOS спросит подтверждение — y. После этого роутер перезагрузится с заводской конфигурацией.

Есть полезные флаги:

bashКопировать# Сброс без загрузки дефолтной конфигурации
# (получишь абсолютно чистый роутер — без IP, без бриджа, без DHCP)
/system reset-configuration no-defaults=yes

# Сброс с сохранением текущей прошивки и пользовательских файлов
/system reset-configuration keep-users=yes

# Сброс и одновременно запуск конкретного скрипта при старте
/system reset-configuration run-after-reset=flash/my-config.rsc

Последний вариант — шикарная штука для тех, кто держит эталонный конфиг в .rsc-файле. Сбросил, и роутер сам себя настроил. Но об этом как-нибудь отдельно.

Нюанс: no-defaults=yes — это не то же самое, что обычный сброс. После обычного сброса MikroTik hAP ac2 (двухдиапазонная точка доступа), например, создаст бридж, настроит DHCP-сервер на 192.168.88.1, поднимет Wi-Fi с открытой сетью MikroTik. После no-defaults=yes — ничего. Пустой конфиг. Подключиться получится только через MAC-адрес в WinBox или по кабелю на любой порт.

Через WinBox: System → Reset Configuration. Те же галочки — No Default Configuration, Keep Users, Run After Reset. Жмёшь Reset Configuration, подтверждаешь.

Через WebFig: System → Reset Configuration. Аналогично.

Звучит просто? Ага, как бы не так. Этот способ работает ровно до тех пор, пока у тебя есть доступ к устройству. А если заблокировал сам себя?

Кнопка Reset: спасение без доступа к системе

На каждом MikroTik есть физическая кнопка сброса. На hAP lite и hAP ac2 она утоплена в корпус — нужна скрепка или SIM-эжектор. На MikroTik hEX (проводной роутер серии RB750) и старших моделях — бывает более доступной.

Стандартная процедура сброса настроек MikroTik через кнопку:

1. Выключи роутер (вытащи питание)
2. Зажми кнопку Reset
3. Подай питание, продолжая держать кнопку
4. Жди, пока индикатор ACT (или USR, зависит от модели) не начнёт мигать
5. Отпусти кнопку

Роутер перезагрузится с заводскими настройками. Пароль admin, пароля нет (на RouterOS 7) или пароль пустой (на RouterOS 6 — зависит от версии).

Тайминги — тут нюанс

Длительность удержания кнопки определяет, что именно произойдёт. И это не просто «подержи подольше».

На большинстве моделей:

• ~5 секунд (индикатор мигнул один раз) — обычный сброс до заводских настроек
• ~10 секунд (индикатор мигнул, потом погас) — запуск в режиме CAP (управляемая точка доступа через CAPsMAN). Не то, что тебе нужно для сброса, но легко перепутать
• ~15 секунд и дольше — на некоторых моделях активирует режим NetInstall (загрузка по сети)

# ⚠️ Тайминги зависят от конкретной модели — актуальные значения проверяй в документации MikroTik для своего устройства (раздел "Reset button" на wiki.mikrotik.com)

На практике — мигание индикатора ACT — твой ориентир. Увидел мигание — отпускай. Не увидел — что-то не так: проверь, ту ли кнопку жмёшь (на некоторых платах есть и кнопка Mode, и кнопка Reset — они рядом).

Что делать, если кнопка не помогает

Редко, но бывает. Зажал, подержал, отпустил — а роутер загрузился со старым конфигом. Причины:

• Не хватило времени удержания. Попробуй ещё раз, держи чуть дольше
• Кнопка физически сломана. Бывает на б/у устройствах — контакт не срабатывает
• Повреждён загрузчик. Тут уже кнопка не поможет — нужен NetInstall

Помнишь, выше я упоминал, что способы не взаимозаменяемы? Вот именно такой случай. Кнопка сбрасывает конфигурацию, но не трогает прошивку. Если проблема в самой RouterOS — нужна тяжёлая артиллерия.

NetInstall: полная переустановка RouterOS

NetInstall — это утилита MikroTik для установки (или переустановки) RouterOS по сети. Работает через прямое Ethernet-соединение между компьютером и роутером. По сути — PXE-загрузка (технология загрузки по сети): роутер при старте получает образ прошивки с твоего компьютера вместо загрузки с флеша.

Когда нужен NetInstall:

• Роутер не загружается вообще (кирпич после неудачного обновления)
• RouterOS повреждена и сброс кнопкой не помогает
• Нужно откатиться на конкретную версию прошивки
• Хочешь начать с идеально чистой системы — без артефактов от предыдущих конфигураций

Что понадобится

• Компьютер с Windows (NetInstall — Windows-утилита; под Linux есть консольная версия, но она менее удобна)
• Ethernet-кабель — напрямую от компьютера к роутеру, без свитчей посередине. На практике через свитч тоже работает, но прямое подключение надёжнее
• Утилита NetInstall — скачивается с mikrotik.com, раздел Software → NetInstall. Актуальную версию проверяй на официальном сайте
• Файл прошивки RouterOS для твоей архитектуры. Тут важно не ошибиться: hAP lite — это SMIPS, hAP ac2 — ARM, hEX — MMIPS. Архитектуру можно посмотреть на wiki.mikrotik.com в описании конкретной модели

Пошаговый процесс

1. Настрой сетевой интерфейс на компьютере.

NetInstall работает как DHCP/BOOTP-сервер. Ему нужен статический IP на сетевом адаптере компьютера.

Задай на Ethernet-адаптере:

• IP: 192.168.88.2
• Маска: 255.255.255.0
• Шлюз: пусто
• DNS: пусто

Почему именно 192.168.88.x? Потому что это дефолтная подсеть MikroTik. Можно любую другую — но зачем усложнять.

2. Отключи файрвол Windows (или разреши NetInstall).

Windows Firewall по умолчанию блокирует BOOTP/DHCP-трафик от NetInstall. Это ловушка номер один — утилита запущена, роутер в режиме NetInstall, а они друг друга не видят.

Самый надёжный путь — временно отключить файрвол:

Панель управления → Брандмауэр Windows → Включение и отключение → Отключить для частной и общедоступной сети.

(Да, можно аккуратнее — создать правило для UDP-портов 67-69. Но для одноразовой операции проще отключить целиком и включить обратно.)

3. Запусти NetInstall.

В поле Net booting нажми кнопку Boot → активируй Boot Server Enabled → укажи Client IP Address: 192.168.88.3 (это адрес, который NetInstall выдаст роутеру при загрузке).

4. Переведи роутер в режим загрузки по сети.

А вот тут зависит от модели.

Для большинства MikroTik (hAP lite, hAP ac2, hEX и другие RouterBOARD):

1. Выключи роутер
2. Зажми кнопку Reset
3. Подай питание, продолжая держать кнопку
4. Держи, пока устройство не появится в окне NetInstall (обычно 15–20 секунд)
5. Отпусти кнопку

На экране NetInstall должен появиться MAC-адрес роутера. Если не появляется — проверь кабель, файрвол, адаптер.

На некоторых моделях (особенно старых RB9xx, RB4xx) вход в режим NetInstall отличается. Где-то нужно зажимать кнопку Reset до характерного звукового сигнала, где-то — подключаться строго к определённому порту (обычно первому). Детали — в документации на конкретную модель.

5. Выбери прошивку и установи.

В NetInstall нажми Browse, укажи папку с файлом прошивки RouterOS (скачанный ранее .npk-файл). Выбери пакет в списке → Install.

Процесс занимает от 30 секунд до пары минут. После установки роутер перезагрузится с чистой RouterOS.

Тонкости, которые экономят нервы

Кабель — в первый порт. На hAP ac2 и hAP lite — порт 1 (WAN/Internet). На hEX — тоже первый. NetInstall может не увидеть устройство через другие порты.

Версия NetInstall должна совпадать с версией прошивки. Или быть новее. Если качаешь RouterOS 7.x — бери NetInstall оттуда же, с той же страницы. Разные мажорные версии (6.x NetInstall + 7.x firmware) иногда конфликтуют.

Wi-Fi адаптер — отключи. Если на компьютере активен и Wi-Fi, и Ethernet, NetInstall может слушать не тот интерфейс. Проще отключить Wi-Fi на время процедуры.

Антивирус. Некоторые антивирусы (судя по обсуждениям на форуме MikroTik) блокируют работу NetInstall. Kaspersky и ESET замечены в этом. Если ничего не помогает — попробуй временно отключить антивирус.

Сброс через серийный порт: для моделей с консолью

Некоторые MikroTik — в основном Cloud Core Router (высокопроизводительные маршрутизаторы серии CCR) и старшие RouterBOARD — имеют последовательный порт (RS-232 или RJ45 console). Если есть консольный кабель и переходник USB-to-Serial:

bashКопировать# Подключение через PuTTY, minicom или screen
# Скорость: 115200, 8N1
screen /dev/ttyUSB0 115200

После подключения — получаешь терминал RouterOS и можешь выполнить тот же /system reset-configuration. Это выручает, когда сеть мертва, но UART (интерфейс последовательной связи) работает.

Для домашних устройств вроде hAP lite или hAP ac2 серийного порта нет. Но если у тебя hEX S (RB760iGS) — на плате есть контактные площадки UART. Подключиться можно, но нужен паяльник или пого-пины, и это уже скорее хардкорный ремонт.

Частные случаи: конкретные модели

hAP lite (RB941-2nD)

Самый продаваемый MikroTik для дома. Кнопка Reset — на нижней панели, утоплена. Сброс настроек MikroTik hAP lite — стандартная процедура: зажал при включении, подождал мигания, отпустил. NetInstall — через первый порт (Internet), архитектура SMIPS.

Одна особенность: у hAP lite всего 16 МБ флеша. Если закачал лишние пакеты — места может не хватить, и роутер откажется загружаться. NetInstall решает и эту проблему — перезаливаешь чистую прошивку.

hAP ac2 (RB962UiGS-5HacT2HnT)

Двухдиапазонный, с USB-портом. Сброс настроек MikroTik hAP ac2 — аналогично: кнопка Reset при включении. Архитектура ARM. Нюанс: после сброса до заводских настроек создаётся две Wi-Fi сети — на 2.4 ГГц и 5 ГГц — с именем MikroTik и без пароля. Не забудь закрыть сразу после первой настройки.

hEX (RB750Gr3) и hEX S (RB760iGS)

Проводные маршрутизаторы, без Wi-Fi. Кнопка Reset на корпусе. Архитектура MMIPS. Сброс настроек MikroTik hEX — стандартная процедура. При использовании NetInstall — подключение к первому порту.

hEX S интересен тем, что у него есть SFP-порт (разъём для оптических модулей). При сбросе SFP-конфигурация тоже обнуляется.

cAP ac (RbcAPGi-5acD2nD)

Потолочная точка доступа. Кнопка Reset — под крышкой, нужно снять устройство с потолка. Сброс настроек MikroTik cAP ac осложняется тем, что после ресета устройство загружается в режиме CAP (ищет CAPsMAN-контроллер). Если контроллера нет — не паникуй: подключись по MAC-адресу через WinBox и настрой как standalone.

Что делать после сброса

Сброс — не финал, а начало. После него роутер доступен по дефолтному адресу 192.168.88.1 (если был обычный сброс, не no-defaults).

Первые шаги:

1. Подключись через WinBox (по MAC-адресу надёжнее, чем по IP — особенно если DHCP на компьютере не настроен)
2. На RouterOS 7 система сразу попросит задать пароль admin. На RouterOS 6 — зайдёшь с пустым паролем, но настоятельно рекомендую сменить
3. Обнови RouterOS до актуальной стабильной версии: System → Packages → Check For Updates → Download & Install

bashКопировать# Или через терминал
/system package update check-for-updates
/system package update install

И сразу — базовая безопасность. Как минимум:

bashКопировать# Отключить сервисы, которые не используешь
/ip service disable telnet,ftp,www,api,api-ssl

# Оставить WinBox и SSH
/ip service enable winbox,ssh

# Ограничить доступ к управлению из локальной сети
/ip service set winbox address=192.168.88.0/24
/ip service set ssh address=192.168.88.0/24

Кстати, именно отсутствие этого шага обычно и приводит к ситуации «заблокировал сам себя». Настроил файрвол, забыл добавить разрешающее правило для management-трафика — и привет, кнопка Reset. Классика.

Бэкап перед экспериментами — не совет, а правило

Если ты читаешь эту статью, потому что уже залочил роутер — этот раздел запоздал. Но на будущее.

RouterOS умеет делать два типа бэкапов:

Бинарный бэкап — полный снимок конфигурации, включая пароли и сертификаты:

bashКопировать/system backup save name=before-experiment

Файл before-experiment.backup появится в Files. Скачай его на компьютер.

Экспорт в текст — читаемый .rsc-файл с командами:

bashКопировать/export file=my-config

Текстовый экспорт удобнее: можно смотреть, редактировать, хранить в Git (система контроля версий). Бинарный — для точного восстановления один-в-один.

Восстановление из бинарного бэкапа:

bashКопировать/system backup load name=before-experiment.backup

Из текстового:

bashКопировать/import file=my-config.rsc

Важно: бинарный бэкап привязан к конкретному устройству (по MAC-адресу и лицензии). Перенести его на другой MikroTik не получится. Текстовый — переносится, но может потребовать правки (другие имена интерфейсов, другое железо).

Когда ничего не помогает

Редкая, но реальная ситуация: кнопка Reset не работает, NetInstall не видит устройство, консольного порта нет.

Варианты:

• Попробуй другой компьютер и другой кабель. Банально, но в половине случаев проблема оказывается не в роутере
• Убедись, что на компьютере отключён Wi-Fi и любые VPN (виртуальная частная сеть) — они могут перехватывать трафик
• Проверь, что подключаешься к правильному порту (первый, WAN/Internet)
• Попробуй другую версию NetInstall — иногда свежая версия не работает с конкретной моделью, а предыдущая — работает

Если после всего роутер не оживает — возможно, проблема аппаратная. Битая флеш-память, сгоревший чип. Тут уже только сервис или замена.

Шпаргалка: какой способ когда

Основное правило: начинай с простого. Программный сброс → кнопка → NetInstall. Не надо сразу тянуться за NetInstall, если можно просто нажать Reset.