Сброс маршрутизатора MikroTik к заводским настройкам кнопкой Reset Инструкции

    Device‑mode - инструмент ограничения доступа к ряду функций и настроек роутера MikroTik. Его главная задача — повысить безопасность сети: если кто‑то попытается взломать устройство, у него будет куда меньше возможностей что‑либо натворить. Впервые эта функция появилась в RouterOS 7.17. С тех пор она стала популярным решением для защиты от несанкционированного доступа и разного рода злоупотреблений — особенно там, где важна стабильность и защищённость инфраструктуры.

    Представьте ситуацию: злоумышленник всё-таки получил доступ к вашему устройству. Без Device‑mode он мог бы, скажем, запустить атаку на соседние сети или выполнить опасные команды. Но если режим включён, многие такие действия уже заблокированы — даже при наличии учётных данных.

    В RouterOS 7.17 реализованы три варианта настройки — каждый под свои сценарии использования:
    1. Advanced (раньше назывался Enterprise):
    - даёт почти полный доступ ко всем функциям, но с небольшими ограничениями;
    - заблокированы: traffic-gen, container, partitions, install-any-version, routerboard;
    - по умолчанию активирован на устройствах серий CCR и 1100 — видимо, разработчики сочли, что здесь нужна гибкость, но без излишеств.

    2. Home:
    - отключает целый набор потенциально опасных инструментов: scheduler, socks, fetch, bandwidth-test, traffic-gen, sniffer, romon, proxy, hotspot, email, zerotier, container;
    - идеально подходит для домашних сетей: риски сведены к минимуму, а базовых возможностей хватает с головой.

    3. Basic:
    - самый строгий режим — отключает практически всё, что может представлять угрозу;
    - среди заблокированного: socks, bandwidth-test, traffic-gen, proxy, hotspot, zerotier, container, install-any-version, partitions, routerboard;
    выбирайте его, если безопасность — приоритет № 1. Например, для публичных точек доступа или устройств с ограниченным кругом задач.

    Ключевые механизмы Device‑mode:

    1. Ограничение функций
    В зависимости от выбранного режима часть возможностей RouterOS просто не отображается или блокируется. К примеру, в Home нельзя запустить hotspot или sniffer — даже если очень хочется.

    2. Подтверждение изменений
    Чтобы поменять режим, недостаточно одной команды. Нужно физическое подтверждение: либо нажать кнопку на корпусе устройства, либо выполнить холодную перезагрузку (отключить и включить питание). Это исключает возможность удалённого взлома и смены настроек злоумышленником.

    3. Лимит попыток
    Система позволяет изменить режим не более трёх раз подряд. После этого счётчик блокируется — чтобы его сбросить, придётся перезагрузить устройство или нажать кнопку. Ещё один барьер против автоматизированных атак.

    4. Флаг flagged
    Если система замечает подозрительные изменения в конфигурации (например, кто‑то пытается массово менять настройки), она автоматически переводит устройство в состояние flagged. В этом режиме:
    - блокируется создание новых конфигураций;
    - недоступны функции вроде bandwidth-test и sniffer;
    - общий уровень доступа снижается — как тревожный сигнал: что‑то идёт не так.

    Практическое использование:

    1. Проверить текущий режим
    Выполните в терминале:

    /system/device-mode/print

    Команда покажет, какой режим активен сейчас, и какие функции доступны. Полезно делать это перед любыми изменениями.

    2. Сменить режим
    Чтобы переключиться, например, на Home, используйте:

    /system/device-mode/update mode=home

    После ввода обязательно подтвердите действие: нажмите кнопку на устройстве или отключите питание. Без этого изменение не применится — система вас об этом предупредит.

    3. Включить отдельную функцию
    Допустим, в текущем режиме отключён container, а вам он срочно нужен. Можно активировать выборочно:

    /system/device-mode/update container=yes

    Как и в случае с режимом, потребуется подтверждение — без физического доступа не обойтись.

    4. Сбросить флаг flagged
    Если устройство перешло в это состояние, вернуть его в нормальный режим можно командой:

    /system/device-mode/update flagged=no

    Обновлено: 25 февраля 2026 года