Device‑mode - инструмент ограничения доступа к ряду функций и настроек роутера MikroTik. Его главная задача — повысить безопасность сети: если кто‑то попытается взломать устройство, у него будет куда меньше возможностей что‑либо натворить. Впервые эта функция появилась в RouterOS 7.17. С тех пор она стала популярным решением для защиты от несанкционированного доступа и разного рода злоупотреблений — особенно там, где важна стабильность и защищённость инфраструктуры.

Представьте ситуацию: злоумышленник всё-таки получил удаленный доступ к вашему маршрутизатору. Без Device‑mode он мог бы, скажем, запустить атаку на соседние сети или выполнить опасные команды. Но если режим включён, многие такие действия уже заблокированы — даже при наличии учётных данных.

В RouterOS 7.22.2 реализованы три варианта настройки — каждый под свои сценарии использования:
1. Advanced (раньше назывался Enterprise):
- даёт почти полный доступ ко всем функциям, но с небольшими ограничениями;
- заблокированы: traffic-gen, container, partitions, install-any-version, routerboard;
- по умолчанию активирован на устройствах серий CCR и 1100 — видимо, разработчики сочли, что здесь нужна гибкость, но без излишеств.
2. Home:
- отключает целый набор потенциально опасных инструментов: scheduler, socks, fetch, bandwidth-test, traffic-gen, sniffer, romon, proxy, hotspot, email, zerotier, container;
- идеально подходит для домашних сетей: риски сведены к минимуму, а базовых возможностей хватает с головой.
3. Basic:
- самый строгий режим — отключает практически всё, что может представлять угрозу;
- среди заблокированного: socks, bandwidth-test, traffic-gen, proxy, hotspot, zerotier, container, install-any-version, partitions, routerboard;
выбирайте его, если безопасность — приоритет № 1. Например, для публичных точек доступа или устройств с ограниченным кругом задач.

Ключевые механизмы Device‑mode:
1. Ограничение функций
В зависимости от выбранного режима часть возможностей RouterOS просто не отображается или блокируется. К примеру, в Home нельзя запустить hotspot или sniffer — даже если очень хочется.
2. Подтверждение изменений
Чтобы поменять режим, недостаточно одной команды. Нужно физическое подтверждение: либо нажать кнопку на корпусе устройства, либо выполнить холодную перезагрузку (отключить и включить питание). Это исключает возможность удалённого взлома и смены настроек злоумышленником.
3. Лимит попыток
Система позволяет изменить режим не более трёх раз подряд. После этого счётчик блокируется — чтобы его сбросить, придётся перезагрузить устройство или нажать кнопку. Ещё один барьер против автоматизированных атак.
4. Флаг flagged
Если система замечает подозрительные изменения в конфигурации (например, кто‑то пытается массово менять настройки), она автоматически переводит устройство в состояние flagged. В этом режиме:
- блокируется создание новых конфигураций;
- недоступны функции вроде bandwidth-test и sniffer;
- общий уровень доступа снижается — как тревожный сигнал: что‑то идёт не так.

Практическое использование:
1. Проверить текущий режим. Команда покажет, какой режим активен сейчас, и какие функции доступны. Полезно делать это перед любыми изменениями. Выполните в терминале:
/system/device-mode/print

2. Сменить режим. После ввода обязательно подтвердите действие: нажмите кнопку на устройстве или отключите питание. Без этого изменение не применится — система вас об этом предупредит. Чтобы переключиться, например, на Home, используйте:
/system/device-mode/update mode=advanced

3. Включить отдельную функцию. Допустим, в текущем режиме отключён container, а вам он срочно нужен. Как и в случае с режимом, потребуется подтверждение — без физического доступа не обойтись. Активировать выборочно:
/system/device-mode/update container=yes


4. Сбросить флаг flagged. Если устройство перешло в это состояние, вернуть его в нормальный режим можно командой:
/system/device-mode/update flagged=no