Installation de MikroTik RouterOS CHR sur VPS

Ce dont vous avez besoin

VPS avec Ubuntu 20.04 (de préférence) et accès root/sudo.
Données réseau du fournisseur : IP/préfixe et passerelle par défaut – notez-les à l’avance.
Accès à la console d’urgence (VNC/série) dans le panneau du fournisseur, si le réseau n’est pas encore disponible après l’enregistrement.

**Vérifiez et notez les paramètres réseau avant de réécrire le disque dur (obligatoire).**

Cette étape est effectuée avant la réécriture du disque dur et l’installation de MikroTik CHR. Après l’écriture de l’image RAW, l’Ubuntu actuel est complètement supprimé, l’accès SSH disparaît et vous ne pouvez plus configurer le réseau dans CHR que manuellement via la console d’urgence avec les paramètres enregistrés précédemment. Il est donc essentiel de noter les paramètres réseau fournis par le fournisseur avant de continuer.

Quelles données doivent être enregistrées ?

Adresse IP et masque (préfixe)

Exemple : 203.0.113.10/24

Cette valeur est utilisée lors de l’ajout d’une adresse IP à CHR.

Passerelle par défaut

Exemple : 203.0.113.1

Cette adresse est nécessaire pour configurer la route par défaut.

Type de réseau – normal ou /32

Si l’adresse IP est attribuée avec un masque /32 (fréquent chez les fournisseurs VPS), une configuration spéciale est nécessaire du côté CHR.

Exemple d’un réseau avec /32 :

IP : 85.85.85.85/32
Passerelle : 10.0.0.1

Dans ce type de réseau, la passerelle est spécifiée manuellement lors de l’ajout d’une adresse IP.

				
					sudo -i
ip -c a
ip -c r

Préparer Ubuntu et corriger les paramètres réseau

				
					sudo -i
apt update && apt -y install unzip
ip -c a   # record your IP/prefix, for example 203.0.113.10/24
ip -c r   # write down the default gateway, for example 203.0.113.1

Ceci est utile si vous configurez CHR via la console après le redémarrage.

Téléchargez l’image RAW du routeur hébergé dans le cloud.

				
					cd /tmp
wget https://download.mikrotik.com/routeros/<VER>/chr-<VER>.img.zip
unzip chr-<VER>.img.zip   # we will receive chr-<VER>.img

Où <VER> correspond à la version stable. Si la dernière version ne se charge pas, utilisez la version 6.49.10, puis effectuez une mise à jour via CHR.

Définissez le disque dur de destination.

				
					fdisk -l
# For example, the target disk /dev/sda

Attention : assurez-vous que l’appareil est correct, car l’écriture est destructive.

Convertir les systèmes de fichiers en lecture seule

				
					echo u > /proc/sysrq-trigger
sync

Cela réduit le risque d’une image « endommagée » lors de l’utilisation de dd (il y a eu des cas où les données compressées xz étaient endommagées).

Écrivez l’image sur le disque dur (dd).

				
					dd if=chr-<VER>.img of=/dev/sda bs=4M oflag=sync status=progress

Attendez que le processus se termine sans erreur. Cela effacera complètement votre Ubuntu actuel.

Redémarrage forcé dans CHR

				
					echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger

La connexion SSH est interrompue. Le VPS démarre sous CHR dans son état par défaut – aucun réseau n’est encore disponible.

Première connexion à la console d’urgence

Ouvrez la console d’urgence dans le panneau du fournisseur.
Connexion admin, mot de passe vide → confirmer l’affichage de la licence → définir immédiatement un nouveau mot de passe.
Les modèles/versions plus récents peuvent avoir d’autres paramètres par défaut, mais pour CHR, le scénario typique est admin sans mot de passe lors de la première connexion.

Configuration de l’adresse IP dans RouterOS (CLI)

Dans la console RouterOS (CLI orientée menu) :

				
					ip
address
add
address=203.0.113.10/24
interface=ether1

RouterOS calcule le réseau/la transmission en fonction du préfixe ; l’adresse peut également être ajoutée à une seule ligne :

				
					/ip address add address=203.0.113.10/24 interface=ether1

Cas avec /32 (fréquent dans les clouds)

Si le fournisseur attribue une adresse IP publique avec un masque /32 et une passerelle « externe » (par exemple 10.0.0.1), configurez le réseau manuellement :

				
					/ip address add address=85.85.85.85/32 interface=ether1 network=10.0.0.1

Puis l’itinéraire standard :

				
					/ip route add gateway=10.0.0.1

Il s’agit d’une recette de travail standard pour /32 qui a fait ses preuves dans la pratique.

Route standard

Forme abrégée :

				
					/ip route add gateway=203.0.113.1

Une fois l’adresse et la passerelle configurées, CHR est accessible via le réseau.

Accès à WebFig/Winbox

Ouvrez http://<IP> pour WebFig (ou https://<IP> si HTTPS est activé).

Vous pouvez également vous connecter à Winbox (TCP standard 8291).

Identifiant admin + votre nouveau mot de passe.

Que faire immédiatement après avoir configuré le réseau ?

Mini-sécurité (désactiver les services inutiles, modifier les ports de service)

				
					/ip service print
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes         # enable www-ssl instead of plain-HTTP
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/ip service set ssh address=0.0.0.0/0    # narrow if necessary
/ip service set winbox port=8291         # change the port if desired

WebFig et Winbox sont des gestionnaires similaires en termes de fonctionnalités. Par défaut, WebFig utilise HTTP sur le port 80 (il est préférable d’activer HTTPS), tandis que Winbox utilise TCP 8291.
Activez HTTPS pour WebFig :

				
					/user add name=ops group=full password="ComplexPassword123!"
/user disable admin

Nom d’utilisateur et mot de passe

				
					/ip service set www disabled=yes
/ip service set www-ssl disabled=no certificate=<yours-cert>

(ou quitter Admin, mais définir un mot de passe complexe et limiter l’accès par adresse)

Heure et NTP

				
					/system clock set time-zone-name=Etc/UTC
/system ntp client set enabled=yes servers=pool.ntp.org

NAT de base (si c’est votre « routeur Internet »)

				
					/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Mini-pare-feu pour l’administration

				
					/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input protocol=tcp dst-port=22,8291,443,80 src-address-list=mgmt action=accept
add chain=input in-interface=ether1 action=drop comment="drop rest from WAN"

/ip firewall address-list
add list=mgmt address=203.0.113.0/24

Mises à jour et licence CHR

Vérifier et mettre à jour RouterOS :

				
					/system package update check-for-updates
/system package update install

Vérifier la licence CHR :

				
					/system license print

(Pour les charges de production, sélectionnez p1/p10/p-unlimited – voir la section CHR officielle)

Débogage : problèmes courants

« Les données compressées xz sont corrompues / Système arrêté » après dd
Une cause fréquente est l’écriture dans un système de fichiers « actif ». Il est utile de convertir le système de fichiers en lecture seule avant dd. Si vous rencontrez des problèmes, utilisez 6.49.10, démarrez le système, puis effectuez la mise à jour vers 7.x.
Pas de ping après le redémarrage
Vérifiez que vous avez défini l’adresse et la passerelle dans CHR (étapes 8-9). Pour /32, spécifiez network=<gateway> lors de l’ajout de l’adresse et définissez la route gateway=<gateway>.
+WebFig/Winbox s’ouvre
Connectez-vous via la console de secours, vérifiez /ip service print, le pare-feu et si vous voyez le bon port (Winbox 8291/TCP).

En plus : grille de configuration rapide

Connexion via DHCP (si le cloud attribue l’adresse de manière dynamique)

				
					/ip dhcp-client add interface=ether1 use-peer-dns=yes use-peer-ntp=yes

(Pour les environnements serveur, une adresse statique est préférable.)

Pont (s’il existe plusieurs interfaces dans CHR)

				
					/interface bridge add name=br0
/interface bridge port add bridge=br0 interface=ether1
/ip address add address=192.0.2.10/24 interface=br0

VLAN sur l’interface

				
					/interface vlan add name=wan.100 vlan-id=100 interface=ether1
/ip address add address=203.0.113.10/24 interface=wan.100
/ip route add gateway=203.0.113.1