Antes de comecar: A mudanca da versao 6 para a 7 envolve alteracoes estruturais em bridge VLAN filtering, firewall raw table e arquitetura de pacotes. Nunca faca esse upgrade em producao sem antes testar em laboratorio com a mesma configuracao.

Mudancas principais da v7

O RouterOS v7 nao e um “bugfix” do v6 — e uma plataforma reescrita. Antes de pensar em fazer a migracao voce precisa entender o que mudou e o que pode quebrar:

Bridge VLAN filtering

Na v6, bridge VLAN filtering era opcional e muitas redes funcionavam no modo “legacy” (VLAN em interfaces separadas). Na v7, o modelo moderno com /interface bridge vlan e fortemente recomendado e algumas plataformas exigem reconfiguracao. Se voce usa VLANs em modo legacy, planeje a migracao cedo.

Firewall com raw table

O v7 trouxe a raw table do firewall, que processa pacotes antes do conntrack. Isso permite proteger o roteador de DDoS volumetrico sem onerar o tracker de conexoes. Regras que voce tinha em chain=input e chain=prerouting para DDoS podem ser movidas para chain=prerouting-raw para ganhar performance.

WireGuard nativo

WireGuard veio como cidadao de primeira classe. Se voce usava IPsec para site-to-site com latencia alta, vale repensar — o WireGuard e mais simples, mais rapido e suportado nativamente na v7.

Arquitetura de pacotes

Na v7 os pacotes adicionais (wifiwave2, user-manager, container) sao baixados separadamente. Apos o upgrade voce precisa reinstalar os pacotes que usava na v6 se eles tiverem contrapartida na v7.

Pre-requisitos antes de migrar

Se qualquer um destes itens for “nao”, pare e resolva antes de tocar no botao de upgrade:

Checklist de backup

Faca os tres tipos de backup antes de iniciar qualquer upgrade. Nunca dependa de apenas um.

backup.rsc — 3 tipos de backup 
# 1. Backup binario (contem senhas e pode ser restaurado no mesmo equipamento)
/system backup save name=pre-v7-$([/system clock get date]) password="SENHA_FORTE_AQUI"

# 2. Export textual compact (legivel, sem senhas, melhor para review)
/export compact file=pre-v7-compact

# 3. Export textual com todos os defaults (referencia completa)
/export verbose file=pre-v7-verbose

# 4. Download de todos os arquivos via FTP ou SCP para o seu NMS
# Exemplo via tool fetch (do lado do router), enviando para TFTP:
/tool fetch upload=yes address=10.0.0.100 src-path=pre-v7-compact.rsc

# 5. Tire um print das rotas ativas e das interfaces (sanity check pos-upgrade)
/ip route print detail without-paging
/interface print detail without-paging
O .backup binario so pode ser restaurado em equipamento da mesma arquitetura e versao. O .rsc compact e portavel e serve para reconstruir a config em outro hardware.

Passo a passo do upgrade

  1. Atualize o canal para v7. Em /system package update, mude channel para stable ou long-term da v7.
  2. Baixe o pacote sem instalar. Execute /system package update check-for-updates e depois download. Valide o arquivo em flash.
  3. Atualize o bootloader (RouterBOOT). Em /system routerboard upgrade, atualize o firmware embutido. Reboot necessario.
  4. Reboot para aplicar o upgrade do RouterOS. Depois de download, execute /system reboot. O pacote sera aplicado na proxima inicializacao.
  5. Aguarde a reconexao. O primeiro boot na v7 pode demorar mais que o normal (reindexacao de config). Seja paciente.
  6. Valide servicos criticos. PPPoE, BGP, OSPF, VPNs, CAPsMAN — confira cada um com print.
  7. Reinstale pacotes opcionais. Em /system package, instale os pacotes que voce usava na v6 (user-manager, etc.).
upgrade.rsc — fluxo automatizado 
# Muda para canal v7
/system package update set channel=long-term
/system package update check-for-updates
:delay 3s
:put [/system package update get installed-version]
:put [/system package update get latest-version]

# Se a latest-version for v7.x, baixar (mas NAO instalar)
/system package update download

# Atualizar firmware do RouterBOOT
/system routerboard upgrade
# (Requer reboot para aplicar)

# Reboot controlado
/system reboot

Plano de rollback

Se algo der errado e voce precisar voltar para a v6, tenha esse plano pronto antes do upgrade:

  1. Se ainda nao rebootou: em /system package update execute cancel-downloaded.
  2. Se ja esta na v7 e quer voltar: baixe o pacote v6.49.x, coloque em flash, execute /system package downgrade e reboot.
  3. Se o downgrade falhar: use netinstall via console serial com a imagem v6 (arquivo .npk ou combo do RouterBOOT).
  4. Restore do backup binario: apos voltar para v6 identica, faca /system backup load name=pre-v7-data password=….
Backup binario feito na v7 nao funciona na v6. O rollback so preserva os dados se voce tiver o backup .backup ou .rsc feito ANTES do upgrade.

Armadilhas comuns

Bridge VLAN filtering
Configs legacy em modo “VLAN em interface virtual” continuam funcionando, mas perdem hardware offloading. Migre para /interface bridge vlan.
Fasttrack com IPv6
Fasttrack na v7 tem comportamento diferente com IPv6. Teste as regras de firewall e confirme que o trafego IPv6 ainda bate nas suas accept rules.
Wireless legacy
O pacote wireless classico da v6 nao existe mais para hardware WiFi 6/6E. Use wifiwave2. Config antiga nao migra automaticamente.
BGP em scripts
Sintaxe de BGP mudou. Filtros antigos em /routing filter precisam ser reescritos em /routing filter rule. Scripts antigos vao falhar silenciosamente.
IPsec com NAT-T
Tuneis IPsec existentes funcionam, mas parametros de NAT-T foram redesenhados. Se os peers ficam instaveis apos upgrade, revise nat-traversal.
Container e SwitchOS
Pacote container so vem na v7. Se seu switch tem dual-boot (CRS300+), cuidado para nao acionar SwOS por engano durante netinstall.

Script de verificacao pos-upgrade

Depois que o router subir na v7, rode o script abaixo no terminal. Ele confere os pontos mais sensiveis e joga o resultado no log.

post-upgrade-check.rsc 
# ====================================================================
# post-upgrade-check.rsc - Valida saude do router apos migracao v6->v7
# ====================================================================

:local ver [/system resource get version]
:log info "[CHECK] RouterOS version: $ver"

# 1. Confere se bateu v7
:if ([:find $ver "7."] = 0) do={
  :log info "[OK] RouterOS 7 detectado"
} else={
  :log warning "[FAIL] Ainda em RouterOS 6!"
}

# 2. Uptime minimo de 60 segundos antes de testar
:local up [/system resource get uptime]
:log info "[CHECK] Uptime: $up"

# 3. Interfaces criticas up/running
:foreach iface in=[/interface find where disabled=no] do={
  :local nome [/interface get $iface name]
  :local run [/interface get $iface running]
  :if ($run = true) do={
    :log info "[OK] Interface $nome running"
  } else={
    :log warning "[CHECK] Interface $nome NOT running"
  }
}

# 4. Sessoes BGP estabelecidas
:foreach p in=[/routing bgp session find] do={
  :local peer [/routing bgp session get $p remote.address]
  :local st [/routing bgp session get $p state]
  :if ($st = "established") do={
    :log info "[OK] BGP $peer established"
  } else={
    :log warning "[FAIL] BGP $peer state=$st"
  }
}

# 5. PPPoE server (se aplicavel) aceitando sessoes
:local pppoe [:len [/interface pppoe-server active find]]
:log info "[CHECK] PPPoE sessoes ativas: $pppoe"

# 6. IPsec peers conectados
:in=[/ip ipsec active-peers find] do={
  :local addr [/ip ipsec active-peers get $peer dst-address]
  :local state [/ip ipsec active-peers get $peer state]
  :log info "[IPSEC] $addr state=$state"
}

# 7. Log final
:log info "[DONE] post-upgrade-check completo"

Adicione esse script em /system script e agende para rodar 5 minutos apos cada reboot, assim voce tem um report confiavel da saude do router logo apos o upgrade.

Mevlox Distribuidora

Precisa de ajuda com a migracao?

Nosso time tecnico ajuda voce a planejar a janela, clonar a config em laboratorio e executar o upgrade com acompanhamento remoto.

Falar com nosso time tecnico Voltar ao Blog