Guida MikroTik in italiano

RouterOS è potentissimo ma ostico. Questa wiki ti porta da zero a esperto, con configurazioni pratiche, ottimali e sicure. 158 articoli, in italiano.

Guida indipendente in italiano, basata sulla documentazione ufficiale MikroTik e sull'esperienza sul campo. Ogni articolo predilige configurazioni sicure di default. MikroTik® è un marchio registrato di Mikrotīkls SIA.

Primi passi e gestione

Configurazione di default e Quick Set

Base

Cosa trovi già configurato su un router MikroTik appena unboxato e come usare Quick Set per una configurazione guidata in pochi minuti.

Cos'è RouterOS e RouterBOARD

Base

Introduzione al sistema operativo RouterOS di MikroTik e all'hardware RouterBOARD: architettura, licenze, casi d'uso per WISP.

Crea un lab di pratica gratuito (CHR, VirtualBox, GNS3)

Base

Come esercitarti su RouterOS senza hardware: MikroTik CHR con licenza free su VirtualBox per un router singolo, o GNS3 per topologie con più router.

Identity, orologio e NTP: log e monitoraggio corretti

Base

Dai un nome riconoscibile all'apparato e sincronizza l'orologio via NTP: senza data/ora corrette i log sono inutilizzabili e i certificati/VPN possono fallire.

Primo accesso: WinBox, WebFig, SSH e REST API

Base

Come connettersi al router per la prima volta con tutti gli strumenti disponibili, e quando usare ciascuno.

Backup, export configurazione e aggiornamento RouterOS

Intermedio

Come salvare e ripristinare la configurazione del router (backup binario e export testo), e come aggiornare RouterOS e il firmware RouterBOARD in modo sicuro.

CLI RouterOS: navigazione, print, find e Safe Mode

Intermedio

Padroneggia la riga di comando di RouterOS v7: struttura gerarchica dei menu, comandi essenziali, find, print, comment e Safe Mode per modifiche sicure.

Gestione file: /file, trasferimenti e spazio su disco

Intermedio

Come funziona lo storage di RouterOS, come trasferire file (backup, .rsc, pacchetti, certificati) con WinBox, SCP e /tool/fetch, e come non riempire la flash.

Gestione utenti e gruppi: privilegio minimo

Intermedio

Crea utenti con i soli privilegi necessari, gestisci i gruppi e applica il principio del privilegio minimo per proteggere il router.

Hardening dei servizi: /ip/service e sicurezza accesso

Intermedio

Disabilita i servizi non necessari, cambia le porte default, limita l'accesso per IP e abilita solo i protocolli sicuri per ridurre la superficie d'attacco.

Pacchetti RouterOS: bundle, extra package e architetture

Intermedio

Come è composto RouterOS in pacchetti, quali extra package esistono (wireless, container, user-manager…), come installarli/disabilitarli e perché l'architettura CPU conta.

Primo hardening post-installazione: la checklist completa

Intermedio

La checklist di sicurezza minima da applicare su ogni apparato MikroTik prima di metterlo in produzione: utenti, servizi, firewall di management, log e backup.

CLI avanzata: scripting, find, :foreach e variabili

Avanzato

Vai oltre i comandi singoli: variabili, cicli :foreach/:for, condizioni, find come lista, scheduler e script per automatizzare la gestione di un parco MikroTik.

Netinstall: reinstallazione pulita e recupero apparati

Avanzato

Quando e come usare Netinstall per reinstallare RouterOS da zero, recuperare un apparato che non parte e fare provisioning di massa con configurazione preinstallata.

Hardware MikroTik

Capire le specifiche MikroTik: licenze, switch chip, PoE e SFP

Base

Glossario pratico per leggere le schede tecniche MikroTik: livello di licenza RouterOS, switch chip e offload hardware, tipi di PoE e gabbie SFP/SFP+/QSFP.

Cloud Smart Switch CSS: SwOS e la famiglia CSS3xx/CSS610

Base

I CSS (Cloud Smart Switch) con SwOS sono switch L2 managed entry-level di MikroTik: configurazione via browser, prestazioni wire-speed e costo contenuto. Ideali per distribuzione AP/CPE in reti WISP.

Come scegliere il router MikroTik giusto

Base

Guida alla scelta del router in base all'uso: piccolo ufficio, CPE cliente WISP, concentratore PPPoE/BNG, core di rete con BGP. Famiglie hEX, hAP, L009, RB4011, RB5009, CCR.

Come scegliere lo switch MikroTik giusto

Base

Differenza tra Cloud Smart Switch (CSS/SwOS) e Cloud Router Switch (CRS/RouterOS), scelta per velocità delle porte, PoE e ruolo in rete.

CRS106-1C-5S e CRS112-8P-4S-IN: switch CRS entry con RouterOS

Base

Il CRS106 e il CRS112 sono i CRS più economici: girano RouterOS L5 (routing, firewall, scripting) con chip di switch dedicato. Il CRS112 aggiunge 8 porte PoE per alimentare AP e CPE direttamente.

Decodificare le sigle dei modelli MikroTik

Base

Come leggere i nomi dei prodotti MikroTik (RB, hEX, hAP, CRS, CSS, CCR) e i suffissi (G, U, S, S+, XS, Q, XQ, P, IN, RM, OUT, Pr) per capire a colpo d'occhio le caratteristiche.

hAP be3 Media: il router Wi-Fi 7 tri-band MikroTik per uso SOHO e piccole reti

Base

L'hAP be3 Media porta il Wi-Fi 7 (802.11be) in casa MikroTik: CPU ARM64 quad-core, 2 GB RAM, 5 porte 2.5G, tri-band 2.4/5/6 GHz, licenza L6. Ideale per sedi aziendali, uffici e clienti WISP che vogliono il massimo dalla fibra Gigabit.

PowerBox Pro (RB960PGS-PB): router Gigabit MikroTik per installazioni outdoor

Base

Il PowerBox Pro è la versione weatherproof dell'hEX PoE: involucro outdoor resistente alle intemperie, 5 porte Gigabit PoE-out 802.3af/at, 1 SFP, pensato per piloni, torre, box stradali e installazioni WISP senza armadi.

RB260GS e RB260GSP: switch SOHO compatti con SwOS

Base

I RB260GS e RB260GSP sono switch desktop a 5 porte Gigabit + SFP, gestiti via SwOS, economici e silenziosi. Il modello GSP aggiunge PoE passivo in uscita per alimentare CPE o AP in installazioni piccole.

Serie hEX: router entry-level wired MikroTik a confronto

Base

Guida pratica all'intera famiglia hEX: dalle versioni 100 Mbit/s entry-level ai nuovi modelli ARM con 2.5G SFP, con tabella di confronto e consigli di scelta per WISP, uffici e installazioni outdoor.

CCR2004: router ARM64 quad-core per core di rete e aggregazione

Intermedio

Guida alla famiglia CCR2004 (ARM64, 4 core AL32400/AL52400, 4 GB RAM): quattro varianti per rack 1U, desktop passivo e scheda PCIe, con porte da 1G a 25G SFP28.

CRS304 / 305 / 309 / 310 / 312 / 317 — Aggregazione SFP+ (1G–16S+)

Intermedio

Panoramica completa dei Cloud Router Switch MikroTik con porte SFP+ (10 Gbps) destinati all'aggregazione di dorsali ottiche nei WISP: dal compatto CRS305 desktop fino al CRS317 con 16 × SFP+ in 1U rack.

CRS320 / CRS328-24P / CRS354-48P / CRS418 — Switch CRS con PoE

Intermedio

I Cloud Router Switch MikroTik con uscita PoE (802.3af/at/bt): dal CRS320 con PoE++ 90W/porta fino al CRS354-48P con 700 W totali su 48 porte, e il CRS418 con CPU ARM64 quad-core per routing avanzato.

CRS326 / CRS328 — Switch 24/48 porte GbE, SFP+ e 40G QSFP+

Intermedio

I modelli CRS326 e CRS328 senza PoE coprono ogni esigenza di switching ad alta densità nei WISP: da 24 porte GbE con 2 × SFP+ fino a 20 porte 2.5G con QSFP+ 40G, passando per switch misti SFP/SFP+ e configurazioni combo 10G.

CRS354-48G-4S+2Q+RM — Switch 48 porte GbE con uplink QSFP+ 40G

Intermedio

Il CRS354-48G-4S+2Q+RM offre 48 porte Gigabit Ethernet, 4 × SFP+ 10G e 2 × QSFP+ 40G senza PoE: lo switch di distribuzione ideale per connettere decine di router/server a un core 40G in ambienti WISP o datacenter.

L009UiGS-RM e RB4011iGS+RM — Router 1U rack per WISP mid-range

Intermedio

L009UiGS-RM (ARM32 2-core, 8 GbE + SFP 2,5G) e RB4011iGS+RM (ARM32 4-core, 10 GbE + SFP+ 10G) sono le scelte classiche per router di backbone in formato 1U rack. Entrambi montano RouterOS L5 e sono ideali per WISP con 50–300 abbonati.

RB1100AHx4 e Dude Edition — Router enterprise 1U con 13 porte e licenza L6

Intermedio

Il RB1100AHx4 è il router 1U rackmount enterprise di MikroTik: 13 porte Gigabit, CPU ARM32 quad-core 1,4 GHz, 1 GB RAM, doppio ingresso AC/DC ridondante e licenza RouterOS Livello 6 (tunnel illimitati). La Dude Edition aggiunge SSD M.2 60 GB per il server di monitoraggio The Dude.

RB5009UG+S+IN — Router prosumer ARM64 con porta 10G

Intermedio

Il RB5009UG+S+IN è il router desktop MikroTik più diffuso nella fascia prosumer: CPU ARM64 quad-core, 1 GB DDR4, 7 porte Gigabit + 1 porta 2,5G + 1 SFP+ 10G, licenza L5. Ideale come BNG/PPPoE per WISP piccoli e medi.

RB5009UPr+S+IN e +OUT — Varianti con PoE 130 W e versione outdoor IP66

Intermedio

Le versioni UPr del RB5009 aggiungono PoE-out da 130 W totali su tutte le 8 porte Ethernet. La variante OUT è certificata IP66 per installazioni outdoor, con range operativo fino a +70 °C. Perfette per alimentare CPE e AP direttamente dall'edge router.

Switch outdoor e PoE MikroTik per WISP: netPower, netFiber, FiberBox, GPERx6

Intermedio

Guida alla famiglia di switch outdoor/PoE MikroTik (IP54/IP66) pensata per tralicci, cabinet stradali e siti remoti: netPower Lite 8P, netPower 16P, netPower 15FR, netPower Lite 7R, netFiber 9, FiberBox Plus e GPERx6.

CCR2116 e CCR2216: ARM64 16 core per BGP, BNG e uplink 100G

Avanzato

Guida ai due top di gamma ARM64 MikroTik: CCR2116-12G-4S+ (16 core, 16 GB, M.2, Marvell 98DX3255) e CCR2216-1G-12XS-2XQ (16 core, 16 GB, 2× M.2, 12× SFP28 25G, 2× QSFP28 100G).

CRS418-8P-8G-2S+WiFi: switch PoE con WiFi 6 integrato

Avanzato

Il CRS418-8P-8G-2S+5axQ2axQ-RM combina un potente switch gestito, 8 porte PoE, 17 porte GbE, 2 uplink SFP+ 10G e WiFi 6 dual-band in un unico chassis 1U: ideale per POP indoor, sedi WISP e siti con necessità di accesso wireless integrato.

ROSE Data Server RDS2216: storage NVMe + routing 100G su RouterOS

Avanzato

Analisi del MikroTik RDS2216: server convergente ARM64 16 core, 32 GB RAM, 20 slot U.2 NVMe, connettività mista fino a 100G QSFP28 e licenza RouterOS ROSE Edition.

Switch 100G e 400G MikroTik per data center e dorsali

Avanzato

Panoramica della famiglia CRS5xx/CRS8xx con porte QSFP28 100G e QSFP56-DD 400G: architettura, differenze tra modelli, scenari di impiego in data center, dorsali e backbone WISP.

Switch 25G MikroTik: CRS510-8XS-2XQ-IN

Avanzato

Il CRS510-8XS-2XQ-IN combina 8 porte SFP28 25G e 2 uplink QSFP28 100G in un rack 1U compatto: specifiche, casi d'uso in aggregazione WISP e connettività con dorsale 100G.

Sistema e alta affidabilità

Identity e hardening dei servizi di gestione

Base

Come nominare correttamente un router MikroTik con /system/identity e come ridurre la superficie d'attacco disabilitando i servizi non necessari e limitandone l'accesso per IP.

MikroTik Cloud: DDNS gratuito e Back To Home

Base

Come usare il servizio IP Cloud di MikroTik per ottenere un nome DNS dinamico gratuito che segue l'IP pubblico del router, sincronizzare l'ora e abilitare Back To Home per l'accesso remoto sicuro.

Monitorare risorse e salute hardware del router

Base

Come leggere in tempo reale CPU, RAM, storage, uptime, temperatura e tensione del router MikroTik con /system/resource e /system/health, e quali soglie tenere sotto controllo.

NTP Client: sincronizzazione automatica dell'ora

Base

Come abilitare e configurare il client NTP in RouterOS v7 per mantenere l'orologio sempre preciso, con server multipli, monitoraggio dei peer e best practice di sicurezza.

Orologio di sistema: impostare data, ora e fuso orario

Base

Come configurare correttamente l'orologio interno di RouterOS, impostare il fuso orario e perché questa operazione è propedeutica a log affidabili e certificati TLS validi.

Bonding: aggregazione e ridondanza dei link fisici

Intermedio

Come creare un'interfaccia bonding in RouterOS v7 per aggregare più link fisici in uno virtuale, aumentando la ridondanza con active-backup o la larghezza di banda con 802.3ad LACP.

NTP Server interno: distribuire l'ora alla tua rete

Intermedio

Come trasformare un router MikroTik in server NTP per la rete locale del WISP, così che apparati, CPE e server prendano l'ora da una sorgente interna controllata, senza esporre il servizio su Internet.

RoMON: gestire i router senza IP, anche dietro NAT

Intermedio

Come usare RoMON (Router Management Overlay Network) per raggiungere e gestire apparati MikroTik a livello 2 — anche senza IP raggiungibile, dietro NAT o con configurazione errata — in sicurezza con password e ACL.

Scheduler e script: backup automatico notturno

Intermedio

Come usare /system/scheduler e /system/script per automatizzare un backup giornaliero della configurazione, salvarlo localmente e inviarlo via email, con gestione sicura delle credenziali.

Utenti e gruppi: policy, chiavi SSH e accesso sicuro

Intermedio

Come gestire gli account amministrativi di RouterOS con gruppi e policy granulari, autenticazione a chiave SSH, restrizione per IP sorgente e audit, per un accesso pulito e sicuro in un team WISP.

VRRP: gateway virtuale ridondante tra due router

Intermedio

Come configurare VRRP in RouterOS v7 per creare un gateway virtuale ridondante con un router master e un backup, garantendo continuità del servizio in caso di guasto.

Watchdog: riavvio automatico e monitoraggio connettività

Intermedio

Come configurare il watchdog hardware e software di RouterOS per riavviare automaticamente il router in caso di blocco del sistema o perdita di connettività verso un indirizzo critico.

Backup off-site automatici e rotazione dei file

Avanzato

Come spedire automaticamente i backup di RouterOS su un server esterno (SCP/SFTP o FTP), ruotare i file vecchi per non saturare la flash e verificare l'integrità, per una vera strategia di disaster recovery.

Certificati: TLS, self-signed e Let's Encrypt

Avanzato

Come generare, importare e usare i certificati in RouterOS v7 per cifrare i servizi di gestione (api-ssl, www-ssl), SSTP, hotspot e per ottenere certificati validi automaticamente con Let's Encrypt.

Scripting RouterOS: variabili, cicli e gestione errori

Avanzato

Guida pratica al linguaggio di scripting di RouterOS v7: variabili, array, condizioni :if, cicli :foreach e :for, funzioni, e gestione robusta degli errori con :do/on-error, per automazioni affidabili.

Diagnostica e monitoraggio

Graphing integrato e cenni a The Dude

Base

Usare il graphing nativo di RouterOS per i trend storici di CPU, memoria e traffico, e conoscere The Dude come NMS gratuito MikroTik per la mappa e il monitoraggio di tutta la rete WISP.

Logging e syslog remoto

Base

Configurare il sistema di log di RouterOS per registrare eventi utili e inviarli in modo sicuro a un server syslog remoto, indispensabile per la diagnostica in ambienti WISP.

Salute hardware, risorse di sistema e watchdog

Base

Monitorare temperatura, tensione e ventole del router, tenere sotto controllo CPU/memoria/disco e configurare il watchdog per riavvii automatici in caso di blocco del sistema.

Strumenti diagnostici: ping, traceroute, torch e packet sniffer

Base

Panoramica pratica degli strumenti diagnostici integrati in RouterOS per analizzare la connettività, il percorso dei pacchetti e il traffico in tempo reale su qualunque interfaccia.

Bandwidth-test e btest: misurare il throughput reale

Intermedio

Misurare la capacità reale di un link MikroTik con bandwidth-test e l'app btest, interpretando i risultati e applicando le cautele necessarie per non disturbare la produzione.

Graphing, profiler CPU e bandwidth-test

Intermedio

Utilizzare il graphing integrato per visualizzare trend di CPU/traffico nel tempo, il profiler per identificare processi che consumano CPU, e il bandwidth-test per misurare il throughput reale — con le dovute cautele in produzione.

Netwatch: monitoraggio host e automazione

Intermedio

Usare Netwatch per monitorare la raggiungibilità di host critici (gateway, server, CPE clienti) ed eseguire script automatici al cambio di stato, abilitando reazioni proattive ai guasti.

Ping, traceroute avanzati e MTU/MSS discovery

Intermedio

Sfruttare a fondo ping e traceroute di RouterOS e diagnosticare i problemi di MTU/MSS, causa frequente di 'siti che non si aprono' su PPPoE e tunnel nei WISP.

Profiler CPU: trovare chi consuma il processore

Intermedio

Usare /tool/profile per attribuire l'uso della CPU ai singoli processi RouterOS e capire perché un router è lento, distinguendo firewall, routing, wireless ed encryption.

SNMP sicuro con SNMPv3

Intermedio

Abilitare il monitoraggio SNMP su RouterOS usando esclusivamente SNMPv3 con autenticazione e cifratura, evitando le community string in chiaro che espongono il router a rischi gravi.

Torch in profondità: chi satura il link adesso

Intermedio

Padroneggiare Torch per identificare in tempo reale quale IP, protocollo o porta sta saturando un'interfaccia, con filtri, raggruppamenti e i limiti da conoscere (hardware offload, NAT, firewall).

Metodo troubleshooting passo-passo per WISP

Avanzato

Metodologia strutturata per diagnosticare i problemi più comuni nei WISP MikroTik: assenza di internet, latenza elevata, PPPoE che non sale e apparati irraggiungibili.

Packet sniffer e analisi con Wireshark (TZSP)

Avanzato

Catturare il traffico con /tool/sniffer, salvarlo in PCAP o trasmetterlo in streaming a Wireshark via TZSP per l'analisi pacchetto-per-pacchetto: il livello di diagnosi più profondo di RouterOS.

Statistiche interfaccia: leggere gli errori di livello fisico

Avanzato

Interpretare i contatori di /interface (rx/tx error, drop, collision, FCS) e lo stato di link/SFP per diagnosticare problemi fisici: cavi, SFP, PoE, duplex e mezzi radio degradati.

Interfacce, switching e VLAN

Gestione ARP e MAC address: tabelle, sicurezza e ottimizzazione

Base

Come visualizzare e gestire la tabella ARP e la MAC address table su RouterOS v7: voci statiche, protezione da ARP spoofing e MAC flooding, modalità ARP per interfacce di rete.

Il Bridge RouterOS: dominio L2 e gestione porte

Base

Cos'è un bridge in RouterOS, come crea un dominio Layer 2, come aggiungere porte e controllare la MAC address table (host table).

Interfacce Ethernet: velocità, duplex e MTU

Base

Come configurare velocità, modalità duplex, auto-negoziazione e MTU sulle interfacce fisiche di RouterOS v7. Fondamentale per evitare problemi di prestazione e frammentazione.

Bonding e LACP 802.3ad: aggregazione di link Ethernet

Intermedio

Come configurare il bonding in RouterOS v7 per aggregare più porte fisiche: modalità LACP (802.3ad), balance-xor e active-backup, monitoraggio link, hash policy e utilizzo con bridge.

Hardware Offload: switch chip e forwarding wire-speed

Intermedio

Cos'è l'hardware offload su RouterOS, quando e come attivarlo con hw=yes, quali switch chip lo supportano e quali limitazioni esistono in scenari VLAN e bonding.

Loop protection e DHCP snooping: blindare la rete d'accesso

Intermedio

loop-protect per fermare i loop dove STP non arriva, DHCP snooping per bloccare server DHCP fasulli dei clienti, e perché un WISP deve sempre attivarli sulle porte d'accesso.

Ricetta pratica: switch di distribuzione WISP (trunk + access)

Intermedio

Configurazione completa, copia-incolla, di un CRS come switch di distribuzione WISP: trunk verso il core, porte access per clienti, VLAN management isolata, port isolation e protezioni L2.

STP, RSTP e MSTP: protezione dai loop e convergenza rapida

Intermedio

Come configurare Spanning Tree Protocol (STP/RSTP/MSTP) su RouterOS v7 per prevenire loop di rete, scegliere il root bridge, proteggere le porte access con BPDU guard e ottimizzare la convergenza.

VLAN 802.1Q con bridge vlan-filtering: configurazione completa e sicura

Intermedio

Come configurare VLAN IEEE 802.1Q su RouterOS v7 usando bridge vlan-filtering: porte access con pvid, porte trunk tagged, interfacce L3 per routing inter-VLAN, e come non perdere l'accesso di gestione.

MTU, L2MTU e jumbo frame: dimensionare i frame end-to-end

Avanzato

Capire MTU L3 e L2MTU L2 su RouterOS v7, calcolare l'overhead di VLAN/QinQ/PPPoE/tunnel, abilitare i jumbo frame e usare MSS clamping per evitare i 'black hole' dei pacchetti grandi.

Port isolation: split-horizon per isolare i clienti a L2

Avanzato

Come isolare le porte tra loro con bridge horizon (split-horizon) e quando preferire VLAN private: scenario WISP con clienti sullo stesso switch che non devono vedersi.

QinQ 802.1ad: doppio tag VLAN per reti provider

Avanzato

Come configurare QinQ (802.1ad) su RouterOS v7: doppio tag VLAN con ether-type 0x88a8 sul bridge provider, tag-stacking sulle porte customer, scenari tipici WISP/ISP.

Switch chip: ACL e rule hardware (/interface/ethernet/switch)

Avanzato

Le ACL hardware dello switch chip su RouterOS v7: filtrare, marcare e reindirizzare traffico a wire-speed senza toccare la CPU. Quando usarle al posto del bridge filter e del firewall IP.

Wireless e mobile

Bande Wi-Fi, canali e interferenze: tutto quello che devi sapere

Base

Panoramica delle bande 2,4 GHz e 5 GHz, scelta del canale ottimale, larghezza di banda e gestione delle interferenze su RouterOS v7.

Sicurezza Wi-Fi: WPA2, WPA3 e obbligo del parametro country

Base

Come configurare correttamente WPA2 e WPA3 su RouterOS v7, perché il parametro country è obbligatorio per legge e come proteggere la rete wireless da attacchi comuni.

Antenne, polarizzazione, MIMO e MCS: scegliere e puntare le radio WISP

Intermedio

Tipi di antenna (omni, settoriale, parabola), guadagno e apertura, polarizzazione orizzontale/verticale e dual-slant, catene MIMO (2x2/3x3) e tabella MCS: come si traducono in throughput reale e come ottimizzare il puntamento.

Channel width, frequenze e DFS: pianificare lo spettro 5 GHz in Italia

Intermedio

Come scegliere larghezza di canale e frequenza in 5 GHz rispettando ETSI/Italia, come funziona il DFS (radar detection, CAC, NOP) e perché conviene gestirlo, configurazione di scan-list e canali sia su legacy sia su wifiwave2.

Configurare LTE/4G su RouterOS: modem, APN e failover

Intermedio

Guida completa alla configurazione di interfacce LTE/4G su RouterOS v7: aggiunta del profilo APN, verifica stato modem, failover automatico con routing e dual-SIM.

Driver Wifiwave2 (/interface/wifi) vs Legacy (/interface/wireless): differenze e migrazione

Intermedio

Confronto tra il nuovo driver wifi-qcom/wifiwave2 (RouterOS 7.13+) e il driver wireless legacy: funzionalità, comandi CLI e quando usare l'uno o l'altro.

Modalità wireless RouterOS: AP, Station, Bridge e WDS

Intermedio

Guida alle modalità operative dell'interfaccia wireless MikroTik: ap-bridge, station, bridge, station-wds. Configurazione pratica di AP e CPE client per reti WISP.

Teoria radio per WISP: dBm, dBi, EIRP, SNR, link budget e zona di Fresnel

Intermedio

Le basi della radiopropagazione che ogni tecnico WISP deve padroneggiare: unità (dBm/dBi/dB), EIRP e limiti ETSI, noise floor e SNR, calcolo del link budget con esempio numerico, perdita in spazio libero e zona di Fresnel.

Access-list e Connect-list: controllo accessi, signal-range e steering su MikroTik

Avanzato

Come usare access-list (lato AP) e connect-list (lato station) sul driver legacy per accettare/rifiutare client per MAC e segnale, impostare signal-range, forzare data-rate e gestire roaming/steering; equivalenti su wifiwave2.

CAPsMAN su wifiwave2: controller per AP Wi-Fi 6 (/interface/wifi/capsman)

Avanzato

Gestione centralizzata degli Access Point AX (Wi-Fi 6) con il nuovo CAPsMAN integrato in wifiwave2: abilitare il manager, definire configuration/security/channel/datapath, far diventare CAP gli AP e usare fast roaming 802.11r/k/v.

CAPsMAN: gestione centralizzata di più Access Point MikroTik

Avanzato

Configurazione completa di CAPsMAN per gestire in modo centralizzato decine di AP MikroTik: controller, CAP, provisioning automatico, datapath e sicurezza.

Link wireless PtP e PtMP con Nv2/TDMA: backhaul per WISP

Avanzato

Configurazione di link punto-a-punto (PtP) e punto-multipunto (PtMP) con il protocollo proprietario MikroTik Nv2/TDMA per backhaul ad alte prestazioni su reti WISP.

Nstreme vs Nv2 vs 802.11: quale protocollo per il tuo link MikroTik

Avanzato

I tre protocolli wireless legacy di RouterOS a confronto: 802.11 (CSMA), Nstreme (polling, PtP lunghi) e Nv2 (TDMA, PtMP moderno). Quando scegliere ciascuno, con configurazione di Nstreme e tabella decisionale.

Troubleshooting wireless MikroTik: registration-table, snooper, align e diagnosi link

Avanzato

Metodo sistematico per diagnosticare link wireless lenti o instabili: leggere la registration-table (CCQ, segnale per-catena, rate), usare scanner/snooper/frequency-usage per le interferenze, allineare con align, e una checklist dei problemi più comuni nei WISP.

Servizi di rete (DHCP, DNS…)

DHCP Client su RouterOS: ottenere l'IP dalla WAN

Base

Configurare il client DHCP su RouterOS per ricevere un indirizzo IP dinamico dall'ISP sulla porta WAN, con gestione del default route e DNS.

DHCP Server su RouterOS: pool, reti e lease statici

Base

Configurare un server DHCP completo su RouterOS: pool di indirizzi, rete DHCP con gateway e DNS, lease dinamici e lease statici per MAC address.

Indirizzi IP e subnetting pratico su RouterOS

Base

Come assegnare indirizzi IPv4 alle interfacce RouterOS con notazione CIDR, gestire più IP sulla stessa interfaccia e interpretare correttamente la subnet mask.

IP Cloud e DDNS su RouterOS: hostname dinamico gratuito

Base

Usare IP Cloud di MikroTik per ottenere un hostname DDNS gratuito che punta sempre all'IP pubblico del router, anche se dinamico, senza servizi esterni.

IP Pool su RouterOS: range, dimensionamento e riuso

Base

Capire l'oggetto /ip/pool: definire range di indirizzi assegnabili, concatenare pool con next-pool, e usarlo per DHCP, PPPoE e Hotspot in una rete WISP.

Orario di rete su RouterOS: SNTP client e NTP server

Base

Mantenere l'orologio del router preciso con SNTP/NTP client, e far diventare RouterOS un server NTP per gli apparati e i client della rete. Fondamentale per log, certificati e scheduler.

DHCP Options e Option 82 su RouterOS

Intermedio

Distribuire opzioni DHCP personalizzate (NTP, TFTP, dominio, classless route) e usare l'Option 82 (Agent Information) per identificare la porta/sede da cui arriva un client in rete WISP.

DHCP Relay: server DHCP centralizzato per più subnet

Intermedio

Configurare DHCP Relay su RouterOS per far comunicare client DHCP in subnet diverse con un unico server DHCP centralizzato, tipico in reti WISP multi-segmento.

DNS su RouterOS: cache, record statici, sicurezza e DNS over HTTPS

Intermedio

Configurare il resolver DNS di RouterOS come cache locale per la LAN, aggiungere record statici, abilitare DNS over HTTPS (DoH) per privacy e proteggere il router da open resolver pubblico.

Hardening dei servizi di gestione: /ip/service e MAC-server

Intermedio

Disattivare i servizi di gestione non necessari, limitare l'accesso ai servizi rimasti per subnet fidate, e mettere in sicurezza Winbox, SSH, API e il MAC-server: il primo passo per non farsi bucare il router.

ARP su RouterOS: reply-only e binding statici per la sicurezza

Avanzato

Usare la modalità ARP reply-only combinata con voci ARP statiche o lease DHCP statici per impedire ARP spoofing e IP hijacking sulle reti WISP.

DHCPv6 su RouterOS: client, Prefix Delegation e server

Avanzato

Introduzione pratica a IPv6 sulla WAN: DHCPv6 client con Prefix Delegation (PD) per ricevere un prefisso dall'upstream, e DHCPv6 server / RA per distribuirlo ai clienti.

DNS avanzato: forward condizionale, regexp e filtraggio domini

Avanzato

Usare i record statici DNS di tipo FWD per inoltrare un dominio a un resolver specifico, e le regexp per fare adblock/filtraggio dei domini direttamente sul router RouterOS.

UPnP e NAT-PMP su RouterOS: funzionalità e rischi di sicurezza

Avanzato

Capire come funzionano UPnP e NAT-PMP su RouterOS, quando usarli, e perché in un contesto WISP o professionale rappresentano un rischio di sicurezza da valutare attentamente.

Routing

Come RouterOS sceglie le rotte: distanza, scope e next-hop ricorsivo

Base

Spiega come RouterOS seleziona la rotta migliore nel RIB tramite distance e metric, come risolve il next-hop via scope/target-scope e la differenza tra RIB e FIB.

Rotte statiche, default gateway e failover dual-WAN con check-gateway

Base

Configura rotte statiche, il default gateway IPv4/IPv6 e un failover automatico dual-WAN usando check-gateway=ping con distance differenziate.

Blackhole e null route: anti-loop, aggregazione BGP e mitigazione DDoS

Intermedio

Usa le rotte blackhole/null in RouterOS v7 per evitare loop di routing con i prefissi aggregati BGP, scartare traffico verso subnet non assegnate e implementare il Remote Triggered Black Hole (RTBH) anti-DDoS.

ECMP: bilanciamento del carico su più WAN con rotte a pari costo

Intermedio

Configura ECMP (Equal Cost Multi-Path) in RouterOS v7 per distribuire il traffico su più gateway ISP con la stessa distance, scegliendo la strategia di hash ottimale.

Failover che testa Internet davvero: recursive next-hop e Netwatch

Intermedio

Supera il limite di check-gateway implementando un failover dual-WAN che verifica la raggiungibilità reale di Internet con recursive next-hop (target-scope) e con script Netwatch.

OSPF in RouterOS v7: instance, area, interface-template e redistribuzione

Intermedio

Configura OSPF v2 (IPv4) e v3 (IPv6) in RouterOS v7 tramite instance, area e interface-template. Tipi di rete, costo, DR/BDR election, stub area e redistribuzione di rotte statiche.

Policy Routing: routing table multiple, mangle mark-routing e routing rules

Intermedio

Implementa il policy routing in RouterOS v7 usando /routing/table per creare tabelle custom, mangle con action=mark-routing per marcare i flussi e routing rules per instradare traffico specifico su ISP dedicati.

BFD in RouterOS v7: rilevamento guasti sub-secondo per OSPF e BGP

Avanzato

Configura BFD (Bidirectional Forwarding Detection) in RouterOS v7 per rilevare i guasti di link in millisecondi e accelerare la convergenza di OSPF, BGP e delle rotte statiche.

BGP in RouterOS v7: instance, connection, local.role e output.network

Avanzato

Configura BGP v7 in RouterOS: creazione dell'instance, connessioni eBGP e iBGP con local.role, annuncio di prefissi con output.network e differenze fondamentali rispetto alla v6.

Route Filters in RouterOS v7: sintassi if/then, matcher e azioni avanzate

Avanzato

Padroneggia il sistema di route filter in RouterOS v7 con la sintassi script-like if/then/else, i matcher disponibili (dst, protocol, bgp-as-path, ecc.) e le azioni (accept, reject, set distance, set bgp-local-pref).

VRF in RouterOS v7: routing virtuale isolato per multi-tenant e MPLS VPN

Avanzato

Configura VRF (Virtual Routing and Forwarding) in RouterOS v7 per isolare tabelle di routing per clienti o servizi diversi, con uso in contesto MPLS BGP VPN e assegnazione interfacce.

Firewall e QoS

Connection Tracking — Firewall stateful in RouterOS

Base

Il connection tracking permette a RouterOS di tenere traccia dello stato di ogni connessione di rete, abilitando un firewall stateful efficiente che distingue traffico legittimo da intrusioni.

Kid Control — Parental control e limiti per dispositivo

Base

Kid Control permette di associare dispositivi (via MAC address) a profili con orari di accesso settimanali e limiti di banda, creando dinamicamente regole firewall e code senza configurazione manuale.

NAT in RouterOS — Masquerade, Port Forwarding e Hairpin

Base

Network Address Translation permette a una rete privata di condividere un singolo IP pubblico (srcnat/masquerade) e di esporre servizi interni su Internet (dstnat/port-forward), con la variante hairpin per i client LAN.

Packet Flow in RouterOS — Come viaggia un pacchetto

Base

Capire l'ordine esatto in cui RAW, conntrack, mangle, NAT, filter e code elaborano ogni pacchetto è il prerequisito per scrivere regole firewall corrette ed efficaci.

Address-List dinamiche — Anti brute-force SSH e Winbox a stadi

Intermedio

Le address-list dinamiche con timeout escalante permettono di bloccare automaticamente gli attacchi brute-force su SSH e Winbox, con punizione progressiva: da 5 minuti fino a 1 giorno di blacklist.

Firewall Filter — Ruleset di base sicuro e commentato

Intermedio

Un ruleset firewall completo, commentato riga per riga, per proteggere il router MikroTik dalla WAN mantenendo piena operatività LAN. Include protezione Winbox/SSH con address-list admin e drop WAN totale.

Firewall IPv6 — Proteggere i clienti senza NAT

Intermedio

Con IPv6 ogni cliente ha indirizzi pubblici e non c'è NAT a fare da 'firewall implicito': il firewall filter IPv6 diventa l'unica protezione. Ruleset di base per WISP che assegnano prefissi IPv6 ai clienti.

Hardening dei servizi — Ridurre la superficie d'attacco del router

Intermedio

Il firewall è metà del lavoro: l'altra metà è spegnere i servizi inutili, limitare gli accessi e disattivare le funzioni di scoperta. Checklist completa per blindare un router WISP esposto su Internet.

Mangle — Marking, Policy Routing e DSCP

Intermedio

Il modulo mangle permette di marcare connessioni e pacchetti per il QoS (Queue Tree), di implementare policy routing per load balancing o failover, e di modificare campi header come TTL e DSCP.

FastTrack — Accelerazione delle connessioni e impatto su QoS

Avanzato

FastTrack bypassa la maggior parte della pipeline per le connessioni già verificate, aumentando enormemente il throughput. Ma rende invisibile il traffico a mangle e Queue Tree: capire questo trade-off è cruciale per un WISP.

Firewall RAW — Filtraggio pre-conntrack e protezione DDoS

Avanzato

Il firewall RAW opera prima del connection tracking e del firewall filter, permettendo di scartare traffico massiccio (DDoS, bogon, amplification) a costo CPU minimo prima che entri nella tabella di connessioni.

QoS WISP — Queue Tree HTB, PCQ e gestione banda per cliente

Avanzato

Architettura QoS completa per WISP: HTB per garantire banda minima e massima a ogni cliente (limit-at/max-limit), PCQ per condivisione equa della banda condivisa, priorità VoIP, e gestione burst per traffico transiente.

VPN e tunnel

PPTP: deprecato e insicuro — non usare in produzione

Base

PPTP è un protocollo VPN obsoleto con vulnerabilità crittografiche critiche. Questa pagina spiega perché non va usato e quali alternative adottare.

Quale VPN scegliere su RouterOS?

Base

Panoramica dei protocolli VPN disponibili su MikroTik RouterOS v7: pro, contro e quando usare ciascuno, con una tabella comparativa e indicazioni di sicurezza.

WireGuard: tunnel site-to-site tra due sede

Base

Configura un tunnel WireGuard site-to-site su RouterOS v7: creazione interfaccia, scambio chiavi pubbliche, assegnazione IP, routing e regola firewall.

L2TP/IPsec: accesso remoto per client legacy

Intermedio

Configura RouterOS v7 come server L2TP/IPsec per client road warrior Windows, macOS e iOS: abilitazione server, PPP secrets, firewall e configurazione client.

OpenVPN (OVPN): server e client su RouterOS

Intermedio

Configura un server OpenVPN su RouterOS v7 con certificati TLS, pool IP, utenti PPP ed esportazione config client .ovpn. Supporta TCP e UDP, AES-256-GCM.

SSTP: VPN su TLS porta 443

Intermedio

Configura SSTP su RouterOS v7 con certificato TLS, utile per attraversare firewall restrittivi. Configurazione server, certificati, utenti e client Windows.

WireGuard: accesso remoto road warrior

Intermedio

Configura RouterOS v7 come server WireGuard per client mobili (laptop, smartphone): ogni client ha un indirizzo IP fisso nel tunnel e può raggiungere la rete locale.

EoIP cifrato con IPsec manuale: VLAN clienti tra POP

Avanzato

Trasporta L2 (VLAN clienti, management) tra due POP con EoIP, cifrando il trasporto con IPsec configurato a mano per controllare cifrari, PFS e lifetime — più robusto della scorciatoia ipsec-secret.

IPsec IKEv2 road warrior con mode-config

Avanzato

RouterOS v7 come responder IKEv2 per client mobili (Windows, iOS, macOS, Android strongSwan): mode-config assegna IP e DNS, autenticazione con certificati EAP o RSA, policy template dinamiche.

IPsec IKEv2: tunnel site-to-site sicuro

Avanzato

Configurazione IPsec IKEv2 site-to-site su RouterOS v7 con cifrari moderni (AES-256-GCM, SHA-256, ECP256), regola srcnat per escludere il traffico VPN dal masquerading.

MTU e MSS sui tunnel: niente più siti lenti o a metà

Avanzato

Ogni VPN aggiunge overhead: se non gestisci MTU e MSS, ottieni pagine che non caricano, download bloccati e VoIP a scatti, soprattutto su link radio. Guida pratica con overhead per protocollo e MSS clamping.

Routing dinamico su VPN: OSPF sopra i tunnel

Avanzato

Far girare OSPF dentro i tunnel (WireGuard/GRE) elimina le rotte statiche manuali: i POP si scoprono da soli, il failover è automatico. Configurazione OSPFv2 su RouterOS v7, costi e ridondanza.

Tunnel EoIP, GRE e IPIP: quando e come usarli in sicurezza

Avanzato

EoIP (Layer 2), GRE e IPIP (Layer 3) sono tunnel non cifrati: corretti per reti private, da proteggere obbligatoriamente con IPsec su reti pubbliche. Configurazione, confronto, MTU e best practice.

Tunnel su link radio: MTU, jitter e stabilità nei WISP

Avanzato

Far passare una VPN su un ponte radio (MikroTik/Ubiquiti) richiede attenzione a MTU, latenza variabile e perdita di pacchetti: scelta del protocollo, keepalive, MSS clamping e priorità del traffico tunnel.

VXLAN su RouterOS v7: overlay L2 multi-sito

Avanzato

VXLAN incapsula Ethernet su UDP (VNI a 24 bit): ideale per estendere molte VLAN tra più POP con un solo overlay, più scalabile di EoIP. Configurazione VTEP, bridge e cifratura con IPsec.

Utenti, RADIUS, IoT e container

Hotspot e Captive Portal: setup, profili e bypass

Base

Configura un Hotspot WiFi con captive portal su RouterOS v7. Gestisci profili utente con banda e sessioni, whitelist IP, walled garden e integrazione RADIUS.

PPP/PPPoE: profili, segreti e server — guida pratica

Base

Imposta un server PPPoE su RouterOS v7 con profili differenziati per banda, pool IP e DNS. Ricetta end-to-end per attivare un cliente FWA.

IoT su RouterOS: MQTT e GPIO per automazione e telemetria

Intermedio

Usa il pacchetto IoT di RouterOS v7 per pubblicare telemetria via MQTT e controllare pin GPIO. Integra RouterOS con piattaforme IoT come ThingsBoard o HomeAssistant.

PPP AAA: autenticazione e accounting via RADIUS

Intermedio

Delega l'autenticazione PPPoE a un server RADIUS esterno o al User Manager locale. Configura accounting e aggiornamenti intermedi per tracciare le sessioni.

Quale RADIUS per il WISP: User Manager, FreeRADIUS o gestionale

Intermedio

Guida alla scelta dell'architettura AAA per un WISP italiano: segreti locali, User Manager interno, FreeRADIUS esterno o RADIUS pilotato dal gestionale. Vantaggi, limiti e quando usarli.

RADIUS: configurazione client, attributi e RadSec

Intermedio

Configura RouterOS come client RADIUS per PPP, Hotspot e login admin. Panoramica degli attributi vendor MikroTik, accounting, disconnessione dinamica e RadSec TLS.

User Manager v7: RADIUS interno per PPP e Hotspot

Intermedio

Installa e configura il User Manager integrato di RouterOS v7 come server RADIUS locale. Crea profili con rate-limit, limiti traffico e scadenze per clienti PPPoE e Hotspot.

Utenti del router: gruppi, least-privilege e chiavi SSH

Intermedio

Gestisci gli account amministrativi di RouterOS in modo sicuro: gruppi con permessi minimi, restrizioni per IP sorgente, chiavi SSH al posto della password e disattivazione dell'utente admin di default.

Bluetooth BLE su RouterOS v7: scanner, tag e telemetria

Avanzato

Configura lo scanner BLE su RouterOS per leggere beacon Bluetooth (tag MikroTik, iBeacon, Eddystone) e inviare la telemetria via MQTT a piattaforme IoT.

Certificati e API sicura: api-ssl, REST e automazione del WISP

Avanzato

Crea certificati su RouterOS v7, abilita l'API cifrata (api-ssl) e la REST API per pilotare i router dal gestionale in sicurezza. Utente dedicato a permessi minimi per l'automazione.

Container su RouterOS v7: guida pratica e avvertenze sicurezza

Avanzato

Esegui container Docker/OCI su RouterOS v7 (ARM/ARM64/x86). Configura veth, montaggi, variabili d'ambiente e registry. Comprendi i rischi di sicurezza prima di procedere.