Guida MikroTik in italiano
RouterOS è potentissimo ma ostico. Questa wiki ti porta da zero a esperto, con configurazioni pratiche, ottimali e sicure. 158 articoli, in italiano.
Guida indipendente in italiano, basata sulla documentazione ufficiale MikroTik e sull'esperienza sul campo. Ogni articolo predilige configurazioni sicure di default. MikroTik® è un marchio registrato di Mikrotīkls SIA.
Primi passi e gestione
Configurazione di default e Quick Set
BaseCosa trovi già configurato su un router MikroTik appena unboxato e come usare Quick Set per una configurazione guidata in pochi minuti.
Cos'è RouterOS e RouterBOARD
BaseIntroduzione al sistema operativo RouterOS di MikroTik e all'hardware RouterBOARD: architettura, licenze, casi d'uso per WISP.
Crea un lab di pratica gratuito (CHR, VirtualBox, GNS3)
BaseCome esercitarti su RouterOS senza hardware: MikroTik CHR con licenza free su VirtualBox per un router singolo, o GNS3 per topologie con più router.
Identity, orologio e NTP: log e monitoraggio corretti
BaseDai un nome riconoscibile all'apparato e sincronizza l'orologio via NTP: senza data/ora corrette i log sono inutilizzabili e i certificati/VPN possono fallire.
Primo accesso: WinBox, WebFig, SSH e REST API
BaseCome connettersi al router per la prima volta con tutti gli strumenti disponibili, e quando usare ciascuno.
Backup, export configurazione e aggiornamento RouterOS
IntermedioCome salvare e ripristinare la configurazione del router (backup binario e export testo), e come aggiornare RouterOS e il firmware RouterBOARD in modo sicuro.
CLI RouterOS: navigazione, print, find e Safe Mode
IntermedioPadroneggia la riga di comando di RouterOS v7: struttura gerarchica dei menu, comandi essenziali, find, print, comment e Safe Mode per modifiche sicure.
Gestione file: /file, trasferimenti e spazio su disco
IntermedioCome funziona lo storage di RouterOS, come trasferire file (backup, .rsc, pacchetti, certificati) con WinBox, SCP e /tool/fetch, e come non riempire la flash.
Gestione utenti e gruppi: privilegio minimo
IntermedioCrea utenti con i soli privilegi necessari, gestisci i gruppi e applica il principio del privilegio minimo per proteggere il router.
Hardening dei servizi: /ip/service e sicurezza accesso
IntermedioDisabilita i servizi non necessari, cambia le porte default, limita l'accesso per IP e abilita solo i protocolli sicuri per ridurre la superficie d'attacco.
Pacchetti RouterOS: bundle, extra package e architetture
IntermedioCome è composto RouterOS in pacchetti, quali extra package esistono (wireless, container, user-manager…), come installarli/disabilitarli e perché l'architettura CPU conta.
Primo hardening post-installazione: la checklist completa
IntermedioLa checklist di sicurezza minima da applicare su ogni apparato MikroTik prima di metterlo in produzione: utenti, servizi, firewall di management, log e backup.
CLI avanzata: scripting, find, :foreach e variabili
AvanzatoVai oltre i comandi singoli: variabili, cicli :foreach/:for, condizioni, find come lista, scheduler e script per automatizzare la gestione di un parco MikroTik.
Netinstall: reinstallazione pulita e recupero apparati
AvanzatoQuando e come usare Netinstall per reinstallare RouterOS da zero, recuperare un apparato che non parte e fare provisioning di massa con configurazione preinstallata.
Hardware MikroTik
Capire le specifiche MikroTik: licenze, switch chip, PoE e SFP
BaseGlossario pratico per leggere le schede tecniche MikroTik: livello di licenza RouterOS, switch chip e offload hardware, tipi di PoE e gabbie SFP/SFP+/QSFP.
Cloud Smart Switch CSS: SwOS e la famiglia CSS3xx/CSS610
BaseI CSS (Cloud Smart Switch) con SwOS sono switch L2 managed entry-level di MikroTik: configurazione via browser, prestazioni wire-speed e costo contenuto. Ideali per distribuzione AP/CPE in reti WISP.
Come scegliere il router MikroTik giusto
BaseGuida alla scelta del router in base all'uso: piccolo ufficio, CPE cliente WISP, concentratore PPPoE/BNG, core di rete con BGP. Famiglie hEX, hAP, L009, RB4011, RB5009, CCR.
Come scegliere lo switch MikroTik giusto
BaseDifferenza tra Cloud Smart Switch (CSS/SwOS) e Cloud Router Switch (CRS/RouterOS), scelta per velocità delle porte, PoE e ruolo in rete.
CRS106-1C-5S e CRS112-8P-4S-IN: switch CRS entry con RouterOS
BaseIl CRS106 e il CRS112 sono i CRS più economici: girano RouterOS L5 (routing, firewall, scripting) con chip di switch dedicato. Il CRS112 aggiunge 8 porte PoE per alimentare AP e CPE direttamente.
Decodificare le sigle dei modelli MikroTik
BaseCome leggere i nomi dei prodotti MikroTik (RB, hEX, hAP, CRS, CSS, CCR) e i suffissi (G, U, S, S+, XS, Q, XQ, P, IN, RM, OUT, Pr) per capire a colpo d'occhio le caratteristiche.
hAP be3 Media: il router Wi-Fi 7 tri-band MikroTik per uso SOHO e piccole reti
BaseL'hAP be3 Media porta il Wi-Fi 7 (802.11be) in casa MikroTik: CPU ARM64 quad-core, 2 GB RAM, 5 porte 2.5G, tri-band 2.4/5/6 GHz, licenza L6. Ideale per sedi aziendali, uffici e clienti WISP che vogliono il massimo dalla fibra Gigabit.
PowerBox Pro (RB960PGS-PB): router Gigabit MikroTik per installazioni outdoor
BaseIl PowerBox Pro è la versione weatherproof dell'hEX PoE: involucro outdoor resistente alle intemperie, 5 porte Gigabit PoE-out 802.3af/at, 1 SFP, pensato per piloni, torre, box stradali e installazioni WISP senza armadi.
RB260GS e RB260GSP: switch SOHO compatti con SwOS
BaseI RB260GS e RB260GSP sono switch desktop a 5 porte Gigabit + SFP, gestiti via SwOS, economici e silenziosi. Il modello GSP aggiunge PoE passivo in uscita per alimentare CPE o AP in installazioni piccole.
Serie hEX: router entry-level wired MikroTik a confronto
BaseGuida pratica all'intera famiglia hEX: dalle versioni 100 Mbit/s entry-level ai nuovi modelli ARM con 2.5G SFP, con tabella di confronto e consigli di scelta per WISP, uffici e installazioni outdoor.
CCR2004: router ARM64 quad-core per core di rete e aggregazione
IntermedioGuida alla famiglia CCR2004 (ARM64, 4 core AL32400/AL52400, 4 GB RAM): quattro varianti per rack 1U, desktop passivo e scheda PCIe, con porte da 1G a 25G SFP28.
CRS304 / 305 / 309 / 310 / 312 / 317 — Aggregazione SFP+ (1G–16S+)
IntermedioPanoramica completa dei Cloud Router Switch MikroTik con porte SFP+ (10 Gbps) destinati all'aggregazione di dorsali ottiche nei WISP: dal compatto CRS305 desktop fino al CRS317 con 16 × SFP+ in 1U rack.
CRS320 / CRS328-24P / CRS354-48P / CRS418 — Switch CRS con PoE
IntermedioI Cloud Router Switch MikroTik con uscita PoE (802.3af/at/bt): dal CRS320 con PoE++ 90W/porta fino al CRS354-48P con 700 W totali su 48 porte, e il CRS418 con CPU ARM64 quad-core per routing avanzato.
CRS326 / CRS328 — Switch 24/48 porte GbE, SFP+ e 40G QSFP+
IntermedioI modelli CRS326 e CRS328 senza PoE coprono ogni esigenza di switching ad alta densità nei WISP: da 24 porte GbE con 2 × SFP+ fino a 20 porte 2.5G con QSFP+ 40G, passando per switch misti SFP/SFP+ e configurazioni combo 10G.
CRS354-48G-4S+2Q+RM — Switch 48 porte GbE con uplink QSFP+ 40G
IntermedioIl CRS354-48G-4S+2Q+RM offre 48 porte Gigabit Ethernet, 4 × SFP+ 10G e 2 × QSFP+ 40G senza PoE: lo switch di distribuzione ideale per connettere decine di router/server a un core 40G in ambienti WISP o datacenter.
L009UiGS-RM e RB4011iGS+RM — Router 1U rack per WISP mid-range
IntermedioL009UiGS-RM (ARM32 2-core, 8 GbE + SFP 2,5G) e RB4011iGS+RM (ARM32 4-core, 10 GbE + SFP+ 10G) sono le scelte classiche per router di backbone in formato 1U rack. Entrambi montano RouterOS L5 e sono ideali per WISP con 50–300 abbonati.
RB1100AHx4 e Dude Edition — Router enterprise 1U con 13 porte e licenza L6
IntermedioIl RB1100AHx4 è il router 1U rackmount enterprise di MikroTik: 13 porte Gigabit, CPU ARM32 quad-core 1,4 GHz, 1 GB RAM, doppio ingresso AC/DC ridondante e licenza RouterOS Livello 6 (tunnel illimitati). La Dude Edition aggiunge SSD M.2 60 GB per il server di monitoraggio The Dude.
RB5009UG+S+IN — Router prosumer ARM64 con porta 10G
IntermedioIl RB5009UG+S+IN è il router desktop MikroTik più diffuso nella fascia prosumer: CPU ARM64 quad-core, 1 GB DDR4, 7 porte Gigabit + 1 porta 2,5G + 1 SFP+ 10G, licenza L5. Ideale come BNG/PPPoE per WISP piccoli e medi.
RB5009UPr+S+IN e +OUT — Varianti con PoE 130 W e versione outdoor IP66
IntermedioLe versioni UPr del RB5009 aggiungono PoE-out da 130 W totali su tutte le 8 porte Ethernet. La variante OUT è certificata IP66 per installazioni outdoor, con range operativo fino a +70 °C. Perfette per alimentare CPE e AP direttamente dall'edge router.
Switch outdoor e PoE MikroTik per WISP: netPower, netFiber, FiberBox, GPERx6
IntermedioGuida alla famiglia di switch outdoor/PoE MikroTik (IP54/IP66) pensata per tralicci, cabinet stradali e siti remoti: netPower Lite 8P, netPower 16P, netPower 15FR, netPower Lite 7R, netFiber 9, FiberBox Plus e GPERx6.
CCR2116 e CCR2216: ARM64 16 core per BGP, BNG e uplink 100G
AvanzatoGuida ai due top di gamma ARM64 MikroTik: CCR2116-12G-4S+ (16 core, 16 GB, M.2, Marvell 98DX3255) e CCR2216-1G-12XS-2XQ (16 core, 16 GB, 2× M.2, 12× SFP28 25G, 2× QSFP28 100G).
CRS418-8P-8G-2S+WiFi: switch PoE con WiFi 6 integrato
AvanzatoIl CRS418-8P-8G-2S+5axQ2axQ-RM combina un potente switch gestito, 8 porte PoE, 17 porte GbE, 2 uplink SFP+ 10G e WiFi 6 dual-band in un unico chassis 1U: ideale per POP indoor, sedi WISP e siti con necessità di accesso wireless integrato.
ROSE Data Server RDS2216: storage NVMe + routing 100G su RouterOS
AvanzatoAnalisi del MikroTik RDS2216: server convergente ARM64 16 core, 32 GB RAM, 20 slot U.2 NVMe, connettività mista fino a 100G QSFP28 e licenza RouterOS ROSE Edition.
Switch 100G e 400G MikroTik per data center e dorsali
AvanzatoPanoramica della famiglia CRS5xx/CRS8xx con porte QSFP28 100G e QSFP56-DD 400G: architettura, differenze tra modelli, scenari di impiego in data center, dorsali e backbone WISP.
Switch 25G MikroTik: CRS510-8XS-2XQ-IN
AvanzatoIl CRS510-8XS-2XQ-IN combina 8 porte SFP28 25G e 2 uplink QSFP28 100G in un rack 1U compatto: specifiche, casi d'uso in aggregazione WISP e connettività con dorsale 100G.
Sistema e alta affidabilità
Identity e hardening dei servizi di gestione
BaseCome nominare correttamente un router MikroTik con /system/identity e come ridurre la superficie d'attacco disabilitando i servizi non necessari e limitandone l'accesso per IP.
MikroTik Cloud: DDNS gratuito e Back To Home
BaseCome usare il servizio IP Cloud di MikroTik per ottenere un nome DNS dinamico gratuito che segue l'IP pubblico del router, sincronizzare l'ora e abilitare Back To Home per l'accesso remoto sicuro.
Monitorare risorse e salute hardware del router
BaseCome leggere in tempo reale CPU, RAM, storage, uptime, temperatura e tensione del router MikroTik con /system/resource e /system/health, e quali soglie tenere sotto controllo.
NTP Client: sincronizzazione automatica dell'ora
BaseCome abilitare e configurare il client NTP in RouterOS v7 per mantenere l'orologio sempre preciso, con server multipli, monitoraggio dei peer e best practice di sicurezza.
Orologio di sistema: impostare data, ora e fuso orario
BaseCome configurare correttamente l'orologio interno di RouterOS, impostare il fuso orario e perché questa operazione è propedeutica a log affidabili e certificati TLS validi.
Bonding: aggregazione e ridondanza dei link fisici
IntermedioCome creare un'interfaccia bonding in RouterOS v7 per aggregare più link fisici in uno virtuale, aumentando la ridondanza con active-backup o la larghezza di banda con 802.3ad LACP.
NTP Server interno: distribuire l'ora alla tua rete
IntermedioCome trasformare un router MikroTik in server NTP per la rete locale del WISP, così che apparati, CPE e server prendano l'ora da una sorgente interna controllata, senza esporre il servizio su Internet.
RoMON: gestire i router senza IP, anche dietro NAT
IntermedioCome usare RoMON (Router Management Overlay Network) per raggiungere e gestire apparati MikroTik a livello 2 — anche senza IP raggiungibile, dietro NAT o con configurazione errata — in sicurezza con password e ACL.
Scheduler e script: backup automatico notturno
IntermedioCome usare /system/scheduler e /system/script per automatizzare un backup giornaliero della configurazione, salvarlo localmente e inviarlo via email, con gestione sicura delle credenziali.
Utenti e gruppi: policy, chiavi SSH e accesso sicuro
IntermedioCome gestire gli account amministrativi di RouterOS con gruppi e policy granulari, autenticazione a chiave SSH, restrizione per IP sorgente e audit, per un accesso pulito e sicuro in un team WISP.
VRRP: gateway virtuale ridondante tra due router
IntermedioCome configurare VRRP in RouterOS v7 per creare un gateway virtuale ridondante con un router master e un backup, garantendo continuità del servizio in caso di guasto.
Watchdog: riavvio automatico e monitoraggio connettività
IntermedioCome configurare il watchdog hardware e software di RouterOS per riavviare automaticamente il router in caso di blocco del sistema o perdita di connettività verso un indirizzo critico.
Backup off-site automatici e rotazione dei file
AvanzatoCome spedire automaticamente i backup di RouterOS su un server esterno (SCP/SFTP o FTP), ruotare i file vecchi per non saturare la flash e verificare l'integrità, per una vera strategia di disaster recovery.
Certificati: TLS, self-signed e Let's Encrypt
AvanzatoCome generare, importare e usare i certificati in RouterOS v7 per cifrare i servizi di gestione (api-ssl, www-ssl), SSTP, hotspot e per ottenere certificati validi automaticamente con Let's Encrypt.
Scripting RouterOS: variabili, cicli e gestione errori
AvanzatoGuida pratica al linguaggio di scripting di RouterOS v7: variabili, array, condizioni :if, cicli :foreach e :for, funzioni, e gestione robusta degli errori con :do/on-error, per automazioni affidabili.
Diagnostica e monitoraggio
Graphing integrato e cenni a The Dude
BaseUsare il graphing nativo di RouterOS per i trend storici di CPU, memoria e traffico, e conoscere The Dude come NMS gratuito MikroTik per la mappa e il monitoraggio di tutta la rete WISP.
Logging e syslog remoto
BaseConfigurare il sistema di log di RouterOS per registrare eventi utili e inviarli in modo sicuro a un server syslog remoto, indispensabile per la diagnostica in ambienti WISP.
Salute hardware, risorse di sistema e watchdog
BaseMonitorare temperatura, tensione e ventole del router, tenere sotto controllo CPU/memoria/disco e configurare il watchdog per riavvii automatici in caso di blocco del sistema.
Strumenti diagnostici: ping, traceroute, torch e packet sniffer
BasePanoramica pratica degli strumenti diagnostici integrati in RouterOS per analizzare la connettività, il percorso dei pacchetti e il traffico in tempo reale su qualunque interfaccia.
Bandwidth-test e btest: misurare il throughput reale
IntermedioMisurare la capacità reale di un link MikroTik con bandwidth-test e l'app btest, interpretando i risultati e applicando le cautele necessarie per non disturbare la produzione.
Graphing, profiler CPU e bandwidth-test
IntermedioUtilizzare il graphing integrato per visualizzare trend di CPU/traffico nel tempo, il profiler per identificare processi che consumano CPU, e il bandwidth-test per misurare il throughput reale — con le dovute cautele in produzione.
Netwatch: monitoraggio host e automazione
IntermedioUsare Netwatch per monitorare la raggiungibilità di host critici (gateway, server, CPE clienti) ed eseguire script automatici al cambio di stato, abilitando reazioni proattive ai guasti.
Ping, traceroute avanzati e MTU/MSS discovery
IntermedioSfruttare a fondo ping e traceroute di RouterOS e diagnosticare i problemi di MTU/MSS, causa frequente di 'siti che non si aprono' su PPPoE e tunnel nei WISP.
Profiler CPU: trovare chi consuma il processore
IntermedioUsare /tool/profile per attribuire l'uso della CPU ai singoli processi RouterOS e capire perché un router è lento, distinguendo firewall, routing, wireless ed encryption.
SNMP sicuro con SNMPv3
IntermedioAbilitare il monitoraggio SNMP su RouterOS usando esclusivamente SNMPv3 con autenticazione e cifratura, evitando le community string in chiaro che espongono il router a rischi gravi.
Torch in profondità: chi satura il link adesso
IntermedioPadroneggiare Torch per identificare in tempo reale quale IP, protocollo o porta sta saturando un'interfaccia, con filtri, raggruppamenti e i limiti da conoscere (hardware offload, NAT, firewall).
Metodo troubleshooting passo-passo per WISP
AvanzatoMetodologia strutturata per diagnosticare i problemi più comuni nei WISP MikroTik: assenza di internet, latenza elevata, PPPoE che non sale e apparati irraggiungibili.
Packet sniffer e analisi con Wireshark (TZSP)
AvanzatoCatturare il traffico con /tool/sniffer, salvarlo in PCAP o trasmetterlo in streaming a Wireshark via TZSP per l'analisi pacchetto-per-pacchetto: il livello di diagnosi più profondo di RouterOS.
Statistiche interfaccia: leggere gli errori di livello fisico
AvanzatoInterpretare i contatori di /interface (rx/tx error, drop, collision, FCS) e lo stato di link/SFP per diagnosticare problemi fisici: cavi, SFP, PoE, duplex e mezzi radio degradati.
Interfacce, switching e VLAN
Gestione ARP e MAC address: tabelle, sicurezza e ottimizzazione
BaseCome visualizzare e gestire la tabella ARP e la MAC address table su RouterOS v7: voci statiche, protezione da ARP spoofing e MAC flooding, modalità ARP per interfacce di rete.
Il Bridge RouterOS: dominio L2 e gestione porte
BaseCos'è un bridge in RouterOS, come crea un dominio Layer 2, come aggiungere porte e controllare la MAC address table (host table).
Interfacce Ethernet: velocità, duplex e MTU
BaseCome configurare velocità, modalità duplex, auto-negoziazione e MTU sulle interfacce fisiche di RouterOS v7. Fondamentale per evitare problemi di prestazione e frammentazione.
Bonding e LACP 802.3ad: aggregazione di link Ethernet
IntermedioCome configurare il bonding in RouterOS v7 per aggregare più porte fisiche: modalità LACP (802.3ad), balance-xor e active-backup, monitoraggio link, hash policy e utilizzo con bridge.
Hardware Offload: switch chip e forwarding wire-speed
IntermedioCos'è l'hardware offload su RouterOS, quando e come attivarlo con hw=yes, quali switch chip lo supportano e quali limitazioni esistono in scenari VLAN e bonding.
Loop protection e DHCP snooping: blindare la rete d'accesso
Intermedioloop-protect per fermare i loop dove STP non arriva, DHCP snooping per bloccare server DHCP fasulli dei clienti, e perché un WISP deve sempre attivarli sulle porte d'accesso.
Ricetta pratica: switch di distribuzione WISP (trunk + access)
IntermedioConfigurazione completa, copia-incolla, di un CRS come switch di distribuzione WISP: trunk verso il core, porte access per clienti, VLAN management isolata, port isolation e protezioni L2.
STP, RSTP e MSTP: protezione dai loop e convergenza rapida
IntermedioCome configurare Spanning Tree Protocol (STP/RSTP/MSTP) su RouterOS v7 per prevenire loop di rete, scegliere il root bridge, proteggere le porte access con BPDU guard e ottimizzare la convergenza.
VLAN 802.1Q con bridge vlan-filtering: configurazione completa e sicura
IntermedioCome configurare VLAN IEEE 802.1Q su RouterOS v7 usando bridge vlan-filtering: porte access con pvid, porte trunk tagged, interfacce L3 per routing inter-VLAN, e come non perdere l'accesso di gestione.
MTU, L2MTU e jumbo frame: dimensionare i frame end-to-end
AvanzatoCapire MTU L3 e L2MTU L2 su RouterOS v7, calcolare l'overhead di VLAN/QinQ/PPPoE/tunnel, abilitare i jumbo frame e usare MSS clamping per evitare i 'black hole' dei pacchetti grandi.
Port isolation: split-horizon per isolare i clienti a L2
AvanzatoCome isolare le porte tra loro con bridge horizon (split-horizon) e quando preferire VLAN private: scenario WISP con clienti sullo stesso switch che non devono vedersi.
QinQ 802.1ad: doppio tag VLAN per reti provider
AvanzatoCome configurare QinQ (802.1ad) su RouterOS v7: doppio tag VLAN con ether-type 0x88a8 sul bridge provider, tag-stacking sulle porte customer, scenari tipici WISP/ISP.
Switch chip: ACL e rule hardware (/interface/ethernet/switch)
AvanzatoLe ACL hardware dello switch chip su RouterOS v7: filtrare, marcare e reindirizzare traffico a wire-speed senza toccare la CPU. Quando usarle al posto del bridge filter e del firewall IP.
Wireless e mobile
Bande Wi-Fi, canali e interferenze: tutto quello che devi sapere
BasePanoramica delle bande 2,4 GHz e 5 GHz, scelta del canale ottimale, larghezza di banda e gestione delle interferenze su RouterOS v7.
Sicurezza Wi-Fi: WPA2, WPA3 e obbligo del parametro country
BaseCome configurare correttamente WPA2 e WPA3 su RouterOS v7, perché il parametro country è obbligatorio per legge e come proteggere la rete wireless da attacchi comuni.
Antenne, polarizzazione, MIMO e MCS: scegliere e puntare le radio WISP
IntermedioTipi di antenna (omni, settoriale, parabola), guadagno e apertura, polarizzazione orizzontale/verticale e dual-slant, catene MIMO (2x2/3x3) e tabella MCS: come si traducono in throughput reale e come ottimizzare il puntamento.
Channel width, frequenze e DFS: pianificare lo spettro 5 GHz in Italia
IntermedioCome scegliere larghezza di canale e frequenza in 5 GHz rispettando ETSI/Italia, come funziona il DFS (radar detection, CAC, NOP) e perché conviene gestirlo, configurazione di scan-list e canali sia su legacy sia su wifiwave2.
Configurare LTE/4G su RouterOS: modem, APN e failover
IntermedioGuida completa alla configurazione di interfacce LTE/4G su RouterOS v7: aggiunta del profilo APN, verifica stato modem, failover automatico con routing e dual-SIM.
Driver Wifiwave2 (/interface/wifi) vs Legacy (/interface/wireless): differenze e migrazione
IntermedioConfronto tra il nuovo driver wifi-qcom/wifiwave2 (RouterOS 7.13+) e il driver wireless legacy: funzionalità, comandi CLI e quando usare l'uno o l'altro.
Modalità wireless RouterOS: AP, Station, Bridge e WDS
IntermedioGuida alle modalità operative dell'interfaccia wireless MikroTik: ap-bridge, station, bridge, station-wds. Configurazione pratica di AP e CPE client per reti WISP.
Teoria radio per WISP: dBm, dBi, EIRP, SNR, link budget e zona di Fresnel
IntermedioLe basi della radiopropagazione che ogni tecnico WISP deve padroneggiare: unità (dBm/dBi/dB), EIRP e limiti ETSI, noise floor e SNR, calcolo del link budget con esempio numerico, perdita in spazio libero e zona di Fresnel.
Access-list e Connect-list: controllo accessi, signal-range e steering su MikroTik
AvanzatoCome usare access-list (lato AP) e connect-list (lato station) sul driver legacy per accettare/rifiutare client per MAC e segnale, impostare signal-range, forzare data-rate e gestire roaming/steering; equivalenti su wifiwave2.
CAPsMAN su wifiwave2: controller per AP Wi-Fi 6 (/interface/wifi/capsman)
AvanzatoGestione centralizzata degli Access Point AX (Wi-Fi 6) con il nuovo CAPsMAN integrato in wifiwave2: abilitare il manager, definire configuration/security/channel/datapath, far diventare CAP gli AP e usare fast roaming 802.11r/k/v.
CAPsMAN: gestione centralizzata di più Access Point MikroTik
AvanzatoConfigurazione completa di CAPsMAN per gestire in modo centralizzato decine di AP MikroTik: controller, CAP, provisioning automatico, datapath e sicurezza.
Link wireless PtP e PtMP con Nv2/TDMA: backhaul per WISP
AvanzatoConfigurazione di link punto-a-punto (PtP) e punto-multipunto (PtMP) con il protocollo proprietario MikroTik Nv2/TDMA per backhaul ad alte prestazioni su reti WISP.
Nstreme vs Nv2 vs 802.11: quale protocollo per il tuo link MikroTik
AvanzatoI tre protocolli wireless legacy di RouterOS a confronto: 802.11 (CSMA), Nstreme (polling, PtP lunghi) e Nv2 (TDMA, PtMP moderno). Quando scegliere ciascuno, con configurazione di Nstreme e tabella decisionale.
Troubleshooting wireless MikroTik: registration-table, snooper, align e diagnosi link
AvanzatoMetodo sistematico per diagnosticare link wireless lenti o instabili: leggere la registration-table (CCQ, segnale per-catena, rate), usare scanner/snooper/frequency-usage per le interferenze, allineare con align, e una checklist dei problemi più comuni nei WISP.
Servizi di rete (DHCP, DNS…)
DHCP Client su RouterOS: ottenere l'IP dalla WAN
BaseConfigurare il client DHCP su RouterOS per ricevere un indirizzo IP dinamico dall'ISP sulla porta WAN, con gestione del default route e DNS.
DHCP Server su RouterOS: pool, reti e lease statici
BaseConfigurare un server DHCP completo su RouterOS: pool di indirizzi, rete DHCP con gateway e DNS, lease dinamici e lease statici per MAC address.
Indirizzi IP e subnetting pratico su RouterOS
BaseCome assegnare indirizzi IPv4 alle interfacce RouterOS con notazione CIDR, gestire più IP sulla stessa interfaccia e interpretare correttamente la subnet mask.
IP Cloud e DDNS su RouterOS: hostname dinamico gratuito
BaseUsare IP Cloud di MikroTik per ottenere un hostname DDNS gratuito che punta sempre all'IP pubblico del router, anche se dinamico, senza servizi esterni.
IP Pool su RouterOS: range, dimensionamento e riuso
BaseCapire l'oggetto /ip/pool: definire range di indirizzi assegnabili, concatenare pool con next-pool, e usarlo per DHCP, PPPoE e Hotspot in una rete WISP.
Orario di rete su RouterOS: SNTP client e NTP server
BaseMantenere l'orologio del router preciso con SNTP/NTP client, e far diventare RouterOS un server NTP per gli apparati e i client della rete. Fondamentale per log, certificati e scheduler.
DHCP Options e Option 82 su RouterOS
IntermedioDistribuire opzioni DHCP personalizzate (NTP, TFTP, dominio, classless route) e usare l'Option 82 (Agent Information) per identificare la porta/sede da cui arriva un client in rete WISP.
DHCP Relay: server DHCP centralizzato per più subnet
IntermedioConfigurare DHCP Relay su RouterOS per far comunicare client DHCP in subnet diverse con un unico server DHCP centralizzato, tipico in reti WISP multi-segmento.
DNS su RouterOS: cache, record statici, sicurezza e DNS over HTTPS
IntermedioConfigurare il resolver DNS di RouterOS come cache locale per la LAN, aggiungere record statici, abilitare DNS over HTTPS (DoH) per privacy e proteggere il router da open resolver pubblico.
Hardening dei servizi di gestione: /ip/service e MAC-server
IntermedioDisattivare i servizi di gestione non necessari, limitare l'accesso ai servizi rimasti per subnet fidate, e mettere in sicurezza Winbox, SSH, API e il MAC-server: il primo passo per non farsi bucare il router.
ARP su RouterOS: reply-only e binding statici per la sicurezza
AvanzatoUsare la modalità ARP reply-only combinata con voci ARP statiche o lease DHCP statici per impedire ARP spoofing e IP hijacking sulle reti WISP.
DHCPv6 su RouterOS: client, Prefix Delegation e server
AvanzatoIntroduzione pratica a IPv6 sulla WAN: DHCPv6 client con Prefix Delegation (PD) per ricevere un prefisso dall'upstream, e DHCPv6 server / RA per distribuirlo ai clienti.
DNS avanzato: forward condizionale, regexp e filtraggio domini
AvanzatoUsare i record statici DNS di tipo FWD per inoltrare un dominio a un resolver specifico, e le regexp per fare adblock/filtraggio dei domini direttamente sul router RouterOS.
UPnP e NAT-PMP su RouterOS: funzionalità e rischi di sicurezza
AvanzatoCapire come funzionano UPnP e NAT-PMP su RouterOS, quando usarli, e perché in un contesto WISP o professionale rappresentano un rischio di sicurezza da valutare attentamente.
Routing
Come RouterOS sceglie le rotte: distanza, scope e next-hop ricorsivo
BaseSpiega come RouterOS seleziona la rotta migliore nel RIB tramite distance e metric, come risolve il next-hop via scope/target-scope e la differenza tra RIB e FIB.
Rotte statiche, default gateway e failover dual-WAN con check-gateway
BaseConfigura rotte statiche, il default gateway IPv4/IPv6 e un failover automatico dual-WAN usando check-gateway=ping con distance differenziate.
Blackhole e null route: anti-loop, aggregazione BGP e mitigazione DDoS
IntermedioUsa le rotte blackhole/null in RouterOS v7 per evitare loop di routing con i prefissi aggregati BGP, scartare traffico verso subnet non assegnate e implementare il Remote Triggered Black Hole (RTBH) anti-DDoS.
ECMP: bilanciamento del carico su più WAN con rotte a pari costo
IntermedioConfigura ECMP (Equal Cost Multi-Path) in RouterOS v7 per distribuire il traffico su più gateway ISP con la stessa distance, scegliendo la strategia di hash ottimale.
Failover che testa Internet davvero: recursive next-hop e Netwatch
IntermedioSupera il limite di check-gateway implementando un failover dual-WAN che verifica la raggiungibilità reale di Internet con recursive next-hop (target-scope) e con script Netwatch.
OSPF in RouterOS v7: instance, area, interface-template e redistribuzione
IntermedioConfigura OSPF v2 (IPv4) e v3 (IPv6) in RouterOS v7 tramite instance, area e interface-template. Tipi di rete, costo, DR/BDR election, stub area e redistribuzione di rotte statiche.
Policy Routing: routing table multiple, mangle mark-routing e routing rules
IntermedioImplementa il policy routing in RouterOS v7 usando /routing/table per creare tabelle custom, mangle con action=mark-routing per marcare i flussi e routing rules per instradare traffico specifico su ISP dedicati.
BFD in RouterOS v7: rilevamento guasti sub-secondo per OSPF e BGP
AvanzatoConfigura BFD (Bidirectional Forwarding Detection) in RouterOS v7 per rilevare i guasti di link in millisecondi e accelerare la convergenza di OSPF, BGP e delle rotte statiche.
BGP in RouterOS v7: instance, connection, local.role e output.network
AvanzatoConfigura BGP v7 in RouterOS: creazione dell'instance, connessioni eBGP e iBGP con local.role, annuncio di prefissi con output.network e differenze fondamentali rispetto alla v6.
Route Filters in RouterOS v7: sintassi if/then, matcher e azioni avanzate
AvanzatoPadroneggia il sistema di route filter in RouterOS v7 con la sintassi script-like if/then/else, i matcher disponibili (dst, protocol, bgp-as-path, ecc.) e le azioni (accept, reject, set distance, set bgp-local-pref).
VRF in RouterOS v7: routing virtuale isolato per multi-tenant e MPLS VPN
AvanzatoConfigura VRF (Virtual Routing and Forwarding) in RouterOS v7 per isolare tabelle di routing per clienti o servizi diversi, con uso in contesto MPLS BGP VPN e assegnazione interfacce.
Firewall e QoS
Connection Tracking — Firewall stateful in RouterOS
BaseIl connection tracking permette a RouterOS di tenere traccia dello stato di ogni connessione di rete, abilitando un firewall stateful efficiente che distingue traffico legittimo da intrusioni.
Kid Control — Parental control e limiti per dispositivo
BaseKid Control permette di associare dispositivi (via MAC address) a profili con orari di accesso settimanali e limiti di banda, creando dinamicamente regole firewall e code senza configurazione manuale.
NAT in RouterOS — Masquerade, Port Forwarding e Hairpin
BaseNetwork Address Translation permette a una rete privata di condividere un singolo IP pubblico (srcnat/masquerade) e di esporre servizi interni su Internet (dstnat/port-forward), con la variante hairpin per i client LAN.
Packet Flow in RouterOS — Come viaggia un pacchetto
BaseCapire l'ordine esatto in cui RAW, conntrack, mangle, NAT, filter e code elaborano ogni pacchetto è il prerequisito per scrivere regole firewall corrette ed efficaci.
Address-List dinamiche — Anti brute-force SSH e Winbox a stadi
IntermedioLe address-list dinamiche con timeout escalante permettono di bloccare automaticamente gli attacchi brute-force su SSH e Winbox, con punizione progressiva: da 5 minuti fino a 1 giorno di blacklist.
Firewall Filter — Ruleset di base sicuro e commentato
IntermedioUn ruleset firewall completo, commentato riga per riga, per proteggere il router MikroTik dalla WAN mantenendo piena operatività LAN. Include protezione Winbox/SSH con address-list admin e drop WAN totale.
Firewall IPv6 — Proteggere i clienti senza NAT
IntermedioCon IPv6 ogni cliente ha indirizzi pubblici e non c'è NAT a fare da 'firewall implicito': il firewall filter IPv6 diventa l'unica protezione. Ruleset di base per WISP che assegnano prefissi IPv6 ai clienti.
Hardening dei servizi — Ridurre la superficie d'attacco del router
IntermedioIl firewall è metà del lavoro: l'altra metà è spegnere i servizi inutili, limitare gli accessi e disattivare le funzioni di scoperta. Checklist completa per blindare un router WISP esposto su Internet.
Mangle — Marking, Policy Routing e DSCP
IntermedioIl modulo mangle permette di marcare connessioni e pacchetti per il QoS (Queue Tree), di implementare policy routing per load balancing o failover, e di modificare campi header come TTL e DSCP.
FastTrack — Accelerazione delle connessioni e impatto su QoS
AvanzatoFastTrack bypassa la maggior parte della pipeline per le connessioni già verificate, aumentando enormemente il throughput. Ma rende invisibile il traffico a mangle e Queue Tree: capire questo trade-off è cruciale per un WISP.
Firewall RAW — Filtraggio pre-conntrack e protezione DDoS
AvanzatoIl firewall RAW opera prima del connection tracking e del firewall filter, permettendo di scartare traffico massiccio (DDoS, bogon, amplification) a costo CPU minimo prima che entri nella tabella di connessioni.
QoS WISP — Queue Tree HTB, PCQ e gestione banda per cliente
AvanzatoArchitettura QoS completa per WISP: HTB per garantire banda minima e massima a ogni cliente (limit-at/max-limit), PCQ per condivisione equa della banda condivisa, priorità VoIP, e gestione burst per traffico transiente.
VPN e tunnel
PPTP: deprecato e insicuro — non usare in produzione
BasePPTP è un protocollo VPN obsoleto con vulnerabilità crittografiche critiche. Questa pagina spiega perché non va usato e quali alternative adottare.
Quale VPN scegliere su RouterOS?
BasePanoramica dei protocolli VPN disponibili su MikroTik RouterOS v7: pro, contro e quando usare ciascuno, con una tabella comparativa e indicazioni di sicurezza.
WireGuard: tunnel site-to-site tra due sede
BaseConfigura un tunnel WireGuard site-to-site su RouterOS v7: creazione interfaccia, scambio chiavi pubbliche, assegnazione IP, routing e regola firewall.
L2TP/IPsec: accesso remoto per client legacy
IntermedioConfigura RouterOS v7 come server L2TP/IPsec per client road warrior Windows, macOS e iOS: abilitazione server, PPP secrets, firewall e configurazione client.
OpenVPN (OVPN): server e client su RouterOS
IntermedioConfigura un server OpenVPN su RouterOS v7 con certificati TLS, pool IP, utenti PPP ed esportazione config client .ovpn. Supporta TCP e UDP, AES-256-GCM.
SSTP: VPN su TLS porta 443
IntermedioConfigura SSTP su RouterOS v7 con certificato TLS, utile per attraversare firewall restrittivi. Configurazione server, certificati, utenti e client Windows.
WireGuard: accesso remoto road warrior
IntermedioConfigura RouterOS v7 come server WireGuard per client mobili (laptop, smartphone): ogni client ha un indirizzo IP fisso nel tunnel e può raggiungere la rete locale.
EoIP cifrato con IPsec manuale: VLAN clienti tra POP
AvanzatoTrasporta L2 (VLAN clienti, management) tra due POP con EoIP, cifrando il trasporto con IPsec configurato a mano per controllare cifrari, PFS e lifetime — più robusto della scorciatoia ipsec-secret.
IPsec IKEv2 road warrior con mode-config
AvanzatoRouterOS v7 come responder IKEv2 per client mobili (Windows, iOS, macOS, Android strongSwan): mode-config assegna IP e DNS, autenticazione con certificati EAP o RSA, policy template dinamiche.
IPsec IKEv2: tunnel site-to-site sicuro
AvanzatoConfigurazione IPsec IKEv2 site-to-site su RouterOS v7 con cifrari moderni (AES-256-GCM, SHA-256, ECP256), regola srcnat per escludere il traffico VPN dal masquerading.
MTU e MSS sui tunnel: niente più siti lenti o a metà
AvanzatoOgni VPN aggiunge overhead: se non gestisci MTU e MSS, ottieni pagine che non caricano, download bloccati e VoIP a scatti, soprattutto su link radio. Guida pratica con overhead per protocollo e MSS clamping.
Routing dinamico su VPN: OSPF sopra i tunnel
AvanzatoFar girare OSPF dentro i tunnel (WireGuard/GRE) elimina le rotte statiche manuali: i POP si scoprono da soli, il failover è automatico. Configurazione OSPFv2 su RouterOS v7, costi e ridondanza.
Tunnel EoIP, GRE e IPIP: quando e come usarli in sicurezza
AvanzatoEoIP (Layer 2), GRE e IPIP (Layer 3) sono tunnel non cifrati: corretti per reti private, da proteggere obbligatoriamente con IPsec su reti pubbliche. Configurazione, confronto, MTU e best practice.
Tunnel su link radio: MTU, jitter e stabilità nei WISP
AvanzatoFar passare una VPN su un ponte radio (MikroTik/Ubiquiti) richiede attenzione a MTU, latenza variabile e perdita di pacchetti: scelta del protocollo, keepalive, MSS clamping e priorità del traffico tunnel.
VXLAN su RouterOS v7: overlay L2 multi-sito
AvanzatoVXLAN incapsula Ethernet su UDP (VNI a 24 bit): ideale per estendere molte VLAN tra più POP con un solo overlay, più scalabile di EoIP. Configurazione VTEP, bridge e cifratura con IPsec.
Utenti, RADIUS, IoT e container
Hotspot e Captive Portal: setup, profili e bypass
BaseConfigura un Hotspot WiFi con captive portal su RouterOS v7. Gestisci profili utente con banda e sessioni, whitelist IP, walled garden e integrazione RADIUS.
PPP/PPPoE: profili, segreti e server — guida pratica
BaseImposta un server PPPoE su RouterOS v7 con profili differenziati per banda, pool IP e DNS. Ricetta end-to-end per attivare un cliente FWA.
IoT su RouterOS: MQTT e GPIO per automazione e telemetria
IntermedioUsa il pacchetto IoT di RouterOS v7 per pubblicare telemetria via MQTT e controllare pin GPIO. Integra RouterOS con piattaforme IoT come ThingsBoard o HomeAssistant.
PPP AAA: autenticazione e accounting via RADIUS
IntermedioDelega l'autenticazione PPPoE a un server RADIUS esterno o al User Manager locale. Configura accounting e aggiornamenti intermedi per tracciare le sessioni.
Quale RADIUS per il WISP: User Manager, FreeRADIUS o gestionale
IntermedioGuida alla scelta dell'architettura AAA per un WISP italiano: segreti locali, User Manager interno, FreeRADIUS esterno o RADIUS pilotato dal gestionale. Vantaggi, limiti e quando usarli.
RADIUS: configurazione client, attributi e RadSec
IntermedioConfigura RouterOS come client RADIUS per PPP, Hotspot e login admin. Panoramica degli attributi vendor MikroTik, accounting, disconnessione dinamica e RadSec TLS.
User Manager v7: RADIUS interno per PPP e Hotspot
IntermedioInstalla e configura il User Manager integrato di RouterOS v7 come server RADIUS locale. Crea profili con rate-limit, limiti traffico e scadenze per clienti PPPoE e Hotspot.
Utenti del router: gruppi, least-privilege e chiavi SSH
IntermedioGestisci gli account amministrativi di RouterOS in modo sicuro: gruppi con permessi minimi, restrizioni per IP sorgente, chiavi SSH al posto della password e disattivazione dell'utente admin di default.
Bluetooth BLE su RouterOS v7: scanner, tag e telemetria
AvanzatoConfigura lo scanner BLE su RouterOS per leggere beacon Bluetooth (tag MikroTik, iBeacon, Eddystone) e inviare la telemetria via MQTT a piattaforme IoT.
Certificati e API sicura: api-ssl, REST e automazione del WISP
AvanzatoCrea certificati su RouterOS v7, abilita l'API cifrata (api-ssl) e la REST API per pilotare i router dal gestionale in sicurezza. Utente dedicato a permessi minimi per l'automazione.
Container su RouterOS v7: guida pratica e avvertenze sicurezza
AvanzatoEsegui container Docker/OCI su RouterOS v7 (ARM/ARM64/x86). Configura veth, montaggi, variabili d'ambiente e registry. Comprendi i rischi di sicurezza prima di procedere.
