Guida MikroTik in italiano

Cosa trovi già configurato su un router MikroTik appena unboxato e come usare Quick Set per una configurazione guidata in pochi minuti.

Introduzione al sistema operativo RouterOS di MikroTik e all'hardware RouterBOARD: architettura, licenze, casi d'uso per WISP.

Come connettersi al router per la prima volta con tutti gli strumenti disponibili, e quando usare ciascuno.

Come salvare e ripristinare la configurazione del router (backup binario e export testo), e come aggiornare RouterOS e il firmware RouterBOARD in modo sicuro.

Padroneggia la riga di comando di RouterOS v7: struttura gerarchica dei menu, comandi essenziali, find, print, comment e Safe Mode per modifiche sicure.

Crea utenti con i soli privilegi necessari, gestisci i gruppi e applica il principio del privilegio minimo per proteggere il router.

Disabilita i servizi non necessari, cambia le porte default, limita l'accesso per IP e abilita solo i protocolli sicuri per ridurre la superficie d'attacco.

Glossario pratico per leggere le schede tecniche MikroTik: livello di licenza RouterOS, switch chip e offload hardware, tipi di PoE e gabbie SFP/SFP+/QSFP.

I CSS (Cloud Smart Switch) con SwOS sono switch L2 managed entry-level di MikroTik: configurazione via browser, prestazioni wire-speed e costo contenuto. Ideali per distribuzione AP/CPE in reti WISP.

Guida alla scelta del router in base all'uso: piccolo ufficio, CPE cliente WISP, concentratore PPPoE/BNG, core di rete con BGP. Famiglie hEX, hAP, L009, RB4011, RB5009, CCR.

Differenza tra Cloud Smart Switch (CSS/SwOS) e Cloud Router Switch (CRS/RouterOS), scelta per velocità delle porte, PoE e ruolo in rete.

Il CRS106 e il CRS112 sono i CRS più economici: girano RouterOS L5 (routing, firewall, scripting) con chip di switch dedicato. Il CRS112 aggiunge 8 porte PoE per alimentare AP e CPE direttamente.

Come leggere i nomi dei prodotti MikroTik (RB, hEX, hAP, CRS, CSS, CCR) e i suffissi (G, U, S, S+, XS, Q, XQ, P, IN, RM, OUT, Pr) per capire a colpo d'occhio le caratteristiche.

L'hAP be3 Media porta il Wi-Fi 7 (802.11be) in casa MikroTik: CPU ARM64 quad-core, 2 GB RAM, 5 porte 2.5G, tri-band 2.4/5/6 GHz, licenza L6. Ideale per sedi aziendali, uffici e clienti WISP che vogliono il massimo dalla fibra Gigabit.

Il PowerBox Pro è la versione weatherproof dell'hEX PoE: involucro outdoor resistente alle intemperie, 5 porte Gigabit PoE-out 802.3af/at, 1 SFP, pensato per piloni, torre, box stradali e installazioni WISP senza armadi.

I RB260GS e RB260GSP sono switch desktop a 5 porte Gigabit + SFP, gestiti via SwOS, economici e silenziosi. Il modello GSP aggiunge PoE passivo in uscita per alimentare CPE o AP in installazioni piccole.

Guida pratica all'intera famiglia hEX: dalle versioni 100 Mbit/s entry-level ai nuovi modelli ARM con 2.5G SFP, con tabella di confronto e consigli di scelta per WISP, uffici e installazioni outdoor.

Guida alla famiglia CCR2004 (ARM64, 4 core AL32400/AL52400, 4 GB RAM): quattro varianti per rack 1U, desktop passivo e scheda PCIe, con porte da 1G a 25G SFP28.

Panoramica completa dei Cloud Router Switch MikroTik con porte SFP+ (10 Gbps) destinati all'aggregazione di dorsali ottiche nei WISP: dal compatto CRS305 desktop fino al CRS317 con 16 × SFP+ in 1U rack.

I Cloud Router Switch MikroTik con uscita PoE (802.3af/at/bt): dal CRS320 con PoE++ 90W/porta fino al CRS354-48P con 700 W totali su 48 porte, e il CRS418 con CPU ARM64 quad-core per routing avanzato.

I modelli CRS326 e CRS328 senza PoE coprono ogni esigenza di switching ad alta densità nei WISP: da 24 porte GbE con 2 × SFP+ fino a 20 porte 2.5G con QSFP+ 40G, passando per switch misti SFP/SFP+ e configurazioni combo 10G.

Il CRS354-48G-4S+2Q+RM offre 48 porte Gigabit Ethernet, 4 × SFP+ 10G e 2 × QSFP+ 40G senza PoE: lo switch di distribuzione ideale per connettere decine di router/server a un core 40G in ambienti WISP o datacenter.

L009UiGS-RM (ARM32 2-core, 8 GbE + SFP 2,5G) e RB4011iGS+RM (ARM32 4-core, 10 GbE + SFP+ 10G) sono le scelte classiche per router di backbone in formato 1U rack. Entrambi montano RouterOS L5 e sono ideali per WISP con 50–300 abbonati.

Il RB1100AHx4 è il router 1U rackmount enterprise di MikroTik: 13 porte Gigabit, CPU ARM32 quad-core 1,4 GHz, 1 GB RAM, doppio ingresso AC/DC ridondante e licenza RouterOS Livello 6 (tunnel illimitati). La Dude Edition aggiunge SSD M.2 60 GB per il server di monitoraggio The Dude.

Il RB5009UG+S+IN è il router desktop MikroTik più diffuso nella fascia prosumer: CPU ARM64 quad-core, 1 GB DDR4, 7 porte Gigabit + 1 porta 2,5G + 1 SFP+ 10G, licenza L5. Ideale come BNG/PPPoE per WISP piccoli e medi.

Le versioni UPr del RB5009 aggiungono PoE-out da 130 W totali su tutte le 8 porte Ethernet. La variante OUT è certificata IP66 per installazioni outdoor, con range operativo fino a +70 °C. Perfette per alimentare CPE e AP direttamente dall'edge router.

Guida alla famiglia di switch outdoor/PoE MikroTik (IP54/IP66) pensata per tralicci, cabinet stradali e siti remoti: netPower Lite 8P, netPower 16P, netPower 15FR, netPower Lite 7R, netFiber 9, FiberBox Plus e GPERx6.

Guida ai due top di gamma ARM64 MikroTik: CCR2116-12G-4S+ (16 core, 16 GB, M.2, Marvell 98DX3255) e CCR2216-1G-12XS-2XQ (16 core, 16 GB, 2× M.2, 12× SFP28 25G, 2× QSFP28 100G).

Il CRS418-8P-8G-2S+5axQ2axQ-RM combina un potente switch gestito, 8 porte PoE, 17 porte GbE, 2 uplink SFP+ 10G e WiFi 6 dual-band in un unico chassis 1U: ideale per POP indoor, sedi WISP e siti con necessità di accesso wireless integrato.

Analisi del MikroTik RDS2216: server convergente ARM64 16 core, 32 GB RAM, 20 slot U.2 NVMe, connettività mista fino a 100G QSFP28 e licenza RouterOS ROSE Edition.

Panoramica della famiglia CRS5xx/CRS8xx con porte QSFP28 100G e QSFP56-DD 400G: architettura, differenze tra modelli, scenari di impiego in data center, dorsali e backbone WISP.

Il CRS510-8XS-2XQ-IN combina 8 porte SFP28 25G e 2 uplink QSFP28 100G in un rack 1U compatto: specifiche, casi d'uso in aggregazione WISP e connettività con dorsale 100G.

Come nominare correttamente un router MikroTik con /system/identity e come ridurre la superficie d'attacco disabilitando i servizi non necessari e limitandone l'accesso per IP.

Come leggere in tempo reale CPU, RAM, storage, uptime, temperatura e tensione del router MikroTik con /system/resource e /system/health, e quali soglie tenere sotto controllo.

Come abilitare e configurare il client NTP in RouterOS v7 per mantenere l'orologio sempre preciso, con server multipli, monitoraggio dei peer e best practice di sicurezza.

Come configurare correttamente l'orologio interno di RouterOS, impostare il fuso orario e perché questa operazione è propedeutica a log affidabili e certificati TLS validi.

Come creare un'interfaccia bonding in RouterOS v7 per aggregare più link fisici in uno virtuale, aumentando la ridondanza con active-backup o la larghezza di banda con 802.3ad LACP.

Come usare /system/scheduler e /system/script per automatizzare un backup giornaliero della configurazione, salvarlo localmente e inviarlo via email, con gestione sicura delle credenziali.

Come configurare VRRP in RouterOS v7 per creare un gateway virtuale ridondante con un router master e un backup, garantendo continuità del servizio in caso di guasto.

Come configurare il watchdog hardware e software di RouterOS per riavviare automaticamente il router in caso di blocco del sistema o perdita di connettività verso un indirizzo critico.

Configurare il sistema di log di RouterOS per registrare eventi utili e inviarli in modo sicuro a un server syslog remoto, indispensabile per la diagnostica in ambienti WISP.

Monitorare temperatura, tensione e ventole del router, tenere sotto controllo CPU/memoria/disco e configurare il watchdog per riavvii automatici in caso di blocco del sistema.

Panoramica pratica degli strumenti diagnostici integrati in RouterOS per analizzare la connettività, il percorso dei pacchetti e il traffico in tempo reale su qualunque interfaccia.

Utilizzare il graphing integrato per visualizzare trend di CPU/traffico nel tempo, il profiler per identificare processi che consumano CPU, e il bandwidth-test per misurare il throughput reale — con le dovute cautele in produzione.

Usare Netwatch per monitorare la raggiungibilità di host critici (gateway, server, CPE clienti) ed eseguire script automatici al cambio di stato, abilitando reazioni proattive ai guasti.

Abilitare il monitoraggio SNMP su RouterOS usando esclusivamente SNMPv3 con autenticazione e cifratura, evitando le community string in chiaro che espongono il router a rischi gravi.

Metodologia strutturata per diagnosticare i problemi più comuni nei WISP MikroTik: assenza di internet, latenza elevata, PPPoE che non sale e apparati irraggiungibili.

Come visualizzare e gestire la tabella ARP e la MAC address table su RouterOS v7: voci statiche, protezione da ARP spoofing e MAC flooding, modalità ARP per interfacce di rete.

Cos'è un bridge in RouterOS, come crea un dominio Layer 2, come aggiungere porte e controllare la MAC address table (host table).

Come configurare velocità, modalità duplex, auto-negoziazione e MTU sulle interfacce fisiche di RouterOS v7. Fondamentale per evitare problemi di prestazione e frammentazione.

Come configurare il bonding in RouterOS v7 per aggregare più porte fisiche: modalità LACP (802.3ad), balance-xor e active-backup, monitoraggio link, hash policy e utilizzo con bridge.

Cos'è l'hardware offload su RouterOS, quando e come attivarlo con hw=yes, quali switch chip lo supportano e quali limitazioni esistono in scenari VLAN e bonding.

Come configurare Spanning Tree Protocol (STP/RSTP/MSTP) su RouterOS v7 per prevenire loop di rete, scegliere il root bridge, proteggere le porte access con BPDU guard e ottimizzare la convergenza.

Come configurare VLAN IEEE 802.1Q su RouterOS v7 usando bridge vlan-filtering: porte access con pvid, porte trunk tagged, interfacce L3 per routing inter-VLAN, e come non perdere l'accesso di gestione.

Come configurare QinQ (802.1ad) su RouterOS v7: doppio tag VLAN con ether-type 0x88a8 sul bridge provider, tag-stacking sulle porte customer, scenari tipici WISP/ISP.

Panoramica delle bande 2,4 GHz e 5 GHz, scelta del canale ottimale, larghezza di banda e gestione delle interferenze su RouterOS v7.

Come configurare correttamente WPA2 e WPA3 su RouterOS v7, perché il parametro country è obbligatorio per legge e come proteggere la rete wireless da attacchi comuni.

Guida completa alla configurazione di interfacce LTE/4G su RouterOS v7: aggiunta del profilo APN, verifica stato modem, failover automatico con routing e dual-SIM.

Confronto tra il nuovo driver wifi-qcom/wifiwave2 (RouterOS 7.13+) e il driver wireless legacy: funzionalità, comandi CLI e quando usare l'uno o l'altro.

Guida alle modalità operative dell'interfaccia wireless MikroTik: ap-bridge, station, bridge, station-wds. Configurazione pratica di AP e CPE client per reti WISP.

Configurazione completa di CAPsMAN per gestire in modo centralizzato decine di AP MikroTik: controller, CAP, provisioning automatico, datapath e sicurezza.

Configurazione di link punto-a-punto (PtP) e punto-multipunto (PtMP) con il protocollo proprietario MikroTik Nv2/TDMA per backhaul ad alte prestazioni su reti WISP.

Configurare il client DHCP su RouterOS per ricevere un indirizzo IP dinamico dall'ISP sulla porta WAN, con gestione del default route e DNS.

Configurare un server DHCP completo su RouterOS: pool di indirizzi, rete DHCP con gateway e DNS, lease dinamici e lease statici per MAC address.

Come assegnare indirizzi IPv4 alle interfacce RouterOS con notazione CIDR, gestire più IP sulla stessa interfaccia e interpretare correttamente la subnet mask.

Usare IP Cloud di MikroTik per ottenere un hostname DDNS gratuito che punta sempre all'IP pubblico del router, anche se dinamico, senza servizi esterni.

Configurare DHCP Relay su RouterOS per far comunicare client DHCP in subnet diverse con un unico server DHCP centralizzato, tipico in reti WISP multi-segmento.

Configurare il resolver DNS di RouterOS come cache locale per la LAN, aggiungere record statici, abilitare DNS over HTTPS (DoH) per privacy e proteggere il router da open resolver pubblico.

Usare la modalità ARP reply-only combinata con voci ARP statiche o lease DHCP statici per impedire ARP spoofing e IP hijacking sulle reti WISP.

Capire come funzionano UPnP e NAT-PMP su RouterOS, quando usarli, e perché in un contesto WISP o professionale rappresentano un rischio di sicurezza da valutare attentamente.

Spiega come RouterOS seleziona la rotta migliore nel RIB tramite distance e metric, come risolve il next-hop via scope/target-scope e la differenza tra RIB e FIB.

Configura rotte statiche, il default gateway IPv4/IPv6 e un failover automatico dual-WAN usando check-gateway=ping con distance differenziate.

Configura ECMP (Equal Cost Multi-Path) in RouterOS v7 per distribuire il traffico su più gateway ISP con la stessa distance, scegliendo la strategia di hash ottimale.

Configura OSPF v2 (IPv4) e v3 (IPv6) in RouterOS v7 tramite instance, area e interface-template. Tipi di rete, costo, DR/BDR election, stub area e redistribuzione di rotte statiche.

Implementa il policy routing in RouterOS v7 usando /routing/table per creare tabelle custom, mangle con action=mark-routing per marcare i flussi e routing rules per instradare traffico specifico su ISP dedicati.

Configura BGP v7 in RouterOS: creazione dell'instance, connessioni eBGP e iBGP con local.role, annuncio di prefissi con output.network e differenze fondamentali rispetto alla v6 (nessun /routing/bgp/instance implicito).

Padroneggia il sistema di route filter in RouterOS v7 con la sintassi script-like if/then/else, i matcher disponibili (dst, protocol, bgp-as-path, ecc.) e le azioni (accept, reject, set distance, set bgp-local-pref).

Configura VRF (Virtual Routing and Forwarding) in RouterOS v7 per isolare tabelle di routing per clienti o servizi diversi, con uso in contesto MPLS BGP VPN e assegnazione interfacce.

Il connection tracking permette a RouterOS di tenere traccia dello stato di ogni connessione di rete, abilitando un firewall stateful efficiente che distingue traffico legittimo da intrusioni.

Kid Control permette di associare dispositivi (via MAC address) a profili con orari di accesso settimanali e limiti di banda, creando dinamicamente regole firewall e code senza configurazione manuale.

Network Address Translation permette a una rete privata di condividere un singolo IP pubblico (srcnat/masquerade) e di esporre servizi interni su Internet (dstnat/port-forward), con la variante hairpin per i client LAN.

Capire l'ordine esatto in cui RAW, conntrack, mangle, NAT, filter e code elaborano ogni pacchetto è il prerequisito per scrivere regole firewall corrette ed efficaci.

Le address-list dinamiche con timeout escalante permettono di bloccare automaticamente gli attacchi brute-force su SSH e Winbox, con punizione progressiva: da 5 minuti fino a 1 giorno di blacklist.

Un ruleset firewall completo, commentato riga per riga, per proteggere il router MikroTik dalla WAN mantenendo piena operatività LAN. Include protezione Winbox/SSH con address-list admin e drop WAN totale.

Il modulo mangle permette di marcare connessioni e pacchetti per il QoS (Queue Tree), di implementare policy routing per load balancing o failover, e di modificare campi header come TTL e DSCP.

Il firewall RAW opera prima del connection tracking e del firewall filter, permettendo di scartare traffico massiccio (DDoS, bogon, amplification) a costo CPU minimo prima che entri nella tabella di connessioni.

Architettura QoS completa per WISP: HTB per garantire banda minima e massima a ogni cliente (limit-at/max-limit), PCQ per condivisione equa della banda condivisa, priorità VoIP, e gestione burst per traffico transiente.

PPTP è un protocollo VPN obsoleto con vulnerabilità crittografiche critiche. Questa pagina spiega perché non va usato e quali alternative adottare.

Panoramica dei protocolli VPN disponibili su MikroTik RouterOS v7: pro, contro e quando usare ciascuno, con una tabella comparativa e indicazioni di sicurezza.

Configura un tunnel WireGuard site-to-site su RouterOS v7: creazione interfaccia, scambio chiavi pubbliche, assegnazione IP, routing e regola firewall.

Configura RouterOS v7 come server L2TP/IPsec per client road warrior Windows, macOS e iOS: abilitazione server, PPP secrets, firewall e configurazione client.

Configura un server OpenVPN su RouterOS v7 con certificati TLS, pool IP, utenti PPP ed esportazione config client .ovpn. Supporta TCP e UDP, AES-256-GCM.

Configura SSTP su RouterOS v7 con certificato TLS, utile per attraversare firewall restrittivi. Configurazione server, certificati, utenti e client Windows.

Configura RouterOS v7 come server WireGuard per client mobili (laptop, smartphone): ogni client ha un indirizzo IP fisso nel tunnel e può raggiungere la rete locale.

Configurazione IPsec IKEv2 site-to-site su RouterOS v7 con cifrari moderni (AES-256-GCM, SHA-256, ECP256), regola srcnat per escludere il traffico VPN dal masquerading.

EoIP (Layer 2), GRE e IPIP (Layer 3) sono tunnel non cifrati: corretti per reti private, da proteggere obbligatoriamente con IPsec su reti pubbliche. Configurazione e best practice.

Configura un Hotspot WiFi con captive portal su RouterOS v7. Gestisci profili utente con banda e sessioni, whitelist IP, walled garden e integrazione RADIUS.

Imposta un server PPPoE su RouterOS v7 con profili differenziati per banda, pool IP e DNS. Ricetta end-to-end per attivare un cliente FWA.

Usa il pacchetto IoT di RouterOS v7 per pubblicare telemetria via MQTT e controllare pin GPIO. Integra RouterOS con piattaforme IoT come ThingsBoard o HomeAssistant.

Delega l'autenticazione PPPoE a un server RADIUS esterno o al User Manager locale. Configura accounting e aggiornamenti intermedi per tracciare le sessioni.

Configura RouterOS come client RADIUS per PPP, Hotspot e login admin. Panoramica degli attributi vendor MikroTik, accounting, disconnessione dinamica e RadSec TLS.

Installa e configura il User Manager integrato di RouterOS v7 come server RADIUS locale. Crea profili con rate-limit, limiti traffico e scadenze per clienti PPPoE e Hotspot.

Configura lo scanner BLE su RouterOS per leggere beacon Bluetooth (tag MikroTik, iBeacon, Eddystone) e inviare la telemetria via MQTT a piattaforme IoT.

Esegui container Docker/OCI su RouterOS v7 (ARM/ARM64/x86). Configura veth, montaggi, variabili d'ambiente e registry. Comprendi i rischi di sicurezza prima di procedere.