WispOSWispOS
Guida MikroTik
Diagnostica e monitoraggioAvanzato

Packet sniffer e analisi con Wireshark (TZSP)

Catturare il traffico con /tool/sniffer, salvarlo in PCAP o trasmetterlo in streaming a Wireshark via TZSP per l'analisi pacchetto-per-pacchetto: il livello di diagnosi più profondo di RouterOS.

Il packet sniffer (/tool/sniffer) è il tcpdump di RouterOS: cattura i pacchetti grezzi su una o più interfacce per l'analisi fine. Lo usi quando Torch e i log non bastano: capire perché un DHCP non assegna l'IP, vedere l'handshake TCP che non si completa, analizzare i pacchetti di un PPPoE che fallisce, indagare un MTU/MSS problematico.

Due modalità: file PCAP vs streaming live a Wireshark

Puoi salvare la cattura in un file PCAP sul router (poi lo scarichi e lo apri in Wireshark), oppure — molto più comodo per i WISP — fare streaming TZSP in tempo reale verso un PC con Wireshark in ascolto. TZSP (TaZmen Sniffer Protocol) incapsula i pacchetti catturati e li manda via UDP al tuo PC, dove li vedi scorrere live.

Metodo 1 — Cattura su file PCAP

Cattura mirata su file e download
# Configura la cattura: solo DHCP (porte 67/68 UDP) su bridge clienti
/tool/sniffer/set \
  interface=bridge-clienti \
  filter-ip-protocol=udp \
  filter-port=67,68 \
  filter-stream=yes \
  file-name=dhcp-debug.pcap \
  file-limit=20MB \
  memory-limit=10MB

# Avvia, riproduci il problema (es. CPE che non prende IP), poi ferma
/tool/sniffer/start
# ... attendi che il client tenti il DHCP ...
/tool/sniffer/stop

# Il file è in /file: scaricalo (WinBox > Files, o via SFTP) e aprilo in Wireshark
/file/print where name~"dhcp-debug"
filter-stream=yes insieme ai filtri filter-* evita di catturare TUTTO il traffico: su un router carico catturare senza filtri riempie la memoria in secondi e impatta la CPU. Filtra SEMPRE per interfaccia + protocollo/porta/IP prima di partire.

Metodo 2 — Streaming TZSP live a Wireshark

È il metodo preferito: vedi i pacchetti in tempo reale sul tuo PC, con tutta la potenza di filtri e dissectors di Wireshark, senza riempire lo storage del router. Sul PC apri Wireshark in ascolto sull'interfaccia di rete: Wireshark riconosce e de-incapsula automaticamente TZSP (porta UDP 37008).

Streaming TZSP verso il PC del tecnico
# Sul ROUTER: invia in streaming i pacchetti catturati al PC del tecnico
/tool/sniffer/set \
  interface=ether3-cliente \
  filter-stream=yes \
  filter-ip-address=10.50.7.33/32 \
  streaming-enabled=yes \
  streaming-server=192.168.88.100 \   ;# IP del PC con Wireshark
  streaming-port=37008

/tool/sniffer/start
# ... osserva i pacchetti scorrere in Wireshark ...
/tool/sniffer/stop
Filtro di visualizzazione in Wireshark
# In Wireshark, nel campo "display filter", per vedere solo il TZSP de-incapsulato:
tzsp
# Oppure, dopo che Wireshark ha de-incapsulato, filtra il traffico reale:
ip.addr == 10.50.7.33 && udp.port == 67

I filtri del sniffer (cosa catturare)

ParametroEsempioUso
interfaceether1, bridge-clienti, allDa quale interfaccia catturare
filter-ip-address10.50.7.33/32Solo questo IP (sorgente o destinazione)
filter-ip-protocoludp, tcp, icmpSolo questo protocollo L4
filter-port67,68,80,443Solo queste porte
filter-mac-addressAA:BB:CC:11:22:33Solo questo MAC (debug L2)
filter-operator-between-entriesand / orCome combinare i filtri
Parametri di filtro più utili di /tool/sniffer

Modalità quick — cattura veloce direttamente a terminale

Sniffer quick: output immediato in console
# Mostra a video i pacchetti che matchano, senza salvare file
/tool/sniffer/quick interface=ether1 ip-protocol=icmp

# Solo il traffico da/verso un cliente, in tempo reale a terminale
/tool/sniffer/quick interface=bridge-clienti ip-address=10.50.7.33

# Solo le richieste DNS in transito (porta 53)
/tool/sniffer/quick interface=ether1 ip-protocol=udp port=53
ATTENZIONE OFFLOAD. Come Torch, anche il sniffer può non vedere il traffico gestito in hardware (switch-chip, fasttrack). Se catturi su un bridge con hw-offload e non vedi i pacchetti attesi, prova a catturare sull'interfaccia fisica specifica, o disabilita temporaneamente il fasttrack per la diagnosi (ricordandoti di riabilitarlo).
  • DHCP non assegna IP → cattura porte 67/68 e guarda se passano Discover/Offer/Request/Ack
  • Sito HTTPS non si apre → cattura porta 443 verso quell'IP, guarda se l'handshake TCP (SYN/SYN-ACK) si completa
  • Sospetto MTU/MSS → cerca pacchetti frammentati o ICMP 'fragmentation needed'
  • Problema VoIP → cattura SIP (5060) e RTP, verifica jitter e perdita
  • Sempre: filtra prima di partire, e ferma il sniffer appena hai i dati (consuma CPU/RAM)
snifferpacket capturepcapwiresharktzsptcpdumpfilter-streamstreaminganalisi pacchettidhcp non funzionahandshakedeep inspection

Continua con

Logging e syslog remotoSNMP sicuro con SNMPv3Netwatch: monitoraggio host e automazioneStrumenti diagnostici: ping, traceroute, torch e packet sniffer

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS