SNMP sicuro con SNMPv3
Abilitare il monitoraggio SNMP su RouterOS usando esclusivamente SNMPv3 con autenticazione e cifratura, evitando le community string in chiaro che espongono il router a rischi gravi.
SNMP (Simple Network Management Protocol) consente ai sistemi di monitoraggio (Zabbix, LibreNMS, PRTG, Grafana/SNMP Exporter) di interrogare lo stato del router: CPU, memoria, traffico per interfaccia, stato delle porte, ecc. SNMPv1 e v2c trasmettono la community string in chiaro: chiunque abbia accesso alla rete può leggerla e, se è abilitata la write-access, persino modificare la configurazione del router via SNMP.
Perché SNMP è il pilastro del monitoraggio WISP: mentre Netwatch ti dice solo up/down, SNMP raccoglie metriche continue (Mbps per porta, CPU, temperatura, segnale radio) che il tuo sistema NMS trasforma in grafici storici. Quando un cliente dice "la sera va piano", i grafici SNMP del traffico sul backhaul ti dicono in 10 secondi se il link è saturo nelle ore di punta.
public è il default di RouterOS ed è nota a qualunque scanner. Disabilitarla o rinominarla è il primo passo. In produzione usare SEMPRE SNMPv3 con security=private (authPriv), che garantisce autenticazione SHA1 e cifratura AES.Passo 1 — Abilitare SNMP e impostare identità
# Abilita SNMP e imposta info del router (appaiono nel MIB) /snmp/set \ enabled=yes \ contact="noc@esempio.it" \ location="POP Roma - Rack 3" \ engine-id="" ;# lascia vuoto: RouterOS lo genera automaticamente # Verifica /snmp/print
Passo 2 — Rimuovere la community pubblica, aggiungere SNMPv3
# Elimina la community "public" insicura (numero 0 di default) /snmp/community/remove 0 # Aggiunge community SNMPv3 con autenticazione SHA1 e cifratura AES /snmp/community/add \ name=wisp-monitor \ security=private \ authentication-protocol=SHA1 \ authentication-password=AuthPass_min8chars! \ encryption-protocol=AES \ encryption-password=PrivPass_min8chars! \ addresses=10.10.0.0/24 \ ;# solo le IP del tuo sistema di monitoraggio read-access=yes \ write-access=no # Verifica /snmp/community/print detail
addresses è fondamentale: limita chi può interrogare il router via SNMP. Imposta sempre l'IP o la subnet del tuo Zabbix/PRTG/Grafana. Il write-access=no è la default sicura; abilitare la scrittura solo se strettamente necessario e consapevolmente. Aggiungi comunque una regola firewall in chain=input che accetti UDP/161 solo dalle IP del NOC e droppi il resto.# Accetta SNMP solo dalla rete del monitoraggio, poi droppa il resto /ip/firewall/filter/add chain=input protocol=udp dst-port=161 \ src-address=10.10.0.0/24 action=accept comment="SNMP da NOC" /ip/firewall/filter/add chain=input protocol=udp dst-port=161 \ action=drop comment="SNMP negato da altri"
Passo 3 — Configurare i trap SNMP
# Invia trap quando un'interfaccia cambia stato (link up/down) /snmp/set \ trap-target=10.10.0.5 \ trap-version=3 \ trap-community=wisp-monitor \ trap-generators=interfaces \ trap-interfaces=all
OID principali per WISP
| OID | Cosa misura | Note |
|---|---|---|
| 1.3.6.1.2.1.1.3.0 | sysUpTime | Uptime del router; un calo segnala un reboot |
| 1.3.6.1.2.1.2.2.1.10/.16 | ifInOctets / ifOutOctets | Traffico rx/tx per interfaccia (counter 32 bit) |
| 1.3.6.1.2.1.31.1.1.1.6/.10 | ifHCInOctets / ifHCOutOctets | Counter 64 bit: usali su link > 100 Mbps |
| 1.3.6.1.2.1.2.2.1.14/.20 | ifInErrors / ifOutErrors | Errori L2: indispensabili per i backhaul radio |
| 1.3.6.1.4.1.14988.1.1.3.* | CPU, memoria, temperatura | MikroTik enterprise MIB |
| 1.3.6.1.4.1.14988.1.1.1.* | Wireless: segnale, CCQ, client | Solo apparati wireless MikroTik |
| 1.3.6.1.4.1.14988.1.1.14.* | BGP peer status | Stato sessioni BGP (MikroTik) |
# Mostra gli OID di tutte le interfacce /interface/print oid # Mostra OID risorse di sistema /system/resource/print oid # Mostra OID interfacce wireless /interface/wireless/print oid # Mostra OID di una singola voce (es. health hardware) /system/health/print oid
Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS