Guida MikroTik
Diagnostica e monitoraggioIntermedio

SNMP sicuro con SNMPv3

Abilitare il monitoraggio SNMP su RouterOS usando esclusivamente SNMPv3 con autenticazione e cifratura, evitando le community string in chiaro che espongono il router a rischi gravi.

SNMP (Simple Network Management Protocol) consente ai sistemi di monitoraggio (Zabbix, LibreNMS, PRTG, Grafana/SNMP Exporter) di interrogare lo stato del router: CPU, memoria, traffico per interfaccia, stato delle porte, ecc. SNMPv1 e v2c trasmettono la community string in chiaro: chiunque abbia accesso alla rete può leggerla e, se è abilitata la write-access, persino modificare la configurazione del router via SNMP.

Perché SNMP è il pilastro del monitoraggio WISP: mentre Netwatch ti dice solo up/down, SNMP raccoglie metriche continue (Mbps per porta, CPU, temperatura, segnale radio) che il tuo sistema NMS trasforma in grafici storici. Quando un cliente dice "la sera va piano", i grafici SNMP del traffico sul backhaul ti dicono in 10 secondi se il link è saturo nelle ore di punta.

AVVISO CRITICO: La community public è il default di RouterOS ed è nota a qualunque scanner. Disabilitarla o rinominarla è il primo passo. In produzione usare SEMPRE SNMPv3 con security=private (authPriv), che garantisce autenticazione SHA1 e cifratura AES.

Passo 1 — Abilitare SNMP e impostare identità

Abilitazione SNMP base
# Abilita SNMP e imposta info del router (appaiono nel MIB)
/snmp/set \
  enabled=yes \
  contact="noc@esempio.it" \
  location="POP Roma - Rack 3" \
  engine-id=""         ;# lascia vuoto: RouterOS lo genera automaticamente

# Verifica
/snmp/print

Passo 2 — Rimuovere la community pubblica, aggiungere SNMPv3

Configurazione SNMPv3 authPriv (raccomandato)
# Elimina la community "public" insicura (numero 0 di default)
/snmp/community/remove 0

# Aggiunge community SNMPv3 con autenticazione SHA1 e cifratura AES
/snmp/community/add \
  name=wisp-monitor \
  security=private \
  authentication-protocol=SHA1 \
  authentication-password=AuthPass_min8chars! \
  encryption-protocol=AES \
  encryption-password=PrivPass_min8chars! \
  addresses=10.10.0.0/24 \    ;# solo le IP del tuo sistema di monitoraggio
  read-access=yes \
  write-access=no

# Verifica
/snmp/community/print detail
Il parametro addresses è fondamentale: limita chi può interrogare il router via SNMP. Imposta sempre l'IP o la subnet del tuo Zabbix/PRTG/Grafana. Il write-access=no è la default sicura; abilitare la scrittura solo se strettamente necessario e consapevolmente. Aggiungi comunque una regola firewall in chain=input che accetti UDP/161 solo dalle IP del NOC e droppi il resto.
Proteggere SNMP anche col firewall
# Accetta SNMP solo dalla rete del monitoraggio, poi droppa il resto
/ip/firewall/filter/add chain=input protocol=udp dst-port=161 \
  src-address=10.10.0.0/24 action=accept comment="SNMP da NOC"
/ip/firewall/filter/add chain=input protocol=udp dst-port=161 \
  action=drop comment="SNMP negato da altri"

Passo 3 — Configurare i trap SNMP

Trap SNMPv3 verso il server di monitoraggio
# Invia trap quando un'interfaccia cambia stato (link up/down)
/snmp/set \
  trap-target=10.10.0.5 \
  trap-version=3 \
  trap-community=wisp-monitor \
  trap-generators=interfaces \
  trap-interfaces=all

OID principali per WISP

OIDCosa misuraNote
1.3.6.1.2.1.1.3.0sysUpTimeUptime del router; un calo segnala un reboot
1.3.6.1.2.1.2.2.1.10/.16ifInOctets / ifOutOctetsTraffico rx/tx per interfaccia (counter 32 bit)
1.3.6.1.2.1.31.1.1.1.6/.10ifHCInOctets / ifHCOutOctetsCounter 64 bit: usali su link > 100 Mbps
1.3.6.1.2.1.2.2.1.14/.20ifInErrors / ifOutErrorsErrori L2: indispensabili per i backhaul radio
1.3.6.1.4.1.14988.1.1.3.*CPU, memoria, temperaturaMikroTik enterprise MIB
1.3.6.1.4.1.14988.1.1.1.*Wireless: segnale, CCQ, clientSolo apparati wireless MikroTik
1.3.6.1.4.1.14988.1.1.14.*BGP peer statusStato sessioni BGP (MikroTik)
OID più usati per il monitoraggio MikroTik
Trovare OID da CLI
# Mostra gli OID di tutte le interfacce
/interface/print oid

# Mostra OID risorse di sistema
/system/resource/print oid

# Mostra OID interfacce wireless
/interface/wireless/print oid

# Mostra OID di una singola voce (es. health hardware)
/system/health/print oid
Sui link veloci (backhaul a 1 Gbps) usa SEMPRE i counter a 64 bit (ifHCInOctets/ifHCOutOctets): i counter a 32 bit fanno overflow ogni ~34 secondi a 1 Gbps, producendo grafici di traffico assurdi. Tutti gli NMS moderni li usano di default, ma verificalo se i grafici 'saltano'.
snmpsnmpv3snmp communitymonitoringoidmibauthprivaesshazabbixgrafanaprometheustraplibrenmsprtgpolling

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS