Primo accesso: WinBox, WebFig, SSH e REST API
Come connettersi al router per la prima volta con tutti gli strumenti disponibili, e quando usare ciascuno.
Credenziali di default
Alla consegna, ogni dispositivo MikroTik ha utente admin con password vuota (oppure stampata sull'etichetta nei modelli recenti, e in tal caso va inserita al primo login). Il router risponde all'indirizzo 192.168.88.1 con un bridge su tutte le porte LAN e DHCP attivo. Collega il PC a una porta LAN (di solito ether2 o successive), NON a ether1 che è la WAN. Se prendi un IP 192.168.88.x via DHCP, sei sulla rete giusta.
| Strumento | Trasporto | Quando usarlo |
|---|---|---|
| WinBox | TCP 8291 / MAC L2 | Configurazione manuale quotidiana, la GUI più completa |
| WebFig | HTTP 80 / HTTPS 443 | Accesso rapido da browser, senza installare nulla |
| SSH | TCP 22 | Scripting, automazione, accesso remoto sicuro |
| REST API | HTTPS 443 /rest | Integrazioni software (OSS/BSS, WISP Manager) |
| MAC-Telnet / MAC-WinBox | Layer 2 | Recovery quando l'IP non è raggiungibile |
WinBox: lo strumento principale
WinBox è l'applicazione desktop (Windows nativo; beta Linux/macOS; Wine altrove) che offre l'interfaccia grafica più completa per RouterOS. Scaricalo SOLO da mikrotik.com/download. Supporta connessione via IP (preferita, cifrata) o via indirizzo MAC (utile quando l'IP non è ancora configurato: usa broadcast L2 sulla stessa rete, quindi funziona anche se hai sbagliato il piano di indirizzamento).
- Tab Neighbors: scopre automaticamente i MikroTik nella rete locale (protocollo MNDP) — vedi MAC, identità, modello e versione anche senza IP raggiungibile
- Safe Mode (pulsante in alto o F9): annulla le modifiche se la sessione cade — indispensabile per lavori da remoto sul firewall
- Drag & drop file: carica/scarica file da/verso il router (backup, .rsc, certificati, pacchetti)
- Monitoraggio traffico real-time su interfacce, regole firewall e queue
- Autenticazione cifrata (WinBox 3.14+); la sessione non viaggia mai in chiaro come Telnet
WebFig: accesso da browser
WebFig è l'interfaccia web integrata, accessibile puntando il browser a http://192.168.88.1. Non richiede software aggiuntivo e le funzionalità sono quasi identiche a WinBox. Per un accesso sicuro abilita HTTPS (servizio www-ssl): il browser non si fida del certificato self-signed del router, quindi dovrai importare manualmente la CA del router nel sistema operativo, oppure accettare l'eccezione. In produzione meglio limitare WebFig agli IP di gestione (vedi articolo sull'hardening dei servizi).
SSH: automazione e scripting
SSH (porta TCP 22 di default) è ideale per amministrazione remota, script automatici e integrazione con sistemi di gestione. Supporta autenticazione con chiave pubblica, molto più sicura della password: una volta importata la chiave, puoi disabilitare il login con password e azzerare i tentativi a forza bruta. Abilita anche strong-crypto per usare cifrari e scambio chiavi a 256 bit.
# Da terminale del PC: connessione SSH base ssh admin@192.168.88.1 # SSH su porta non standard (se hai spostato il servizio) ssh -p 2222 myadmin@192.168.88.1 # Su RouterOS: abilita strong-crypto (cifrari 256-bit, SHA256, DH/EC robusti) /ip/ssh/set strong-crypto=yes # Importa chiave pubblica SSH per l'utente myadmin # Prima copia id_ed25519.pub sul router (WinBox drag&drop o SCP) /user/ssh-keys/import public-key-file=id_ed25519.pub user=myadmin # Da ora puoi entrare senza password con: ssh -i id_ed25519 myadmin@IP
REST API: integrazione programmatica (v7)
RouterOS v7 introduce una REST API nativa su HTTPS (porta 443, path /rest/). Restituisce JSON ed è compatibile con qualsiasi linguaggio. Richiede che il servizio www-ssl sia attivo con un certificato configurato. È il metodo che WispOS usa (tramite il connettore on-prem) per leggere stato, sospendere/riattivare i clienti e fare discovery: per questo è importante abilitarla in modo corretto e protetto.
# Su RouterOS: genera un certificato self-signed e assegnalo a www-ssl
/certificate/add name=local-cert common-name=router.local key-size=2048
/certificate/sign local-cert
/ip/service/set www-ssl disabled=no certificate=local-cert
# Dal PC: recupera la lista interfacce via REST (-k accetta self-signed)
curl -k -u myadmin:Password https://192.168.88.1/rest/interface
# Esempio risposta JSON:
# [{"name":"ether1","type":"ether","running":"true",...}, ...]
# Disabilita una secret PPPoE via REST (PATCH per .id)
curl -k -u myadmin:Password -X PATCH \
https://192.168.88.1/rest/ppp/secret/*1 \
-H "content-type: application/json" -d '{"disabled":"yes"}'Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS