Guida MikroTik
Primi passi e gestioneBase

Primo accesso: WinBox, WebFig, SSH e REST API

Come connettersi al router per la prima volta con tutti gli strumenti disponibili, e quando usare ciascuno.

Credenziali di default

Alla consegna, ogni dispositivo MikroTik ha utente admin con password vuota (oppure stampata sull'etichetta nei modelli recenti, e in tal caso va inserita al primo login). Il router risponde all'indirizzo 192.168.88.1 con un bridge su tutte le porte LAN e DHCP attivo. Collega il PC a una porta LAN (di solito ether2 o successive), NON a ether1 che è la WAN. Se prendi un IP 192.168.88.x via DHCP, sei sulla rete giusta.

StrumentoTrasportoQuando usarlo
WinBoxTCP 8291 / MAC L2Configurazione manuale quotidiana, la GUI più completa
WebFigHTTP 80 / HTTPS 443Accesso rapido da browser, senza installare nulla
SSHTCP 22Scripting, automazione, accesso remoto sicuro
REST APIHTTPS 443 /restIntegrazioni software (OSS/BSS, WISP Manager)
MAC-Telnet / MAC-WinBoxLayer 2Recovery quando l'IP non è raggiungibile
Strumenti di accesso a RouterOS: quando usare ciascuno.

WinBox: lo strumento principale

WinBox è l'applicazione desktop (Windows nativo; beta Linux/macOS; Wine altrove) che offre l'interfaccia grafica più completa per RouterOS. Scaricalo SOLO da mikrotik.com/download. Supporta connessione via IP (preferita, cifrata) o via indirizzo MAC (utile quando l'IP non è ancora configurato: usa broadcast L2 sulla stessa rete, quindi funziona anche se hai sbagliato il piano di indirizzamento).

  • Tab Neighbors: scopre automaticamente i MikroTik nella rete locale (protocollo MNDP) — vedi MAC, identità, modello e versione anche senza IP raggiungibile
  • Safe Mode (pulsante in alto o F9): annulla le modifiche se la sessione cade — indispensabile per lavori da remoto sul firewall
  • Drag & drop file: carica/scarica file da/verso il router (backup, .rsc, certificati, pacchetti)
  • Monitoraggio traffico real-time su interfacce, regole firewall e queue
  • Autenticazione cifrata (WinBox 3.14+); la sessione non viaggia mai in chiaro come Telnet

WebFig: accesso da browser

WebFig è l'interfaccia web integrata, accessibile puntando il browser a http://192.168.88.1. Non richiede software aggiuntivo e le funzionalità sono quasi identiche a WinBox. Per un accesso sicuro abilita HTTPS (servizio www-ssl): il browser non si fida del certificato self-signed del router, quindi dovrai importare manualmente la CA del router nel sistema operativo, oppure accettare l'eccezione. In produzione meglio limitare WebFig agli IP di gestione (vedi articolo sull'hardening dei servizi).

SSH: automazione e scripting

SSH (porta TCP 22 di default) è ideale per amministrazione remota, script automatici e integrazione con sistemi di gestione. Supporta autenticazione con chiave pubblica, molto più sicura della password: una volta importata la chiave, puoi disabilitare il login con password e azzerare i tentativi a forza bruta. Abilita anche strong-crypto per usare cifrari e scambio chiavi a 256 bit.

SSH — connessione e hardening
# Da terminale del PC: connessione SSH base
ssh admin@192.168.88.1

# SSH su porta non standard (se hai spostato il servizio)
ssh -p 2222 myadmin@192.168.88.1

# Su RouterOS: abilita strong-crypto (cifrari 256-bit, SHA256, DH/EC robusti)
/ip/ssh/set strong-crypto=yes

# Importa chiave pubblica SSH per l'utente myadmin
# Prima copia id_ed25519.pub sul router (WinBox drag&drop o SCP)
/user/ssh-keys/import public-key-file=id_ed25519.pub user=myadmin

# Da ora puoi entrare senza password con: ssh -i id_ed25519 myadmin@IP

REST API: integrazione programmatica (v7)

RouterOS v7 introduce una REST API nativa su HTTPS (porta 443, path /rest/). Restituisce JSON ed è compatibile con qualsiasi linguaggio. Richiede che il servizio www-ssl sia attivo con un certificato configurato. È il metodo che WispOS usa (tramite il connettore on-prem) per leggere stato, sospendere/riattivare i clienti e fare discovery: per questo è importante abilitarla in modo corretto e protetto.

REST API — abilitazione ed esempio
# Su RouterOS: genera un certificato self-signed e assegnalo a www-ssl
/certificate/add name=local-cert common-name=router.local key-size=2048
/certificate/sign local-cert
/ip/service/set www-ssl disabled=no certificate=local-cert

# Dal PC: recupera la lista interfacce via REST (-k accetta self-signed)
curl -k -u myadmin:Password https://192.168.88.1/rest/interface

# Esempio risposta JSON:
# [{"name":"ether1","type":"ether","running":"true",...}, ...]

# Disabilita una secret PPPoE via REST (PATCH per .id)
curl -k -u myadmin:Password -X PATCH \
  https://192.168.88.1/rest/ppp/secret/*1 \
  -H "content-type: application/json" -d '{"disabled":"yes"}'
Regola pratica: WinBox per la configurazione manuale quotidiana, SSH per scripting e automazione, REST API (o connettore WispOS) per integrazioni con software esterni. Disabilita SEMPRE Telnet e l'API non cifrata (porta 8728) in produzione: trasmettono le credenziali in chiaro. Per il recupero in caso di IP bloccato, conserva l'accesso MAC-WinBox sulla sola interfaccia di management.
winboxwebfigsshrest apiprimo accessocredenziali defaultadmin192.168.88.1mac addressmac telnetneighborssafe modecertificato

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS