Guida MikroTik
Servizi di rete (DHCP, DNS…)Avanzato

ARP su RouterOS: reply-only e binding statici per la sicurezza

Usare la modalità ARP reply-only combinata con voci ARP statiche o lease DHCP statici per impedire ARP spoofing e IP hijacking sulle reti WISP.

Il protocollo ARP (Address Resolution Protocol) mappa gli indirizzi IP ai MAC address sulla rete locale. Per default RouterOS impara dinamicamente le associazioni IP-MAC, ma questo espone la rete ad attacchi di ARP spoofing (un host malevolo risponde falsamente alle richieste ARP). La modalità reply-only e i binding statici eliminano questo rischio.

Modalità ARP disponibili per le interfacce

ModalitàComportamentoUso tipico
enabled (default)Impara e risponde a tutte le richieste ARPLAN fidate
reply-onlyRisponde SOLO a IP con voce ARP statica; non impara nullaReti clienti WISP (anti-spoofing)
proxy-arpRisponde per conto di altri hostReti bridged, WDS, alcuni scenari VPN
local-proxy-arpRisponde sulla stessa interfaccia (isola i client tra loro)Hotspot, segmenti con client-isolation
disabledARP disattivato (servono voci statiche su tutti gli host)Casi molto particolari
Modalità ARP delle interfacce RouterOS

Configurare reply-only su un'interfaccia

Attivare ARP reply-only su bridge-lan
# Imposta reply-only sull'interfaccia LAN
/interface/bridge set bridge-lan arp=reply-only

# Oppure su un'interfaccia ethernet
/interface/ethernet set ether2 arp=reply-only

# Verifica
/interface/bridge print detail where name=bridge-lan
# Cerca: arp=reply-only

Aggiungere voci ARP statiche (binding MAC-IP)

Con reply-only attivo, il router risponde solo agli IP con una voce statica nella tabella ARP. Ogni client autorizzato deve avere la sua voce. Il metodo più semplice in un ambiente DHCP è combinare lease DHCP statici con add-arp=yes sul server DHCP.

/ip/arp — aggiungere voci statiche manualmente
# Voce statica per un CPE specifico
/ip/arp add \
  address=192.168.88.100 \
  mac-address=AA:BB:CC:DD:EE:FF \
  interface=bridge-lan \
  comment="CPE Rossi Mario - ID cliente 1042"

# Metodo alternativo: abilitare add-arp sul server DHCP
# (aggiunge automaticamente voci ARP per ogni lease statico)
/ip/dhcp-server set dhcp-lan add-arp=yes

# Verifica tabella ARP
/ip/arp print
# Le voci statiche mostrano 'S' nei flag, le dinamiche 'D'

Combinazione raccomandata per WISP

  • Assegna lease DHCP statici a tutti i CPE (MAC → IP fisso).
  • Imposta add-arp=yes sul server DHCP → crea automaticamente voci ARP statiche.
  • Imposta arp=reply-only sull'interfaccia rivolta verso i CPE.
  • Risultato: solo i CPE con MAC registrato ricevono risposta ARP e ottengono il loro IP. Un CPE non registrato o con MAC camuffato non funziona.
ORDINE DI ATTIVAZIONE: imposta PRIMA add-arp=yes e i lease statici (così le voci ARP statiche esistono già), POI attiva arp=reply-only. Se inverti l'ordine su una rete in produzione, stacchi tutti i client finché non rinnovano il lease. Fallo in finestra di manutenzione.
SICUREZZA: la combinazione arp=reply-only + lease statici DHCP + add-arp=yes è una difesa efficace contro ARP spoofing e IP hijacking nelle reti WISP. Non sostituisce una segmentazione VLAN per client, ma aggiunge un layer di controllo significativo senza costi aggiuntivi. Ricorda: un cliente che cambia manualmente il proprio IP non potrà comunicare con il router.
ARPARP spoofingreply-onlyARP staticosicurezza reteIP hijackingMAC bindingRouterOSip arpWISP securityproxy-arpadd-arp

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS