Sistema e alta affidabilitàBase

MikroTik Cloud: DDNS gratuito e Back To Home

Come usare il servizio IP Cloud di MikroTik per ottenere un nome DNS dinamico gratuito che segue l'IP pubblico del router, sincronizzare l'ora e abilitare Back To Home per l'accesso remoto sicuro.

Molti link di un WISP (e quasi tutte le connessioni dei clienti) hanno un IP pubblico dinamico che cambia nel tempo. Il servizio IP Cloud di MikroTik fornisce gratuitamente un nome DNS che segue automaticamente l'IP pubblico del router: comodissimo per raggiungere un apparato remoto, per i tunnel VPN verso CPE con IP variabile e per i certificati DNS.

Abilitare il DDNS gratuito

/ip/cloud — DDNS

# Abilita IP Cloud: assegna un nome DNS che punta all'IP pubblico del router
/ip/cloud set ddns-enabled=yes

# (Opzionale) sincronizza anche l'ora dal cloud MikroTik
# utile come fallback se NTP non è raggiungibile
/ip/cloud set update-time=yes

# Verifica: l'output mostra il nome DNS assegnato e l'IP pubblico rilevato
/ip/cloud print

# Output tipico:
#   ddns-enabled: yes
#   public-address: 93.45.x.y
#   dns-name: 1234567890ab.sn.mynetname.net
#   status: updated

Il nome assegnato ha la forma <seriale>.sn.mynetname.net e si aggiorna automaticamente quando l'IP pubblico cambia. Puoi usarlo come endpoint per VPN WireGuard/IPsec, come dns-name per Let's Encrypt (vedi sys-certificates) o semplicemente per raggiungere il router senza ricordare l'IP.

Attenzione al doppio NAT (CGNAT)

IP Cloud pubblica l'indirizzo che il router VEDE come pubblico. Se il tuo upstream usa CGNAT (Carrier-Grade NAT, IP condiviso 100.64.0.0/10), il nome punterà a un indirizzo non raggiungibile dall'esterno. In quei casi il DDNS non basta per l'accesso in entrata: serve un IP pubblico vero, una VPN in uscita, oppure il connettore on-prem WispOS (che lavora in uscita e supera il CGNAT). Verifica con /ip/cloud print che public-address sia un IP pubblico reale.

Back To Home (BTH): VPN gestita da MikroTik

Back To Home è un servizio del cloud MikroTik che crea una VPN WireGuard gestita: permette di raggiungere i dispositivi dietro il router da remoto (es. via app) senza configurare manualmente port-forward o tunnel. È pensato per accesso amministrativo e piccoli scenari, non per il traffico di produzione massivo.

/ip/cloud/back-to-home

# Abilita Back To Home (crea un'interfaccia WireGuard gestita dal cloud)
/ip/cloud/back-to-home set enabled=yes

# Genera/elenca gli utenti BTH (per collegare app/dispositivi)
/ip/cloud/back-to-home/users print

# Verifica lo stato del servizio
/ip/cloud/back-to-home print

Best practice: (1) IP Cloud invia il MAC/seriale del router a MikroTik per il DDNS — è un trade-off accettabile per la comodità, ma valutalo nella tua policy; (2) per l'accesso remoto amministrativo in un WISP, una VPN WireGuard tua (vedi categoria VPN) è più controllabile di BTH; (3) usa il DDNS come dns-name per Let's Encrypt solo se la porta 80 è raggiungibile (no CGNAT); (4) IP Cloud è gratuito e affidabile, ma dipende dai server MikroTik: per i servizi critici non costruire l'unica via di accesso su di esso — abbinalo sempre a un secondo metodo (RoMON, VPN, connettore on-prem).

ip cloudddnsdynamic dnsmikrotik cloudserial.sn.mynetname.netback to homebthaccesso remotoip pubblico dinamicoRouterOS

Continua con

Orologio di sistema: impostare data, ora e fuso orario NTP Client: sincronizzazione automatica dell'ora NTP Server interno: distribuire l'ora alla tua rete Identity e hardening dei servizi di gestione

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS