WispOSWispOS
Guida MikroTik
Sistema e alta affidabilitàIntermedio

RoMON: gestire i router senza IP, anche dietro NAT

Come usare RoMON (Router Management Overlay Network) per raggiungere e gestire apparati MikroTik a livello 2 — anche senza IP raggiungibile, dietro NAT o con configurazione errata — in sicurezza con password e ACL.

RoMON (Router Management Overlay Network) crea una rete di gestione di livello 2 tra apparati MikroTik: ogni router diventa un 'agente' che può raggiungere gli altri tramite il loro indirizzo MAC, indipendentemente dalla configurazione IP. È la salvezza quando hai sbagliato un IP/firewall e ti sei chiuso fuori, o per gestire apparati ancora senza configurazione.

Perché è utile a un WISP

  • Raggiungi un router anche se ha un IP errato o nessun IP (utile dopo un errore di configurazione remoto).
  • Gestisci apparati dietro NAT sulla stessa L2 senza port-forward.
  • Fai 'hop' da un router all'altro: ti colleghi a uno raggiungibile e raggiungi gli altri attraverso di esso.
  • Funziona in out-of-band rispetto al routing IP: anche se il routing è rotto, la gestione passa.

Abilitare RoMON in sicurezza

/tool/romon — abilitazione con secret
# Abilita RoMON e imposta un SECRET condiviso (obbligatorio in produzione)
# Tutti gli apparati dello stesso dominio RoMON devono avere lo STESSO secret
/tool/romon set enabled=yes secret="SegretoRoMON#WISP2026"

# Imposta un id RoMON leggibile (di default usa il MAC)
/tool/romon set id=00:00:00:00:00:01

# Verifica
/tool/romon print

Limitare RoMON alle sole interfacce di gestione

ACL delle porte RoMON
# Per default RoMON gira su tutte le interfacce: restringilo.
# Disabilita la regola di default che accetta tutte le porte
/tool/romon/port set [find default=yes] disabled=yes

# Consenti RoMON SOLO sull'interfaccia/uplink di gestione
/tool/romon/port add interface=ether1 cost=100 disabled=no \
    comment="RoMON solo verso la rete di gestione"

# Verifica le porte attive
/tool/romon/port print

Scoprire e raggiungere gli altri apparati

Discovery e accesso via RoMON
# Scopri tutti gli apparati RoMON raggiungibili (mostra MAC, id, identity, costo)
/tool/romon/discover

# Apri una sessione CLI verso un altro router via RoMON (per MAC)
/tool/mac-telnet [MAC-del-target]

# Da Winbox: scheda 'Neighbors' attiva 'RoMON', poi doppio-clic sull'apparato
# (Winbox tunnela la sessione attraverso il dominio RoMON)
Sicurezza RoMON: (1) imposta SEMPRE un secret forte — senza, chiunque sulla L2 entra nella rete di gestione; (2) restringi le porte RoMON alla sola rete di management con le ACL /tool/romon/port, MAI verso le subnet clienti o la WAN; (3) RoMON usa l'utente/permessi del router di destinazione, quindi la gestione utenti (sys-users-groups) resta la prima linea di difesa; (4) abbinalo a una porta/VLAN di management dedicata. RoMON è uno strumento potentissimo per il recovery remoto, ma esposto male diventa una backdoor di livello 2.
romonrouter management overlay networklayer 2 managementgestione senza ipwinbox romonmac-telnetsecretout-of-bandRouterOS

Continua con

Orologio di sistema: impostare data, ora e fuso orarioNTP Client: sincronizzazione automatica dell'oraNTP Server interno: distribuire l'ora alla tua reteIdentity e hardening dei servizi di gestione

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS