Guida MikroTik
VPN e tunnelBase

Quale VPN scegliere su RouterOS?

Panoramica dei protocolli VPN disponibili su MikroTik RouterOS v7: pro, contro e quando usare ciascuno, con una tabella comparativa e indicazioni di sicurezza.

RouterOS v7 supporta numerosi protocolli VPN e di tunneling. La scelta dipende dal caso d'uso (accesso remoto, collegamento sede-sede, bridging L2), dal livello di sicurezza richiesto e dalla compatibilità con i client.

Perché a un WISP serve una VPN. I tre scenari più comuni: (1) collegare i POP e le BTS tra loro o verso il NOC quando i link radio attraversano reti di terzi o Internet; (2) accesso remoto dei tecnici ai router di campo dietro NAT/CGNAT senza esporre Winbox sulla WAN; (3) trasporto L2 (VLAN clienti, OLT, segmenti di management) tra siti remoti come se fossero sullo stesso switch.

I protocolli in breve

  • WireGuard — RACCOMANDATO: moderno, velocissimo, crittografia ChaCha20/Poly1305, configurazione semplice, built-in in RouterOS v7.1+. Ideale per site-to-site (POP↔NOC) e road warrior (tecnici).
  • IPsec IKEv2 — standard industriale, interoperabile, cifrari moderni (AES-GCM, ChaCha20), ottimo per site-to-site tra apparati di vendor diversi. Configurazione più complessa.
  • L2TP/IPsec — classico road warrior, nativo in Windows/macOS/iOS senza app aggiuntive. Doppia incapsulazione = overhead; da preferire solo per compatibilità client legacy.
  • SSTP — tunneling PPP su TLS 1.2+ porta 443, utile dove i firewall bloccano UDP/ESP. Supportato nativamente in Windows.
  • OpenVPN (OVPN) — molto diffuso, flessibile, richiede client di terze parti. RouterOS supporta TCP e UDP, AES-GCM.
  • EoIP / GRE / IPIP — tunnel Layer 2/3 *non cifrati* proprietari/standard. Da combinare obbligatoriamente con IPsec se il traffico transita su reti non fidate.
  • VXLAN — overlay L2 su UDP, adatto a topologie multi-sito moderne e a trasportare molte VLAN clienti su un singolo tunnel.
  • PPTP — DEPRECATO E INSICURO. Non usarlo in nessun caso su reti di produzione (vulnerabilità crittografiche gravi in MS-CHAPv2).
ProtocolloLayerCifraturaNAT-friendlyCaso d'uso WISP
WireGuardL3ChaCha20/Poly1305Ottimo (UDP)POP↔NOC, tecnici, IP dinamici
IPsec IKEv2L3AES-GCM / ChaCha20Buono (NAT-T)Site-to-site multi-vendor
L2TP/IPsecL2/PPPAES (via IPsec)Buono (NAT-T)Road warrior client legacy
SSTPPPP/TLSTLS 1.2+Eccellente (TCP 443)Reti ostili, hotel, hotspot
OpenVPNL2/L3AES-GCM (TLS)BuonoClient di terze parti
EoIPL2No (solo con IPsec)Medio (GRE)Bridging VLAN tra POP
GREL3No (solo con IPsec)Medio (proto 47)Routing dinamico tra siti
VXLANL2No (solo con IPsec)Ottimo (UDP)Molte VLAN, multi-sito
PPTPPPPMPPE/RC4 (rotto)Scarso (GRE)NESSUNO — deprecato
Confronto rapido protocolli VPN su RouterOS v7
Regola d'oro: se puoi scegliere liberamente, usa WireGuard. Se devi interoperare con apparati di terze parti su standard aperti, usa IPsec IKEv2. Non usare mai PPTP.

Porte e protocolli da aprire nel firewall

  • WireGuard: UDP 13231 (configurabile)
  • IPsec IKEv2: UDP 500 e 4500 (NAT-T), protocollo ESP (50)
  • L2TP/IPsec: UDP 1701, 500, 4500, ESP
  • SSTP: TCP 443
  • OpenVPN: TCP o UDP 1194 (configurabile)
  • VXLAN: UDP 8472 (RouterOS default) o 4789 (IANA)
  • PPTP: TCP 1723, protocollo GRE (47) — evitare
WireGuard e IPsec usano UDP, tollerano meglio il NAT traversal. SSTP su TCP 443 è il più permissivo (quasi nessun firewall lo blocca), ma TCP-over-TCP degrada le performance.

Considerazioni di performance (importanti per i WISP)

  • Fast Path / FastTrack: WireGuard e IPsec con hardware encryption (chip Marvell/IPQ sulle CCR/RB con enc) raggiungono gigabit; il tunneling software (EoIP/GRE puro) satura la CPU su apparati piccoli.
  • Hardware accelerato: le CCR2004/CCR2116 hanno acceleratore IPsec hardware. Verifica con /system/resource/print e con /ip/ipsec/installed-sa/print che le SA usino l'engine HW.
  • MTU: ogni tunnel aggiunge overhead (vedi articolo dedicato). Su link radio già limitati, l'overhead VPN può causare frammentazione e crolli di throughput se non gestito con MSS clamping.

Vedi anche: WireGuard site-to-site, IPsec IKEv2, Confronto tunnel (EoIP/GRE/IPIP/VXLAN) e MTU e MSS sui tunnel.

vpnwireguardipsecl2tpsstpovpnopenvpnpptpeoipgretunnelconfrontocomparisonsceltaroadwarriorsite-to-sitewisppopbtsaccesso remoto

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS