Quale VPN scegliere su RouterOS?
Panoramica dei protocolli VPN disponibili su MikroTik RouterOS v7: pro, contro e quando usare ciascuno, con una tabella comparativa e indicazioni di sicurezza.
RouterOS v7 supporta numerosi protocolli VPN e di tunneling. La scelta dipende dal caso d'uso (accesso remoto, collegamento sede-sede, bridging L2), dal livello di sicurezza richiesto e dalla compatibilità con i client.
Perché a un WISP serve una VPN. I tre scenari più comuni: (1) collegare i POP e le BTS tra loro o verso il NOC quando i link radio attraversano reti di terzi o Internet; (2) accesso remoto dei tecnici ai router di campo dietro NAT/CGNAT senza esporre Winbox sulla WAN; (3) trasporto L2 (VLAN clienti, OLT, segmenti di management) tra siti remoti come se fossero sullo stesso switch.
I protocolli in breve
- WireGuard — RACCOMANDATO: moderno, velocissimo, crittografia ChaCha20/Poly1305, configurazione semplice, built-in in RouterOS v7.1+. Ideale per site-to-site (POP↔NOC) e road warrior (tecnici).
- IPsec IKEv2 — standard industriale, interoperabile, cifrari moderni (AES-GCM, ChaCha20), ottimo per site-to-site tra apparati di vendor diversi. Configurazione più complessa.
- L2TP/IPsec — classico road warrior, nativo in Windows/macOS/iOS senza app aggiuntive. Doppia incapsulazione = overhead; da preferire solo per compatibilità client legacy.
- SSTP — tunneling PPP su TLS 1.2+ porta 443, utile dove i firewall bloccano UDP/ESP. Supportato nativamente in Windows.
- OpenVPN (OVPN) — molto diffuso, flessibile, richiede client di terze parti. RouterOS supporta TCP e UDP, AES-GCM.
- EoIP / GRE / IPIP — tunnel Layer 2/3 *non cifrati* proprietari/standard. Da combinare obbligatoriamente con IPsec se il traffico transita su reti non fidate.
- VXLAN — overlay L2 su UDP, adatto a topologie multi-sito moderne e a trasportare molte VLAN clienti su un singolo tunnel.
- PPTP — DEPRECATO E INSICURO. Non usarlo in nessun caso su reti di produzione (vulnerabilità crittografiche gravi in MS-CHAPv2).
| Protocollo | Layer | Cifratura | NAT-friendly | Caso d'uso WISP |
|---|---|---|---|---|
| WireGuard | L3 | ChaCha20/Poly1305 | Ottimo (UDP) | POP↔NOC, tecnici, IP dinamici |
| IPsec IKEv2 | L3 | AES-GCM / ChaCha20 | Buono (NAT-T) | Site-to-site multi-vendor |
| L2TP/IPsec | L2/PPP | AES (via IPsec) | Buono (NAT-T) | Road warrior client legacy |
| SSTP | PPP/TLS | TLS 1.2+ | Eccellente (TCP 443) | Reti ostili, hotel, hotspot |
| OpenVPN | L2/L3 | AES-GCM (TLS) | Buono | Client di terze parti |
| EoIP | L2 | No (solo con IPsec) | Medio (GRE) | Bridging VLAN tra POP |
| GRE | L3 | No (solo con IPsec) | Medio (proto 47) | Routing dinamico tra siti |
| VXLAN | L2 | No (solo con IPsec) | Ottimo (UDP) | Molte VLAN, multi-sito |
| PPTP | PPP | MPPE/RC4 (rotto) | Scarso (GRE) | NESSUNO — deprecato |
Porte e protocolli da aprire nel firewall
- WireGuard: UDP 13231 (configurabile)
- IPsec IKEv2: UDP 500 e 4500 (NAT-T), protocollo ESP (50)
- L2TP/IPsec: UDP 1701, 500, 4500, ESP
- SSTP: TCP 443
- OpenVPN: TCP o UDP 1194 (configurabile)
- VXLAN: UDP 8472 (RouterOS default) o 4789 (IANA)
- PPTP: TCP 1723, protocollo GRE (47) — evitare
Considerazioni di performance (importanti per i WISP)
- Fast Path / FastTrack: WireGuard e IPsec con hardware encryption (chip Marvell/IPQ sulle CCR/RB con
enc) raggiungono gigabit; il tunneling software (EoIP/GRE puro) satura la CPU su apparati piccoli. - Hardware accelerato: le CCR2004/CCR2116 hanno acceleratore IPsec hardware. Verifica con
/system/resource/printe con/ip/ipsec/installed-sa/printche le SA usino l'engine HW. - MTU: ogni tunnel aggiunge overhead (vedi articolo dedicato). Su link radio già limitati, l'overhead VPN può causare frammentazione e crolli di throughput se non gestito con MSS clamping.
Vedi anche: WireGuard site-to-site, IPsec IKEv2, Confronto tunnel (EoIP/GRE/IPIP/VXLAN) e MTU e MSS sui tunnel.
Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS