WispOSWispOS
Guida MikroTik
VPN e tunnelAvanzato

Tunnel EoIP, GRE e IPIP: quando e come usarli in sicurezza

EoIP (Layer 2), GRE e IPIP (Layer 3) sono tunnel non cifrati: corretti per reti private, da proteggere obbligatoriamente con IPsec su reti pubbliche. Configurazione e best practice.

EoIP (Ethernet over IP), GRE (Generic Routing Encapsulation) e IPIP (IP-in-IP) sono protocolli di tunneling che *non includono crittografia*. Sono ideali per collegamenti interni (p.es. tra router MikroTik su fibra privata) o come trasporto da proteggere con IPsec.

AVVISO DI SICUREZZA: Non usare EoIP, GRE o IPIP su Internet senza cifratura IPsec. Il traffico è completamente in chiaro e suscettibile di intercettazione e iniezione di pacchetti.

EoIP — tunnel Ethernet Layer 2 (bridging)

EoIP con IPsec integrato (parametro ipsec-secret)
# Router A (IP WAN: 10.0.0.1)
/interface/eoip/add \
  name=eoip-siteB \
  tunnel-id=1 \
  remote-address=10.0.0.2 \
  ipsec-secret="SecretoPSK-EoIP!" \
  allow-fast-path=no \
  disabled=no

# Aggiungi a un bridge con la LAN locale
/interface/bridge/add name=bridge-lan
/interface/bridge/port/add bridge=bridge-lan interface=ether2
/interface/bridge/port/add bridge=bridge-lan interface=eoip-siteB

# Router B (speculare, tunnel-id=1 deve coincidere)
/interface/eoip/add \
  name=eoip-siteA \
  tunnel-id=1 \
  remote-address=10.0.0.1 \
  ipsec-secret="SecretoPSK-EoIP!" \
  allow-fast-path=no \
  disabled=no

GRE — tunnel Layer 3 con routing

GRE con IPsec e keepalive
# Crea tunnel GRE con cifratura IPsec automatica
/interface/gre/add \
  name=gre-siteB \
  local-address=10.0.0.1 \
  remote-address=10.0.0.2 \
  ipsec-secret="SecretoGRE-Forte!" \
  keepalive=10s,10

# Assegna IP al link del tunnel
/ip/address/add address=172.16.1.1/30 interface=gre-siteB

# Rotta verso la rete remota
/ip/route/add dst-address=192.168.2.0/24 gateway=172.16.1.2

IPIP — tunnel IP semplice, overhead minimo

IPIP con IPsec
# IPIP: overhead minimo (20 byte), senza header GRE
/interface/ipip/add \
  local-address=10.0.0.1 \
  remote-address=10.0.0.2 \
  ipsec-secret="SecretoIPIP!" \
  name=ipip-siteB

/interface/ipip/enable ipip-siteB

/ip/address/add address=172.16.2.1/30 interface=ipip-siteB
/ip/route/add dst-address=192.168.3.0/24 gateway=172.16.2.2
Il parametro ipsec-secret su EoIP, GRE e IPIP configura automaticamente una policy IPsec dinamica con PSK. Per scenari di produzione con alta sicurezza è preferibile configurare IPsec manualmente (IKEv2 + AES-GCM) per un controllo completo dei cifrari.
  • EoIP: solo MikroTik-to-MikroTik (proprietario), trasporto Layer 2, utile per estendere VLAN o bridging; MTU 1500 bytes, overhead 42 byte.
  • GRE: standard RFC 2784, interoperabile, Layer 3 (IP), supporta multicast e routing dinamico (OSPF/BGP sul tunnel); MTU default 1476.
  • IPIP: RFC 2003, overhead minimo (20 byte), nessun supporto multicast; il più leggero ma meno flessibile.
  • VXLAN: disponibile in RouterOS v7, standard RFC 7348, overlay Layer 2 su UDP porta 4789, adatto a ambienti datacenter/cloud.
eoipgreipiptunnellayer2bridgeipsecnon cifratoincapsulamentovxlantunnel-idkeepaliveipsec-secret

Continua con

Quale VPN scegliere su RouterOS?WireGuard: tunnel site-to-site tra due sedeWireGuard: accesso remoto road warriorIPsec IKEv2: tunnel site-to-site sicuro

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS