Tunnel su link radio: MTU, jitter e stabilità nei WISP

Nei WISP la VPN viaggia quasi sempre su un ponte radio (PtP/PtMP MikroTik o Ubiquiti). Rispetto alla fibra, il radio introduce tre nemici: MTU ridotta, latenza/jitter variabili e perdita di pacchetti quando il link degrada (pioggia, interferenze, saturazione). La scelta del protocollo e dei parametri fa la differenza tra un tunnel stabile e uno che cade di continuo.

Quale protocollo su radio

• WireGuard — prima scelta: UDP leggero, riprende all'istante dopo un buco di pacchetti, niente rinegoziazione costosa. Reagisce bene al jitter.
• IPsec/GRE — ok, ma la perdita di pacchetti può far cadere le SA se il DPD è troppo aggressivo; allenta dpd-interval su link instabili.
• Evita SSTP e OpenVPN-TCP su radio con perdite: il TCP-over-TCP innesca ritrasmissioni a cascata (meltdown) e crolla il throughput proprio quando il link soffre. Se devi usarli, preferisci la variante UDP (OpenVPN-UDP).

MTU: somma gli overhead

Il ponte radio ha già una sua MTU effettiva (la catena wireless + eventuali VLAN/tag riduce i 1500 nominali). Sopra ci metti l'overhead della VPN. Se non gestisci la cosa, ottieni frammentazione proprio sul tratto più fragile. Soluzione: MSS clamping sulle interfacce tunnel (vedi articolo dedicato) e MTU del tunnel impostata conservativa.

# Forza segmenti TCP piccoli così non si frammenta sul radio
/ip/firewall/mangle/add chain=forward protocol=tcp tcp-flags=syn \
  out-interface=wg-bts action=change-mss new-mss=clamp-to-pmtu \
  comment="MSS clamp verso BTS radio"
/ip/firewall/mangle/add chain=forward protocol=tcp tcp-flags=syn \
  in-interface=wg-bts action=change-mss new-mss=clamp-to-pmtu \
  comment="MSS clamp da BTS radio"

# MTU conservativa sul tunnel
/interface/wireguard/set wg-bts mtu=1400

Tenere vivo il tunnel su link che oscilla

# WireGuard: keepalive frequente per riprendere dopo i buchi
/interface/wireguard/peers/set [find interface=wg-bts] persistent-keepalive=15

# IPsec: DPD meno aggressivo per non far cadere la SA su perdite temporanee
/ip/ipsec/profile/set [find name=ike2-profile] \
  dpd-interval=60s dpd-maximum-failures=8

Proteggere il management dalla congestione

Se il tunnel di management condivide il radio col traffico clienti, quando il link satura perdi l'accesso proprio quando ti serve. Marca e dai priorità al traffico VPN di gestione con una queue, così resta raggiungibile anche a link pieno.

# Marca il traffico del tunnel di management (porta WireGuard 13231)
/ip/firewall/mangle/add chain=forward protocol=udp port=13231 \
  action=mark-connection new-connection-mark=mgmt-vpn passthrough=yes
/ip/firewall/mangle/add chain=forward connection-mark=mgmt-vpn \
  action=mark-packet new-packet-mark=mgmt-vpn passthrough=no

# Coda con priorità alta e banda minima garantita
/queue/tree/add name=mgmt-vpn parent=global packet-mark=mgmt-vpn \
  priority=1 limit-at=2M max-limit=10M