MikroTik: configurazione base del router per casa e piccolo ufficio
Guida pratica alla prima configurazione di un router MikroTik: accesso, setup WAN/LAN, DHCP, NAT e Wi-Fi in meno di 30 minuti.
MikroTik è uno dei brand più diffusi tra ISP e professionisti di rete, ma i suoi dispositivi — basati su RouterOS — si trovano sempre più spesso anche in ambito domestico e nelle piccole aziende. L'interfaccia non è intuitiva come quella di un router consumer, ma offre un controllo granulare su ogni aspetto della rete. Questa guida copre la configurazione iniziale partendo da zero.
Accesso iniziale: Winbox o WebFig
RouterOS si gestisce in tre modi:
- Winbox — client Windows/Linux (via Wine) che si connette via MAC address anche senza IP configurato
- WebFig — interfaccia web su
192.168.88.1(IP predefinito factory) - SSH/Telnet — per chi preferisce la CLI
Winbox è lo strumento consigliato per la configurazione iniziale: scaricalo da mikrotik.com/download, avvialo, clicca su Neighbors e il router apparirà anche se non ha ancora un IP assegnato. Usa admin come username, password vuota o quella stampata sul dispositivo.
Reset e stato di fabbrica
Se il router viene da un'altra configurazione, parti da zero:
/system reset-configuration no-defaults=yes skip-backup=yes
no-defaults=yes elimina anche le regole predefinite (firewall, DHCP, NAT), così hai una base pulita. Dopo il reset riavvia e riconnettiti via Winbox tramite MAC address.
Configurazione interfacce WAN e LAN
Su un router MikroTik tipico (es. hEX, RB4011), ether1 è la porta WAN:
# Assegna IP dinamico alla WAN (se il tuo ISP usa DHCP) /ip dhcp-client add interface=ether1 disabled=no # Oppure IP statico fornito dal tuo ISP /ip address add address=81.29.157.X/24 interface=ether1 /ip route add gateway=81.29.157.1 # Bridge LAN: raggruppa ether2-ether5 in un bridge /interface bridge add name=bridge-lan /interface bridge port add interface=ether2 bridge=bridge-lan /interface bridge port add interface=ether3 bridge=bridge-lan /interface bridge port add interface=ether4 bridge=bridge-lan /interface bridge port add interface=ether5 bridge=bridge-lan # Assegna IP al bridge (gateway locale) /ip address add address=192.168.1.1/24 interface=bridge-lan
Server DHCP per la LAN
# Pool di indirizzi da assegnare ai client /ip pool add name=pool-lan ranges=192.168.1.10-192.168.1.254 # Server DHCP /ip dhcp-server add name=dhcp-lan interface=bridge-lan address-pool=pool-lan lease-time=1d disabled=no # Opzioni DHCP (gateway e DNS) /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 dns-server=1.1.1.1,8.8.8.8
NAT masquerade (accesso a Internet)
Senza questa regola i client LAN non raggiungono Internet:
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Firewall minimo
RouterOS di default (con no-defaults) non ha regole firewall. Aggiungine almeno le fondamentali:
# Accetta connessioni stabilite/correlate (ottimizzazione performance) /ip firewall filter add chain=input connection-state=established,related action=accept /ip firewall filter add chain=forward connection-state=established,related action=accept # Blocca accesso esterno alla gestione del router /ip firewall filter add chain=input in-interface=ether1 action=drop # Blocca traffico forward non autorizzato dall'esterno /ip firewall filter add chain=forward in-interface=ether1 connection-state=new action=drop
Queste tre regole bloccano connessioni inbound da WAN mantenendo tutto il traffico uscente e di ritorno funzionante.
DNS locale e sicurezza
# Abilita resolver DNS interno (facoltativo ma comodo) /ip dns set allow-remote-requests=yes servers=1.1.1.1,9.9.9.9 # Blocca accesso al DNS da WAN (sicurezza) /ip firewall filter add chain=input in-interface=ether1 dst-port=53 protocol=udp action=drop /ip firewall filter add chain=input in-interface=ether1 dst-port=53 protocol=tcp action=drop
Wi-Fi (solo modelli con radio integrata)
Sui dispositivi con wireless integrato (es. hAP ac²):
/interface wireless set wlan1 mode=ap-bridge ssid="VelixHome" band=2ghz-g/n frequency=auto /interface wireless set wlan2 mode=ap-bridge ssid="VelixHome-5G" band=5ghz-a/n/ac frequency=auto /interface wireless security-profiles add name=home authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key=PASSWORD_QUI /interface wireless set wlan1 security-profile=home /interface wireless set wlan2 security-profile=home /interface bridge port add interface=wlan1 bridge=bridge-lan /interface bridge port add interface=wlan2 bridge=bridge-lan
Cambio password admin e backup
# Cambia password admin /user set admin password="NuovaPasswordSicura" # Esporta configurazione (backup testo) /export file=backup-config
Il file viene salvato in /backup-config.rsc sulla memoria del router — scaricalo via Winbox > Files per conservarlo.
Differenze rispetto ai router consumer
| Aspetto | Router consumer | MikroTik RouterOS |
|---|---|---|
| Configurazione | Wizard guidato | Manuale o script |
| Flessibilità | Limitata | Completa |
| Aggiornamenti | Automatici | Manuali (consigliati) |
| Firewall | Basico/trasparente | Stateful completo |
| VLAN, QoS, BGP | Non disponibili | Nativi |
| Curva di apprendimento | Bassa | Media-alta |
MikroTik vale la complessità aggiuntiva quando hai bisogno di VLAN per separare IoT dalla rete principale, QoS per dare priorità al VoIP, o semplicemente vuoi capire cosa fa davvero il tuo router.
Aggiornamento firmware
/system package update check-for-updates /system package update download /system reboot
Tieni sempre RouterOS aggiornato: le vulnerabilità sui MikroTik sono storicamente sfruttate in modo aggressivo (botnet Meris, 2021).
Vuoi portare Velix a casa tua?
Verifica la copertura FTTH al tuo indirizzo in 30 secondi. Gratis, senza impegno.
Verifica copertura →