WispOSWispOS
Guida MikroTik
Diagnostica e monitoraggioIntermedio

SNMP sicuro con SNMPv3

Abilitare il monitoraggio SNMP su RouterOS usando esclusivamente SNMPv3 con autenticazione e cifratura, evitando le community string in chiaro che espongono il router a rischi gravi.

SNMP (Simple Network Management Protocol) consente ai sistemi di monitoraggio (Zabbix, PRTG, Grafana/SNMP Exporter) di interrogare lo stato del router: CPU, memoria, traffico per interfaccia, stato delle porte, ecc. SNMPv1 e v2c trasmettono la community string in chiaro: chiunque abbia accesso alla rete può leggerla e, se è abilitata la write-access, persino modificare la configurazione del router via SNMP.

AVVISO CRITICO: La community public è il default di RouterOS ed è nota a qualunque scanner. Disabilitarla o rinominarla è il primo passo. In produzione usare SEMPRE SNMPv3 con security=private (authPriv), che garantisce autenticazione SHA1 e cifratura AES.

Passo 1 — Abilitare SNMP e impostare identità

Abilitazione SNMP base
# Abilita SNMP e imposta info del router (appaiono nel MIB)
/snmp/set   enabled=yes   contact="noc@esempio.it"   location="POP Roma - Rack 3"   engine-id=""         ;# lascia vuoto: RouterOS lo genera automaticamente

# Verifica
/snmp/print

Passo 2 — Rimuovere la community pubblica, aggiungere SNMPv3

Configurazione SNMPv3 authPriv (raccomandato)
# Elimina la community "public" insicura (numero 0 di default)
/snmp/community/remove 0

# Aggiunge community SNMPv3 con autenticazione SHA1 e cifratura AES
/snmp/community/add   name=wisp-monitor   security=private   authentication-protocol=SHA1   authentication-password=AuthPass_min8chars!   encryption-protocol=AES   encryption-password=PrivPass_min8chars!   addresses=10.10.0.0/24     ;# solo le IP del tuo sistema di monitoraggio
  read-access=yes   write-access=no

# Verifica
/snmp/community/print detail
Il parametro addresses è fondamentale: limita chi può interrogare il router via SNMP. Imposta sempre l'IP o la subnet del tuo Zabbix/PRTG/Grafana. Il write-access=no è la default sicura; abilitare la scrittura solo se strettamente necessario e consapevolmente.

Passo 3 — Configurare i trap SNMP

Trap SNMPv3 verso il server di monitoraggio
# Invia trap quando un'interfaccia cambia stato (link up/down)
/snmp/set   trap-target=10.10.0.5   trap-version=3   trap-community=wisp-monitor   trap-generators=interfaces   trap-interfaces=all

OID principali per WISP

  • 1.3.6.1.2.1.1.3.0 — sysUpTime (uptime del router)
  • 1.3.6.1.2.1.2.2.1.* — tabella interfacce (status, traffico rx/tx, errori)
  • 1.3.6.1.4.1.14988.1.1.3.* — CPU e memoria (MikroTik enterprise MIB)
  • 1.3.6.1.4.1.14988.1.1.14.* — BGP peer status (MikroTik)
  • 1.3.6.1.4.1.14988.1.1.1.* — interfacce wireless (segnale, CCQ, client)
  • Per scoprire l'OID di qualunque voce: /[menu]/print oid da CLI
Trovare OID da CLI
# Mostra gli OID di tutte le interfacce
/interface/print oid

# Mostra OID risorse di sistema
/system/resource/print oid

# Mostra OID interfacce wireless
/interface/wireless/print oid
snmpsnmpv3snmp communitymonitoringoidmibauthprivaesshazabbixgrafanaprometheustrap

Continua con

Logging e syslog remotoNetwatch: monitoraggio host e automazioneStrumenti diagnostici: ping, traceroute, torch e packet snifferGraphing, profiler CPU e bandwidth-test

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS