Quale VPN scegliere su RouterOS?

RouterOS v7 supporta numerosi protocolli VPN e di tunneling. La scelta dipende dal caso d'uso (accesso remoto, collegamento sede-sede, bridging L2), dal livello di sicurezza richiesto e dalla compatibilità con i client.

Tabella comparativa

• WireGuard — RACCOMANDATO: moderno, velocissimo, crittografia ChaCha20/Poly1305, configurazione semplice, built-in in RouterOS v7.1+. Ideale per site-to-site e road warrior.
• IPsec IKEv2 — standard industriale, interoperabile, cifrari moderni (AES-GCM, ChaCha20), ottimo per site-to-site tra apparati di vendor diversi. Configurazione più complessa.
• L2TP/IPsec — classico road warrior, nativo in Windows/macOS/iOS senza app aggiuntive. Doppia incapsulazione = overhead; da preferire solo per compatibilità client legacy.
• SSTP — tunneling PPP su TLS 1.2+ porta 443, utile dove i firewall bloccano UDP/ESP. Supportato nativamente in Windows.
• OpenVPN (OVPN) — molto diffuso, flessibile, richiede client di terze parti. RouterOS supporta TCP e UDP, AES-GCM.
• EoIP / GRE / IPIP — tunnel Layer 2/3 *non cifrati* proprietari/standard. Da combinare obbligatoriamente con IPsec se il traffico transita su reti non fidate.
• PPTP — DEPRECATO E INSICURO. Non usarlo in nessun caso su reti di produzione (vulnerabilità crittografiche gravi in MS-CHAPv2).

Porte e protocolli da aprire nel firewall

• WireGuard: UDP 13231 (configurabile)
• IPsec IKEv2: UDP 500 e 4500 (NAT-T), protocollo ESP (50)
• L2TP/IPsec: UDP 1701, 500, 4500, ESP
• SSTP: TCP 443
• OpenVPN: TCP o UDP 1194 (configurabile)
• PPTP: TCP 1723, protocollo GRE (47) — evitare