SNMP-Monitoring für MikroTik

Zusammenfassung SNMP ist die De-facto-Grundlage für das Monitoring von MikroTik-Routern — Uptime, Interface-Counter, CPU, Speicher, Temperatur und Link-Status, abgefragt von einem NMS wie Zabbix, LibreNMS oder PRTG. Dieser Leitfaden behandelt die SNMPv2c- und SNMPv3-Konfiguration auf RouterOS, das Testen mit snmpwalk, NMS-Integrationsmuster und die Härtungs-Checkliste, die SNMP in großem Maßstab nützlich hält, ohne zur Sicherheitslast zu werden.

Wie überwacht SNMP MikroTik-Router?

SNMP (Simple Network Management Protocol) ist der Standardmechanismus zum Überwachen von Netzwerkgeräten. Ein NMS pollt das Gerät auf UDP-Port 161 nach OIDs, die in MIBs (Management Information Bases) definiert sind, und das Gerät liefert standardisierte Werte für Uptime, Interface-Counter, CPU-Last, Speichernutzung, Temperaturen und Hardware-Status zurück. Auf dem MikroTik kostet das Aktivieren von SNMP zwei Befehle und liefert sofort nützliche Telemetrie — sysUpTimeInstance, ifInOctets, ifOutOctets und der Rest der Standard-SNMP-Tabelle stehen jedem NMS zur Verfügung, das fragt.

SNMP ist die Lese-Seite der Netzwerktelemetrie; für Konfigurationsmanagement verwende TR-069, TR-369 (USP) oder gerätespezifische APIs. Genau diese saubere Trennung zwischen Beobachtung und Steuerung macht es sicher, SNMP einem NMS auszusetzen — read-only by design, vendorübergreifend standardisiert und stabil über Jahrzehnte des Netzwerkbetriebs. Für ergänzende Management-Protokolle siehe unseren TR-369-USP-Leitfaden und den Intelbras-SNMP-Monitoring-Leitfaden.

Die richtige SNMP-Version wählen

Bevorzuge stets SNMPv3, wenn das NMS es unterstützt. Wenn du v1 oder v2c einsetzen musst (Legacy-NMS, Embedded-Einschränkungen), beschränke den Zugriff streng nach Quell-IP und behandle den Community-String als öffentliches Geheimnis, nicht als echte Credential.

SNMP auf dem MikroTik aktivieren

Das Minimum, um SNMPv2c vom Terminal aus zum Laufen zu bringen:

/snmp set enabled=yes
/snmp community add name=monitor-public addresses=192.0.2.10/32 security=none
/snmp print

Ersetze 192.0.2.10/32 durch die tatsächliche Quell-IP deines NMS. Lass niemals 0.0.0.0/0 oder die Default-Community public im Produktivbetrieb — offen exponiertes SNMPv2c ist in realen Audits eine wiederkehrende Quelle für unbefugte Datenexfiltration.

SNMPv3-Beispiel (empfohlen)

Lege einen Benutzer mit Authentifizierung und Privatsphäre (Verschlüsselung) an:

/snmp user add name=snmpv3user security=authPriv \
    auth-protocol=SHA1 auth-passphrase="AuthPass" \
    priv-protocol=AES priv-passphrase="PrivPass"

Prüfe:

/snmp print
/snmp user print

Sammlung mit snmpwalk testen

Validere von einem Linux-Host aus, der den Router auf UDP 161 erreicht, dass SNMP antwortet. Erst SNMPv2c:

snmpwalk -v2c -c monitor-public 192.168.88.1

SNMPv3:

snmpwalk -v3 -u snmpv3user -a SHA -A AuthPass -x AES -X PrivPass 192.168.88.1

Erwartete Ausgabe: ein Schwall an OIDs, darunter sysUpTimeInstance, Interface-Counter wie ifInOctets und ifOutOctets und der System-Deskriptor. Timeouts deuten fast immer auf eines von drei Dingen: die Credentials (Community oder v3) passen nicht, eine Firewall blockiert UDP 161, oder die Quell-IP steht nicht in der erlaubten Adressliste auf dem MikroTik.

In ein NMS integrieren

Wähle ein NMS, das zu Größe und Betriebsablauf passt.

• Zabbix — am stärksten für große, hochgradig anpassbare Deployments mit komplexen Alarmierungsbäumen.
• LibreNMS — einfacheres SNMP-Discovery und gute Out-of-the-box-Templates für MikroTik.
• PRTG Network Monitor — kommerziell, benutzerfreundlich, sensorbasierte Lizenzierung.

Das grundsätzliche Onboarding ist plattformübergreifend gleich:

1. Den Host mit der Management-IP des Routers hinzufügen.
2. Ein SNMP-Template zuweisen (oder Items für die OIDs definieren, die dich interessieren).
3. Polling-Intervalle konfigurieren (60 s für Traffic, 5 min für langsamere Metriken).
4. Trigger und Alarme für Bedingungen wie Link Down, hohe Fehlerrate oder CPU über Schwellwert erstellen.

Starte mit einem kleinen Satz essenzieller Metriken — Uptime, Interface-Durchsatz, Fehler, CPU — bevor du erweiterst. Datenbank-Blähung durch wahlloses Polling ist ein realer Betriebskostenfaktor.

Geräte hinter dem MikroTik überwachen

Der MikroTik kann als lokaler SNMP-Sammler für nachgelagerte Geräte fungieren:

/tool snmp-walk address=192.168.88.10 community=public

Damit lassen sich Kameras, Switches, USVs oder PoE-Geräte im LAN entdecken und ihre Metriken über den Router an das zentrale NMS weiterleiten. Besonders nützlich, wenn die nachgelagerten Geräte hinter einer Firewall-Schicht sitzen, die das NMS nicht direkt erreicht.

Skalierung: Proxys, Discovery, Automatisierung

Im Flottenmaßstab funktioniert manuelles Host-Onboarding nicht mehr. Verwende Zabbix Proxy (oder Äquivalent), um Metriken aus entfernten Regionen einzusammeln — das reduziert Latenz und zentralisiert die Aggregation. Aktiviere SNMP-Discovery, damit neue Geräte sich automatisch im NMS einfügen, statt manuell angelegt zu werden. Automatisiere das Provisioning per Skript oder Configuration Management — wenn ein neuer MikroTik online geht, sollte er innerhalb von Minuten gepollt werden, nicht erst nach Tagen.

Sicherheits-Best-Practices

• Nutze SNMPv3, wann immer das NMS es unterstützt.
• Beschränke den Zugriff per Quell-IP — nur NMS und Proxys sollten Geräte abfragen.
• Niemals Default-Community-Strings verwenden (public, private).
• Sammle nur die Metriken, die du wirklich brauchst. Weniger gepollte Daten heißt weniger Last und weniger Angriffsfläche.
• Auditieren der SNMP-Nutzungslogs und Rotation der v3-Credentials im selben Rhythmus wie die übrigen Credentials.

SNMP (insbesondere v1/v2c) ohne Quell-Beschränkung dem öffentlichen Internet auszusetzen, ist ein großes Sicherheitsrisiko. Für breiteren Kontext zur Sicherheit der Management-Ebene siehe unseren Artikel zu den Winbox-Sicherheits-Best-Practices.

Anwendungsfall im ISP-Maßstab

Mit 500 MikroTik-Routern, die über Kundenstandorte verteilt sind, liefert SNMP pro Gerät Uptime- und CPU-Historie, Erkennung von Bandbreitenfressern pro Kunde über Interface-Counter, Erkennung sterbender Interfaces über steigende Fehler- und Discard-Raten sowie automatische Alarme an Slack, Telegram oder E-Mail, wenn Geräte offline gehen. Automatische Alarme an den richtigen Schwellwerten sparen Stunden reaktiver Arbeit und verhindern die Eskalationen, die entstehen, wenn Probleme erst durch Kundenbeschwerden auffallen.

SNMP vs. moderne Telemetrie

SNMP ist stabil, ausgereift und überall unterstützt. Neuere Methoden — gRPC-Streaming-Telemetrie, NetFlow/IPFIX, OpenConfig — liefern reichere Daten mit geringerem Polling-Overhead, aber SNMP bleibt die Interoperabilitäts-Basis, die jedes NMS und jeder Vendor spricht. Die richtige Antwort für die meisten Betriebe lautet, SNMP für stetes, vendor-neutrales Polling mit neuerer Telemetrie dort zu kombinieren, wo hochauflösende Analytik oder Sub-Sekunden-Ereigniserkennung gefragt ist.

Mach den nächsten Schritt

SNMP hält Netzwerke beobachtbar und Operatoren bei Verstand. Aktiviere es mit Bedacht, bevorzuge SNMPv3, teste mit snmpwalk und docke an ein NMS an, das zu deiner Größe passt. Klein anfangen, iterieren und den Onboarding-Fluss automatisieren.

Wenn du den NMS-Aufbau lieber komplett überspringst, kombiniert MKController SNMP-basiertes Monitoring mit sicherem Remote-Zugriff über die ausgehenden Tunnel von NATCloud — zentralisierte Sichtbarkeit, einfacheres Onboarding und Remote-Sessions zu MikroTik-Flotten ohne öffentliche IPs oder offene Ports. Für ergänzende Remote-Management-Muster siehe unseren Leitfaden zur VPS-basierten Verwaltung und den WireGuard-Remote-Management-Leitfaden.

Starte deine kostenlose MKController-Testphase