MikroTik hAP ac² Test

Zusammenfassung Der MikroTik hAP ac² (RBD52G-5HacD2HnD-TC) ist ein kompakter Quad-Core-ARM-Router mit Dual-Band-Wi-Fi und vollem RouterOS-Funktionsumfang — bezahlbar genug für Home-Offices, leistungsfähig genug für kleine Niederlassungen. Er ist das richtige Werkzeug für typische SOHO- und SMB-Lasten und das falsche Werkzeug für schwere VPN-Aggregation oder dauerhafte Gigabit-Firewalls. Dieser Test deckt ab, was er gut macht, wo er an Grenzen stößt, lohnendes Wi-Fi-Tuning und die Härtungs-Checkliste vor dem Einsatz.

Was ist der MikroTik hAP ac²?

Der MikroTik hAP ac² (RBD52G-5HacD2HnD-TC) ist ein kompakter Desktop-Router, gebaut um ein Qualcomm IPQ-4018 Quad-Core-ARM-SoC, mit Dual-Band-Wi-Fi (2.4 GHz und 5 GHz), fünf Gigabit-Ethernet-Ports und dem vollen RouterOS-Funktionsumfang. Die Kombination sitzt in einem Preis-Leistungs-Sweetspot für SOHO- und SMB-Standorte — ein “echter Router” mit VLANs, Firewall, QoS, VPN und Monitoring in einer Box, die leise auf einem Bücherregal lebt.

Für einen Betreiber, der zwischen hAP ac² und größeren MikroTiks wählt, ist die Frage einfach: Kann er schnell routen, stabil und sicher unter Ihrer tatsächlichen Last bleiben? Für typische Home-Offices, Niederlassungen und Prosumer-Setups lautet die Antwort ja. Für hochdurchsatzfähige VPN-Aggregation, tiefes QoS bei Linerate oder volle BGP-Tabellen lautet die Antwort nein — siehe unseren RB5009-Test und hEX RB750Gr3-Test für die Aufstiegsoptionen.

Hardware und Architektur

Der hAP ac² ist um eine moderne ARM-Plattform für seine Preisklasse gebaut: Quad-Core IPQ-4018, Dual-Band-Wi-Fi, fünf Gigabit-Ethernet-Ports und RouterOS-Funktionen, die normalerweise in viel größeren Geräten zu finden sind. Drei praktische Implikationen sind am wichtigsten:

• Routing-Funktionen sind reichhaltig. VLANs, Firewall, QoS, VPN und Monitoring sind alle verfügbar.
• FastTrack ist ein großer Gewinn. Wenn Ihr Verkehrsmuster passt, verbessert FastTrack den Durchsatz drastisch bei geringerer CPU-Last — es ist der wirkungsvollste Konfigurationsknopf.
• Wi-Fi ist leistungsfähig, nicht magisch. Solide für Wohnungen und kleine Büros, aber Wände und Störungen gewinnen schließlich.

Leistung in echten Netzen

Leistungsbenchmarks lesen sich oft wie Anzeigetafeln. Wichtiger ist das tägliche Verhalten. Mit grundlegendem NAT plus Firewall bewältigt der hAP ac² typische Breitbandverbindungen komfortabel. Bei schwereren Diensten — mehrere VPN-Tunnel, Deep Packet Inspection, komplexe Warteschlangenbäume — steigt die CPU schnell, weil jedes Paket den langsamen Pfad durchläuft. FastTrack bei vertrauenswürdigem Verkehr entlastet die CPU für alles andere.

Eine praktische Regel: Wenn der Standort “Enterprise alles” gleichzeitig benötigt, planen Sie einen größeren Router. Wenn Ihre Bedürfnisse typisch SMB oder Prosumer sind, fühlt sich der hAP ac² flott an.

Wireless-Tuning, das wirklich hilft

Dual-Band-Wi-Fi ist der Hauptgrund, warum die meisten Käufer dieses Modell wählen. 5 GHz ist schneller, hat aber kürzere Reichweite; 2.4 GHz reicht weiter, ist aber oft überfüllt.

1. Stellen Sie den Router in einen offenen Bereich, nicht in einen Schrank.
2. Bevorzugen Sie 5 GHz für Laptops und Fernseher; behalten Sie 2.4 GHz für IoT.
3. Verwenden Sie WPA2/WPA3; vermeiden Sie veraltete Verschlüsselung.
4. Scannen Sie zuerst, wählen Sie dann den ruhigsten Kanal — drehen Sie die Kanalbreite nicht blind hoch.

Sicherheitshärtung

Die meisten Router-Vorfälle sind keine Zero-Days. Es sind übersprungene Grundlagen: alte Firmware, exponierte Admin-Dienste, schwache Passwörter oder zu permissive Firewall-Regeln. Das RouterOS-konforme Härtungsmuster:

/system package update check-for-updates
/system package update download
/system reboot

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set www-ssl disabled=no
set api disabled=yes
set api-ssl disabled=yes

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="allow established/related"
add chain=input action=drop connection-state=invalid comment="drop invalid"
add chain=input action=accept protocol=icmp comment="allow ping (optional)"
add chain=input action=drop in-interface-list=WAN comment="drop WAN input by default"

Geben Sie Winbox, SSH oder WebFig niemals direkt ins Internet frei. Verwenden Sie ein VPN oder ein vertrauenswürdiges Management-Netzwerk — siehe unsere Winbox-Sicherheits-Best-Practices für das breitere Härtungs-Playbook.

Wann der hAP ac² das falsche Werkzeug ist

Steigen Sie auf einen größeren MikroTik (CCR2004, RB5009) um, wenn Sie hochdurchsatzfähige VPN-Aggregation für viele Benutzer benötigen, schwere Warteschlangen und erweiterte Filterung auf gesättigten WANs, starke Wi-Fi-Abdeckung über mehrere Stockwerke ohne dedizierte APs, oder Sie planen, jede CPU-intensive Funktion gleichzeitig auf einer Gigabit-Verbindung zu aktivieren. In diesen Szenarien gestalten Sie den Standort mit einem leistungsfähigeren Router und dedizierten Zugriffspunkten, anstatt den hAP ac² zu bitten, alles zu tun.

Tipps

• Kombinieren Sie den hAP ac² mit dem WireGuard-Tutorial für sauberen Fernzugriff ohne OpenVPN-Overhead.
• Konfigurieren Sie DNS over HTTPS (siehe unseren DoH-Leitfaden), um den DNS-Pfad des LANs ohne Leistungskosten zu härten.
• Dokumentieren Sie das Management-VLAN und admin-beschränkte Quell-IPs ab Tag eins — nachträgliches Einbauen ist schwieriger, als Sie erwarten.

Machen Sie den nächsten Schritt

Selbst ein großartiger Router wird zur Kopfschmerz, wenn Sie ihn einzeln verwalten. MKController zentralisiert die langweilige-aber-wichtige Arbeit über viele hAP ac²-Einheiten hinweg: standardisierte Konfigurationsvorlagen, flottenweiter Status und Schlüsselmetriken in einem Dashboard, konsistente Firmware- und Sicherheitsposition über Standorte hinweg, und dokumentierte Vorlagen, die Stammeswissen ersetzen.

Wenn Sie eine Handvoll MikroTiks betreiben, funktioniert manuell. Bei fünf, zehn oder fünfzig zahlt sich die Orchestrierungsschicht beim ersten verhinderten Vorfall selbst aus.

Starten Sie Ihre kostenlose MKController-Testversion