Aller au contenu
Blog

MikroTik hAP ac³ : Guide de préparation pour les CPE ISP

Résumé
Le MikroTik hAP ac³ est un CPE économique pour petits fournisseurs d’accès, avec un routage filaire quasi-gigabit grâce à FastTrack. Le WiFi 5 limite en zone saturée, la gestion des canaux et AP supplémentaires sont essentiels. RouterOS est flexible, mais mises à jour et sécurisation sont impératives.

MikroTik hAP ac³ : Guide de préparation pour CPE ISP

Architecture overview of the MikroTik hAP ac³ platform

Pourquoi les FAI s’intéressent encore aux détails “basiques” des CPE

Un CPE n’est pas juste “la boîte qui transforme la fibre en Wi‑Fi”. En déploiement, il est la première ligne pour expérience utilisateur et support. Si le routeur ne suit pas avec NAT, PPPoE ou règles de firewall, vous avez des tickets longs. Si le Wi‑Fi lâche en zone bruyante, mêmes problèmes. Et si le firmware est obsolète, ça empire.

Le hAP ac³ (RBD53iG‑5HacD2HnD) vise ce compromis : abordable, flexible, et suffisamment “FAI” pour une standardisation. L’évaluation technique montre de solides performances filaires et les atouts de RouterOS, avec des réserves pratiques sur WiFi 5 et sécurité opérationnelle.

Résumé matériel à expliquer à un technicien terrain

La plateforme repose sur un SoC ARM Qualcomm IPQ‑4019 quad-core, avec 256 Mo RAM et 128 Mo flash NAND. Elle intègre cinq ports Ethernet Gigabit en switching interne, plus un port USB 2.0 pour stockage ou clé 4G/LTE.

Deux antennes externes double-bande (2,4 GHz et 5 GHz) améliorent la couverture par rapport aux modèles à antennes internes. Néanmoins, un gain élevé ne défie pas la physique : on obtient généralement meilleure couverture horizontale que verticale, donc les maisons à étages peuvent nécessiter un AP supplémentaire.

Conseil : Pour les habitats à plusieurs étages, placez le routeur à mi-hauteur si possible. Sinon, préférez un AP connecté en filaire plutôt qu’un simple répéteur.

Débit filaire : FastTrack, votre meilleur allié

En routage/NAT filaire, le hAP ac³ atteint presque le gigabit dans de bonnes conditions, surtout avec l’accélération fast-path/FastTrack de RouterOS. Le message clé : « les fonctionnalités coûtent du CPU ». Peu de traitement — trafic rapide. Beaucoup de traitement — ralentissement.

Exemple de pare-feu simple pour CPE ISP

Gardez le firewall léger, explicite et cohérent. Pour un filtrage lourd, faites-le en amont si possible.

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

Attention : FastTrack peut contourner certaines fonctionnalités de file d’attente et comptabilisation. Si vous basez votre QoS par abonné sur le CPE, testez votre architecture d’abord.

Performances Wi‑Fi : bonnes pour WiFi 5, mais WiFi 5 reste WiFi 5

À courte distance en 5 GHz, l’évaluation montre un fort débit TCP pour un design 2×2 WiFi 5. C’est la bonne nouvelle.

La mauvaise, c’est que la performance WiFi est souvent limitée par l’environnement, pas par la fiche technique. En zones urbaines denses avec réseaux superposés, le 2,4 GHz est souvent la “dernière option”. Le débit réel chute fortement à cause d’interférences et contention du temps d’air.

Conseils de déploiement réduisant vraiment les tickets

  1. Privilégiez le 5 GHz pour la performance, mais ne forcez pas aveuglément. Certaines maisons ont besoin du 2,4 GHz pour la portée.
  2. Utilisez des canaux 20 MHz en 2,4 GHz. Des canaux plus larges posent souvent plus de problèmes.
  3. Employez du 80 MHz en 5 GHz uniquement si le spectre est propre, sinon 40 MHz.
  4. Pour une couverture totale, ajoutez un AP avec backhaul Ethernet.

Pour les déploiements RouterOS v7, pensez aux nouveaux paquets WiFi MikroTik (wifiwave2 / drivers Qualcomm) quand disponibles. Ils améliorent significativement débit et modes de sécurité modernes selon configuration.

VPN et gestion : ce qui compte pour les opérations ISP

Le hAP ac³ supporte IPsec avec accélération matérielle, utile pour tunnels sécurisés. RouterOS v7 ajoute WireGuard pour VPN modernes et plus simples.

Pour la gestion de flotte, l’approvisionnement standardisé peut changer la donne. RouterOS v7 intègre un client TR‑069, permettant une intégration avec un Auto Configuration Server (ACS) pour provisionnement et supervision à distance.

Pour allier “provisionnement massif” et “accessibilité instantanée derrière NAT/CGNAT”, pensez à compléter TR‑069 par une couche d’accès distant sécurisée. NatCloud de MKController facilite la connectivité inside-out sans redirection de ports. Voir guide interne : /docs/natcloud/getting-started.

Sécurité : l’appareil va bien, pas l’Internet

RouterOS est puissant, ce qui expose à des risques importants. L’évaluation rappelle la présence de vulnérabilités dans d’anciennes versions et la nécessité d’un patching rigoureux. Votre meilleur atout est la discipline :

  • Standardiser une configuration renforcée.
  • Désactiver services inutilisés (Telnet/FTP, API non utilisées).
  • Restreindre management à IPs de confiance ou VPN.
  • Effectuer les mises à jour depuis des canaux stables ou long-term.
  • Surveiller anomalies (SNMP/Syslog/NetFlow).

En complément, MikroTik documente FastTrack et ses limites dans sa doc officielle : https://help.mikrotik.com/docs/display/ROS/FastTrack

Note : « Sécurité par défaut » n’est pas égal à « sécurité ISP ». Un défaut sécurisé est bien, mais votre déploiement réclame une gouvernance reproductible.

Chauffe, fixation et le problème du “placard”

L’appareil est refroidi passivement, adapté aux environnements chauds, mais la circulation d’air reste clé. Évitez les armoires hermétiques et boîtiers muraux trop étroits. De petits ajustements de positionnement évitent instabilités prolongées et plaintes WiFi aléatoires.

Quand choisir le hAP ac³ et quand évoluer

Le hAP ac³ est un CPE pertinent pour des offres jusqu’à environ quelques centaines de Mbps avec demandes modérées en WiFi. Il brille si vous valorisez la flexibilité RouterOS, le tagging VLAN et l’intégration dans vos workflows de gestion.

Pensez à un routeur supérieur (ou matériel WiFi 6) si :

  • Les clients saturent régulièrement le gigabit avec firewall/QoS important.
  • Vous avez de nombreux clients WiFi simultanés par domicile ou bureau.
  • Vous avez besoin de meilleures performances en conditions radio denses.

Comment MKController aide : Si vous gérez de nombreux sites, MKController centralise la visibilité, standardise les configs et réduit les déplacements. Avec NatCloud, vous accédez aussi aux équipements derrière CGNAT sans exposer les ports, rendant le support distant rapide et sûr.

Vous n’avez pas trouvé ? Besoin d’aide pour standardiser un profil CPE pour votre déploiement ?

👉 Contactez notre équipe sur WhatsApp.