Aller au contenu
MKController Blog
InstagramYouTubeFacebook

Review

Guide MikroTik hAP ac³ pour CPE FAI

Évaluation pratique du MikroTik hAP ac³ comme CPE FAI — débit filaire, limites WiFi 5, pare-feu de base FAI et durcissement opérationnel.

MKController7 min read

Résumé Le MikroTik hAP ac³ (RBD53iG-5HacD2HnD) est un CPE FAI rentable au routage filaire proche du Gigabit lorsque FastTrack est activé. Le WiFi 5 est le principal limiteur dans un éther saturé, donc la planification des canaux et l’ajout de points d’accès comptent plus que la fiche technique. La flexibilité de RouterOS est le différenciateur ; la discipline opérationnelle — mises à jour, baseline de pare-feu, durcissement du management — n’est pas négociable lorsque ce périphérique réside en bordure client sur une flotte entière.

Vue d'ensemble de la plateforme CPE FAI MikroTik hAP ac³

À quoi sert le MikroTik hAP ac³ dans les déploiements FAI ?

Le MikroTik hAP ac³ (RBD53iG-5HacD2HnD) est un CPE ARM quadricœur construit autour d’un SoC Qualcomm IPQ-4019, associé à 256 Mo de RAM, 128 Mo de NAND, cinq ports Gigabit Ethernet sur une matrice de commutation interne, un port USB 2.0 (stockage ou dongle 4G/LTE) et un Wi-Fi 5 bi-bande (2,4 GHz et 5 GHz) avec deux antennes externes. Pour les FAI, il vise un point d’équilibre propre : suffisamment abordable pour être standardisé dans un déploiement résidentiel, capable de routage filaire proche du Gigabit sous charge réaliste, et tournant sous RouterOS pour une flexibilité que les CPE grand public n’égalent pas.

Un CPE n’est pas seulement « la boîte qui transforme la fibre en Wi-Fi » — c’est la première ligne de l’expérience utilisateur et du coût du support. Si le routeur ne suit pas le NAT, le PPPoE ou les règles de pare-feu, ce sont des tickets lents. Si le Wi-Fi s’effondre dans un voisinage bruyant, à nouveau des tickets lents. Et si le firmware est obsolète, c’est pire encore. Le hAP ac³ se débrouille bien sur le premier point, possède des limites prévisibles sur le second et récompense la discipline opérationnelle sur le troisième. Pour des comparaisons de flotte plus larges, voyez notre revue du hAP ac² et la revue du RB5009.

Vue d’ensemble du matériel

  • CPU : Qualcomm IPQ-4019 ARM quadricœur
  • RAM : 256 Mo
  • Stockage : 128 Mo NAND
  • Ethernet : 5× Gigabit
  • Wi-Fi : Bi-bande 2×2 WiFi 5 (802.11ac)
  • USB : 1× USB 2.0
  • Antennes : Deux externes bi-bande

Les antennes externes améliorent la couverture par rapport aux conceptions avec antennes internes, mais elles ne brisent pas la physique — la couverture horizontale est généralement meilleure que la verticale, donc les maisons à plusieurs étages peuvent quand même nécessiter un second AP. Quand on ne peut pas placer le routeur à mi-hauteur du bâtiment, utilisez un AP avec backhaul filaire plutôt qu’un simple répéteur.

Débit filaire : FastTrack fait la différence

Dans les tests de routage filaire et de NAT, le hAP ac³ approche le débit Gigabit dans des conditions favorables, surtout avec RouterOS FastTrack activé. Le principe est direct : les fonctionnalités coûtent du CPU. Avec un traitement minimal des paquets, la boîte déplace rapidement le trafic. Avec un travail par paquet (pare-feu profond, files, accounting), le débit chute.

Un pare-feu de base pratique pour CPE FAI

Gardez le pare-feu petit, explicite et cohérent sur toute la flotte. Si vous avez besoin d’un filtrage lourd, faites-le en amont quand c’est possible :

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

FastTrack contourne certaines fonctions de file et d’accounting. Si vous comptez sur de la QoS par abonné directement sur le CPE, validez ce chemin avant le rollout — pour un guide NAT plus large, voyez le tutoriel NAT sur MikroTik.

Performance Wi-Fi : bonne pour WiFi 5, mais WiFi 5 reste WiFi 5

À courte portée en 5 GHz, le hAP ac³ délivre un débit TCP solide pour une conception 2×2 WiFi 5. L’autre côté : la performance Wi-Fi est dominée par l’environnement, pas par la fiche technique. Dans un spectre urbain dense avec des réseaux qui se chevauchent, le 2,4 GHz devient la bande de dernier recours et le débit réel chute brutalement à cause des interférences et de la contention d’airtime.

Conseils de déploiement qui réduisent vraiment les tickets :

  1. Privilégiez 5 GHz pour la performance, mais ne le forcez pas aveuglément. Certaines maisons ont besoin de la portée du 2,4 GHz.
  2. Utilisez des canaux de 20 MHz en 2,4 GHz. Les canaux plus larges ne créent généralement que plus de problèmes.
  3. Utilisez 80 MHz en 5 GHz uniquement en spectre propre. Sinon, descendez à 40 MHz.
  4. Pour couvrir toute la maison, ajoutez un AP avec backhaul filaire plutôt qu’un répéteur.

Pour les déploiements RouterOS v7, considérez les paquets Wi-Fi plus récents de MikroTik (wifiwave2 / pilotes basés Qualcomm) quand ils sont supportés. Ils améliorent matériellement le débit et les modes de sécurité modernes selon la configuration.

VPN et management pour les opérations FAI

Le hAP ac³ prend en charge IPsec avec accélération matérielle pour des tunnels sécurisés. RouterOS v7 prend aussi en charge WireGuard pour un VPN moderne plus simple — voyez notre tutoriel WireGuard. Pour les opérations de flotte, le provisioning basé sur des standards change la donne : RouterOS v7 a introduit un client TR-069 permettant l’intégration à un ACS pour le provisioning et la supervision à distance. Voyez notre guide de gestion TR-069 et le protocole successeur TR-369 USP.

Pour combiner « provisioning à grande échelle » et « accessibilité instantanée derrière NAT/CGNAT », complétez TR-069 avec une couche d’accès distant sécurisée. NATCloud de MKController fournit une connectivité de l’intérieur vers l’extérieur sans port forwarding, gardant le support à distance rapide et plus sûr.

Sécurité : l’appareil va bien ; internet non

RouterOS est puissant et la puissance coupe des deux côtés. La plateforme a connu des vulnérabilités sur d’anciennes branches et le besoin opérationnel d’un patching vigilant est réel. Votre contrôle le plus fort, c’est la discipline :

  • Standardisez une configuration de base durcie sur toute la flotte.
  • Désactivez les services inutilisés (Telnet, FTP, API inutilisées).
  • Restreignez le management aux IP de confiance ou au VPN.
  • Imposez les mises à niveau depuis un canal de release stable ou long terme.
  • Surveillez les anomalies via SNMP, Syslog et NetFlow.

« Sécurisé par défaut » n’est pas la même chose que « sûr pour un FAI ». Un défaut sûr, c’est bien ; votre rollout a besoin d’une gouvernance répétable. Pour un durcissement plus profond du plan de management, voyez nos bonnes pratiques de sécurité Winbox et le guide de sécurité device-mode.

Chaleur, montage et le problème « c’est dans un placard »

L’appareil est à refroidissement passif et noté pour les environnements chauds, mais le flux d’air reste important. Évitez les armoires scellées et les boîtiers muraux serrés. De petits changements d’emplacement préviennent une instabilité à long terme et ces plaintes Wi-Fi aléatoires qui paraissent mystérieuses jusqu’à ce que la cause thermique soit trouvée.

Quand le hAP ac³ est le bon choix

Le hAP ac³ est le CPE raisonnable pour des offres allant jusqu’à environ plusieurs centaines de Mbps avec des exigences Wi-Fi modérées. Il brille quand vous valorisez la flexibilité de RouterOS, le tagging VLAN et l’intégration à vos propres workflows de gestion. Montez en gamme vers un routeur supérieur ou du matériel WiFi 6 quand les clients poussent régulièrement du Gigabit complet avec un pare-feu/QoS lourd, quand il y a beaucoup de clients Wi-Fi simultanés par foyer, ou quand vous avez besoin de meilleures performances en RF dense.

Passez à l’étape suivante

Si vous gérez de nombreux sites, MKController centralise la visibilité, standardise les configurations et réduit les interventions sur site. Avec NATCloud, vous atteignez l’équipement derrière du CGNAT sans exposer de ports, gardant le support à distance rapide et plus sûr pour une flotte CPE à l’échelle FAI.

Démarrez votre essai gratuit MKController