Aller au contenu
Blog

MikroTik hEX avec gestion cloud MKController

Résumé
Découvrez comment le MikroTik hEX (RB750Gr3) s’intègre aux réseaux SOHO et PME, ses vraies limites, et comment la gestion cloud MKController facilite le déploiement, la sécurisation et l’exploitation de flottes de ces routeurs avec moins de risques et de travail manuel.

MikroTik hEX avec gestion cloud MKController

Topology with MikroTik hEX routers managed centrally by MKController cloud

Présentation du MikroTik hEX RB750Gr3

Le MikroTik hEX (RB750Gr3) est un petit routeur à cinq ports Gigabit Ethernet doté d’un processeur dual-core 880 MHz, 256 Mo de RAM et d’un système de refroidissement passif silencieux. Il exécute l’ensemble complet des fonctionnalités de RouterOS, incluant le routage avancé, pare-feu, VPN, QoS et même un petit serveur Dude pour une surveillance basique.

Vous disposez de cinq ports Ethernet 10/100/1000 Mbps, d’un port USB 2.0 et d’un emplacement microSD pour stockage et logs supplémentaires. Sa consommation électrique est de quelques watts seulement et il peut être alimenté par un adaptateur DC standard ou par PoE passif via Ether1, ce qui facilite les installations compactes ou distantes.

Contrairement à la gamme hAP, le hEX ne possède pas de Wi-Fi intégré. Il est conçu pour être un routeur câblé ou un pare-feu en périphérie, souvent associé à des points d’accès séparés. En interne, une puce switch intégrée permet la commutation au débit filaire entre les ports en mode pont, tandis que le routage et le traitement intensif restent à la charge du CPU.

Note : Cette flexibilité est puissante, mais signifie aussi que la configuration n’est pas destinée aux débutants. RouterOS offre de nombreux réglages, il est donc préférable que les techniciens ou utilisateurs avancés s’en chargent, plutôt que d’attendre une utilisation plug-and-play.

Pour les détails matériels complets, vous pouvez aussi consulter la page officielle produit MikroTik hEX.

Performances en conditions réelles

Dans des scénarios simples de routage et NAT, le hEX peut atteindre près du débit Gigabit sur une paire de ports en utilisant FastPath et FastTrack pour les flux établis. Dans des conditions idéales, des tests avec de gros paquets montrent un débit dépassant 900 Mbps, avec une marge CPU confortable pour le trafic SOHO et PME normal.

Dès qu’on ajoute plus de traitement par paquet, la situation évolue. Ajouter des dizaines de règles pare-feu, files d’attente complexes ou politiques QoS avancées réduit vite le débit maximal. Avec beaucoup de règles de filtrage, la performance pour des petits paquets de 64 octets peut fortement chuter, ce qui est attendu sur un CPU modeste traitant chaque paquet en chemin lent.

La bonne nouvelle est qu’avec un jeu de règles équilibré et FastTrack activé pour le trafic fiable, le hEX gère aisément les liens haut débit habituels (100–500 Mbps) et même de nombreux liens Gigabit pour les charges de travail bureautiques, VoIP et accès distant.

Côté VPN, l’accélération matérielle IPsec permet au RB750Gr3 de supporter étonnamment bien les tunnels chiffrés dans sa catégorie de prix. Avec AES-128 et des paquets larges, on peut atteindre plusieurs centaines de Mbps de débit chiffré, suffisant pour la plupart des sites distants, commerces et besoins d’utilisateurs à distance lorsque le lien WAN n’est pas Gigabit.

Risques de sécurité à ne pas négliger

RouterOS est puissant et flexible, ce qui signifie aussi qu’il a connu son lot de vulnérabilités et de mauvaises configurations. Historiquement, les appareils étaient livrés avec les identifiants admin par défaut et des services de gestion exposés, ce qui en faisait des cibles faciles en cas de firmware ancien ou ports WinBox/WebFig ouverts.

Aujourd’hui, les versions récentes de RouterOS vous obligent à définir un mot de passe au premier démarrage et incluent un pare-feu sécurisé par défaut. Mais les sources de problèmes demeurent : firmware obsolète, mots de passe faibles et interfaces de gestion ouvertes sur le WAN.

Une bonne hygiène pour le hEX, c’est :

  1. Garder RouterOS à jour avec une version stable ou LTS et suivre les avis de sécurité MikroTik.
  2. Fermer WinBox, WebFig et API sur le WAN ; privilégier SSH via VPN ou un contrôleur cloud pour accéder au routeur.
  3. Utiliser des mots de passe forts et uniques ou clés SSH, et activer l’authentification à deux facteurs quand c’est possible.
  4. Journaliser l’activité inhabituelle et envoyer les logs vers un système central pour détecter les tentatives de brute-force et anomalies.

Avertissement : Un routeur en périphérie compromis n’est pas juste “un appareil de plus”. Il peut devenir un pivot dans votre LAN, un membre d’un botnet ou un intermédiaire silencieux espionnant le trafic des utilisateurs.

Pourquoi utiliser un contrôleur cloud comme MKController

Gérer un hEX sur votre bureau est simple. Gérer des dizaines répartis chez des clients, agences et bureaux à domicile, c’est autre chose. C’est là qu’un contrôleur cloud comme MKController est utile.

Au lieu d’exposer WinBox ou WebFig sur Internet, chaque hEX établit un tunnel sortant chiffré vers MKController. Vous pouvez ainsi ouvrir des sessions WinBox ou WebFig proxy directement depuis le navigateur, vérifier les métriques, surveiller les déconnexions et récupérer les sauvegardes automatiques sans manipuler le routage de port ni les IP publiques.

Où MKController aide : MKController maintient votre flotte MikroTik accessible via des tunnels sécurisés, centralise la supervision et automatise les sauvegardes. Moins de ports exposés, moins de connexions manuelles et un déploiement plus rapide des changements sur de nombreux petits routeurs.

Un flux de travail type :

  1. Déployer le hEX avec un template sécurisé de base : RouterOS à jour, pare-feu verrouillé et VPN ou tunnel MKController activé.
  2. Lancer le script d’adoption MKController sur le routeur pour qu’il se connecte et s’enregistre dans le cloud.
  3. Utiliser le panneau MKController pour ouvrir WebFig ou WinBox, surveiller CPU, mémoire et interfaces, et recevoir des alertes en cas de coupure ou seuils dépassés.
  4. Laisser MKController récupérer automatiquement exports de configuration et sauvegardes pour restaurer rapidement un routeur ou cloner son config sur un appareil de secours.

En déplaçant l’accès et la visibilité au quotidien vers le contrôleur, vous réduisez le besoin d’IP statiques, DNS dynamiques ou VPN par site pour gérer les équipements.

Quand le hEX est l’outil adapté (et quand il ne l’est pas)

Le RB750Gr3 s’adapte parfaitement dans plusieurs cas :

  • Petits bureaux et bureaux à domicile nécessitant un routeur bordure câblé fiable avec points d’accès Wi-Fi séparés.
  • Sites distants et commerces exigeant une connectivité VPN sécurisée vers un réseau central avec des besoins modestes en bande passante.
  • Fournisseurs de services managés souhaitant un matériel CPE peu coûteux, scriptable, à surveiller et administrer centralement.
  • Laboratoires, formations et labos personnels où les techniciens veulent pratiquer les fonctions RouterOS sans investir dans du matériel coûteux.

Il existe aussi des situations où un appareil plus puissant est conseillé :

  • Environnements demandant un débit Gigabit soutenu avec pare-feu lourd, nombreux VPN ou QoS avancé.
  • Réseaux nécessitant Wi-Fi intégré, uplinks 10G ou fonctions de sécurité avancées (IDS, filtrage de contenu).
  • Domaines de routage étendus avec tables BGP complètes ou bases de routage dynamique très volumineuses, peu adaptés avec 256 Mo de RAM.

Astuce : Considérez le hEX comme un couteau suisse compact pour le routage en périphérie. Il excelle dans ses limites, mais ne remplace pas un pare-feu complet ni un routeur de centre de données.

Pour beaucoup d’organisations, la solution idéale est claire : exploitez le hEX pour un routage périphérique et VPN économique dans les petits sites, et utilisez MKController pour rendre cette flotte visible, sécurisée et facile à maintenir sur le long terme. Si les besoins évoluent, migrez vers des modèles MikroTik plus puissants tout en conservant la gestion cloud.

À propos de MKController

Nous espérons que ces infos vous ont aidé à mieux naviguer dans l’univers MikroTik et Internet ! 🚀
Que vous affiniez vos configs ou cherchiez simplement à mettre de l’ordre dans votre réseau, MKController est là pour simplifier votre quotidien.

Avec la gestion cloud centralisée, les mises à jour de sécurité automatisées et un tableau de bord accessible à tous, nous avons ce qu’il faut pour améliorer votre exploitation.

👉 Essayez gratuitement pendant 3 jours sur mkcontroller.com — et découvrez ce qu’est un vrai contrôle réseau sans effort.