Salta ai contenuti
Blog

MikroTik hAP ac³: Guida per ISP alla preparazione del CPE

Sommario
Il MikroTik hAP ac³ è un CPE economico per piccoli ISP, con routing cablato quasi gigabit se si usa FastTrack. Il WiFi 5 è il limite principale in ambienti affollati, quindi pianificare i canali e aggiungere AP è fondamentale. La flessibilità di RouterOS è potente, ma aggiornamenti e rafforzamenti sono imprescindibili.

MikroTik hAP ac³: Guida alla preparazione del CPE per ISP

Panoramica architetturale della piattaforma MikroTik hAP ac³

Perché agli ISP interessa ancora dei dettagli “noiosi” sul CPE

Un CPE non è solo “la scatola che trasforma la fibra in Wi‑Fi”. Nel rollout, diventa la prima linea per l’esperienza utente e i costi di assistenza. Se il router non regge NAT, PPPoE o regole firewall, ricevi ticket lenti. Se il Wi‑Fi crolla in un quartiere rumoroso, i ticket lenti tornano. E se il firmware è obsoleto, è peggio dei ticket.

L’hAP ac³ (RBD53iG‑5HacD2HnD) mira a quel punto ideale: accessibile, flessibile e abbastanza “da ISP” da poter essere standardizzato. La valutazione tecnica dietro questo articolo evidenzia ottime prestazioni cablate e funzionalità RouterOS, con avvertenze realistiche su WiFi 5 e sicurezza operativa.

Panoramica hardware facile da spiegare a un tecnico sul campo

La piattaforma è basata su un SoC ARM quad-core Qualcomm IPQ‑4019, con 256 MB di RAM e 128 MB di memoria NAND flash. Comprende cinque porte Gigabit Ethernet con uno switch interno, più una porta USB 2.0 per storage o dongle 4G/LTE.

Due antenne esterne dual-band (2,4 GHz e 5 GHz) migliorano la copertura rispetto ai design con antenna interna. Detto ciò, un guadagno maggiore non infrange le leggi della fisica. Tipicamente si ottiene migliore copertura orizzontale che verticale, quindi case su più piani possono comunque richiedere un access point aggiuntivo.

Consiglio: Per case su più livelli, posiziona il router a metà “della pila” se possibile. Quando non si può, usa un AP con backhaul cablato invece di un semplice ripetitore.

Throughput cablato: quando FastTrack è il tuo miglior amico

Nei test di routing/NAT cablato, l’hAP ac³ può avvicinarsi al gigabit in condizioni favorevoli, specialmente con l’accelerazione fast-path/FastTrack di RouterOS abilitata. Il messaggio chiave è semplice: “le funzionalità costano CPU”. Con poca elaborazione dei pacchetti, il dispositivo muove il traffico velocemente. Con molto lavoro per pacchetto, rallenta.

Firewall di base pratico per il CPE ISP

Mantieni il firewall piccolo, esplicito e coerente. Se serve un filtraggio pesante, gestiscilo a monte possibilmente.

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

Attenzione: FastTrack può aggirare alcune code e funzioni di accounting. Se fai affidamento su QoS per abbonato sul CPE, verifica prima il design.

Prestazioni Wi‑Fi: buone per WiFi 5, ma WiFi 5 resta WiFi 5

A distanza ravvicinata su 5 GHz, la valutazione ha osservato un forte throughput TCP per un design WiFi 5 2×2. Questa è la buona notizia.

L’altra è che le prestazioni WiFi spesso dipendono dall’ambiente, non dalla scheda tecnica. In aree urbane dense con molte reti che si sovrappongono, 2,4 GHz è di solito la banda “ultima risorsa”. Il throughput reale può calare drasticamente per interferenze e contesa del canale.

Consigli di distribuzione che riducono davvero i ticket

  1. Preferisci il 5 GHz per le prestazioni, ma non imporlo ciecamente. Alcune case hanno bisogno del raggio d’azione del 2,4 GHz.
  2. Usa canali da 20 MHz su 2,4 GHz. Canali più larghi qui causano spesso più problemi.
  3. Usa 80 MHz su 5 GHz solo se lo spettro è pulito. Altrimenti, opta per 40 MHz.
  4. Se serve copertura completa della casa, aggiungi un access point con backhaul Ethernet.

Per rollout con RouterOS v7, prendi in considerazione i nuovi pacchetti WiFi MikroTik (wifiwave2 / driver Qualcomm) quando supportati. Possono migliorare sensibilmente throughput e modalità di sicurezza moderne, a seconda della configurazione.

VPN e gestione: cosa conta nelle operazioni ISP

L’hAP ac³ supporta IPsec con accelerazione hardware, utile per tunnel sicuri. RouterOS v7 supporta anche WireGuard per configurazioni VPN più moderne e semplici.

Per operazioni su larga scala, il provisioning basato su standard può essere una svolta. RouterOS v7 ha introdotto un pacchetto client TR‑069, che consente l’integrazione con un Auto Configuration Server (ACS) per provisioning e monitoraggio remoto.

Se vuoi combinare “provisioning su scala” con “accessibilità immediata dietro NAT/CGNAT”, valuta di integrare TR‑069 con un layer di accesso remoto sicuro. NatCloud di MKController è pensato per connettività inside‑out senza inoltro porte. Consulta la guida interna: /docs/natcloud/getting-started.

Sicurezza: il dispositivo è sicuro, ma Internet no

RouterOS è potente, e quella potenza può funzionare in entrambi i sensi. La valutazione evidenzia la storia di vulnerabilità di RouterOS nelle versioni più vecchie e la necessità operativa di patch attenti. Il controllo più forte è la disciplina:

  • Standardizza una configurazione base rafforzata.
  • Disabilita servizi inutilizzati (Telnet/FTP, API non usate).
  • Limita la gestione a IP fidati o VPN.
  • Forza aggiornamenti da canali stabili o long-term.
  • Monitora anomalie (SNMP/Syslog/NetFlow).

Per approfondimenti, MikroTik documenta il comportamento di FastTrack e avvertenze comuni nei loro documenti ufficiali: https://help.mikrotik.com/docs/display/ROS/FastTrack

Nota: “Default sicuro” non è uguale a “sicuro per ISP”. Un default sicuro è buono, ma il rollout richiede governance ripetibile.

Calore, montaggio e il problema del “device in armadio”

Il dispositivo usa raffreddamento passivo ed è progettato per ambienti caldi, ma il flusso d’aria è comunque importante. Evita armadi chiusi o scatole murali strette. Piccoli accorgimenti di posizionamento possono prevenire instabilità a lungo termine e lamentele WiFi casuali.

Quando scegliere l’hAP ac³ e quando puntare più in alto

L’hAP ac³ è un CPE sensato per livelli di servizio fino a circa qualche centinaio di Mbps con richieste WiFi moderate. Brilla se apprezzi la flessibilità di RouterOS, il tagging VLAN e l’integrazione con i tuoi flussi di gestione.

Considera un router di fascia superiore (o hardware WiFi 6) se:

  • I clienti spingono regolarmente fino al gigabit con firewall/QoS intensi abilitati.
  • Hai molti client WiFi simultanei per casa o ufficio piccolo.
  • Serve migliore performance in condizioni RF dense.

Dove MKController aiuta: Se gestisci molti siti, MKController centralizza visibilità, standardizza configurazioni e riduce gli interventi in loco. Con NatCloud puoi raggiungere dispositivi dietro CGNAT senza aprire porte, mantenendo l’assistenza remota veloce e sicura.

Non hai trovato ciò che cerchi? Vuoi aiuto a standardizzare un profilo CPE per il tuo rollout?

👉 Parla con il nostro team su WhatsApp.