コンテンツにスキップ
MKController Blog
InstagramYouTubeFacebook

Review

MikroTik hAP ac² レビュー

SOHO・SMB向けMikroTik hAP ac²の実践レビュー — 機能、実環境での性能、Wi-Fi調整、セキュリティ、限界。.

MKController1 min read

概要 MikroTik hAP ac²(RBD52G-5HacD2HnD-TC)は、デュアルバンドWi-Fiと完全なRouterOS機能セットを備えたコンパクトなクアッドコアARMルーターです — ホームオフィスにとって手頃な価格で、小規模支店にとって十分な性能を持ちます。典型的なSOHO・SMBワークロードには適切なツールであり、重いVPN集約や持続的なGigabitファイアウォール処理には不適切なツールです。本レビューでは、得意なこと、限界を迎える場面、効果のあるWi-Fi調整、デプロイ前のハードニングチェックリストを取り上げます。

MikroTik hAP ac²とは?

MikroTik hAP ac²(RBD52G-5HacD2HnD-TC)は、Qualcomm IPQ-4018クアッドコアARM SoCを中心に構築された、デュアルバンドWi-Fi(2.4 GHzと5 GHz)、5つのGigabit Ethernetポート、完全なRouterOS機能セットを備えたコンパクトなデスクトップルーターです。この組み合わせは、SOHO・SMB拠点にとって価格・性能のスイートスポットに位置します — VLAN、ファイアウォール、QoS、VPN、モニタリングを備えた「本物のルーター」が、本棚の上で静かに動作するボックスに収まっています。

hAP ac²と大型MikroTikの間で選ぶ事業者にとって、問いはシンプルです:実際のワークロードのもとで、高速にルーティングでき、安定し、安全であり続けられるか? 典型的なホームオフィス、支店拠点、プロシューマー構成では、答えはイエス。高スループットVPN集約、ライン速度での深いQoS、フルBGPテーブルでは答えはノー — グレードアップの選択肢についてはRB5009レビューhEX RB750Gr3レビューをご覧ください。

MikroTik hAP ac² コンパクトデスクトップルーター

ハードウェアとアーキテクチャ

hAP ac²は、その価格帯としては現代的なARMプラットフォーム上に構築されています:クアッドコアIPQ-4018、デュアルバンドWi-Fi、5つのGigabit Ethernetポート、そしてはるかに大型のデバイスに通常見られるRouterOS機能。実用上、最も重要な3つの含意があります:

  • ルーティング機能は豊富。 VLAN、ファイアウォール、QoS、VPN、モニタリングすべてが利用可能です。
  • FastTrackは大きな勝利。 トラフィックパターンが合致すると、FastTrackはCPU負荷を下げつつスループットを劇的に改善します — 単一で最もインパクトのある設定ノブです。
  • Wi-Fiは有能、魔法ではない。 アパートや小規模オフィスには堅実ですが、壁と干渉には最終的に負けます。

実環境ネットワークでの性能

性能ベンチマークはしばしばスコアボードのように読まれます。より重要なのは日常的な振る舞いです。基本的なNATとファイアウォールでは、hAP ac²は典型的なブロードバンド接続を快適に処理します。複数のVPNトンネル、ディープパケットインスペクション、複雑なキューツリーといった重いサービスでは、すべてのパケットが遅いパスを通るため、CPUは急速に上昇します。信頼できるトラフィックに対するFastTrackは、それ以外すべてのためにCPUを解放します。

実用的な経験則:拠点が「エンタープライズ機能すべて」を一度に必要とするなら、より大きなルーターを計画してください。要件が典型的なSMBやプロシューマーなら、hAP ac²はキビキビと感じられます。

実際に役立つワイヤレス調整

デュアルバンドWi-Fiは、ほとんどの購入者がこのモデルを選ぶ主な理由です。5 GHzはより高速だが到達距離が短く、2.4 GHzはより遠くまで届くが混雑しがちです。

  1. ルーターはキャビネット内ではなく、開けた場所に設置します。
  2. ラップトップやテレビには5 GHzを優先し、IoTには2.4 GHzを残します。
  3. WPA2/WPA3を使用し、レガシー暗号化は避けます。
  4. まずスキャンし、最も静かなチャネルを選びます — チャネル幅を盲目的に上げないこと。

セキュリティハードニング

ほとんどのルーターインシデントはゼロデイではありません。基本のスキップです:古いファームウェア、露出した管理サービス、弱いパスワード、寛容すぎるファイアウォールルール。RouterOSに合わせたハードニングパターン:

/system package update check-for-updates
/system package update download
/system reboot


/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set www-ssl disabled=no
set api disabled=yes
set api-ssl disabled=yes


/ip firewall filter
add chain=input action=accept connection-state=established,related comment="allow established/related"
add chain=input action=drop connection-state=invalid comment="drop invalid"
add chain=input action=accept protocol=icmp comment="allow ping (optional)"
add chain=input action=drop in-interface-list=WAN comment="drop WAN input by default"

Winbox、SSH、WebFigを決してインターネットに直接公開しないでください。VPNか信頼できる管理ネットワークを使用します — より広範なハードニングのプレイブックについてはWinboxセキュリティのベストプラクティスをご覧ください。

hAP ac²が不適切なツールになる場合

多くのユーザー向けの高スループットVPN集約、飽和WANでの重いキューと高度なフィルタリング、専用APなしの複数階にわたる強力なWi-Fiカバレッジ、またはGigabitリンク上でCPU集約的な機能すべてを同時に有効にする予定がある場合は、より大型のMikroTik(CCR2004、RB5009)にステップアップしてください。これらのシナリオでは、hAP ac²にすべてをやらせるのではなく、より高性能なルーターと専用アクセスポイントで拠点を設計してください。

ヒント

  • hAP ac²とWireGuardチュートリアルを組み合わせて、OpenVPNのオーバーヘッドなしのきれいなリモートアクセスを実現します。
  • DNS over HTTPSを構成して(DoHガイド参照)、性能コストなしでLANのDNSパスを強化します。
  • 管理VLANと管理者制限ソースIPを初日から文書化しましょう — 後付けは予想以上に難しいです。

次のステップ

優れたルーターでも、一つずつ管理すると頭痛の種になります。MKControllerは、多数のhAP ac²ユニット全体にわたる退屈だが重要な作業を集中化します:標準化された構成テンプレート、単一ダッシュボードでのフリート全体のステータスと主要メトリクス、拠点全体で一貫したファームウェアとセキュリティ姿勢、部族的な知識を置き換える文書化されたテンプレート。

少数のMikroTikを運用しているなら、手作業でも機能します。5台、10台、50台になると、オーケストレーション層は最初のインシデント回避で自己回収します。

無料のMKControllerトライアルを開始