Ga naar inhoud
Blog

MikroTik hAP ac³: ISP CPE Gereedmaak Gids

Samenvatting
De MikroTik hAP ac³ is een kosteneffectieve CPE voor kleine ISP’s, met bijna-gigabit bekabelde routering bij gebruik van FastTrack. WiFi 5 is de belangrijkste beperking in drukke omgevingen, dus kanaalplanning en extra AP’s zijn belangrijk. RouterOS biedt krachtige flexibiliteit, maar updates en beveiliging zijn essentieel.

MikroTik hAP ac³: ISP CPE Gereedmaak Gids

Architecture overview of the MikroTik hAP ac³ platform

Waarom ISP’s nog steeds om ‘saai’ CPE-werk geven

Een CPE is niet zomaar “het kastje dat glasvezel omzet in Wi-Fi”. Bij een uitrol is het de frontlinie voor gebruikerservaring en supportkosten. Als de router NAT, PPPoE, of firewallregels niet aankan, krijg je vertraagde tickets. Als Wi-Fi faalt in een lawaaierige buurt, ook weer vertraagde tickets. En als de firmware verouderd is, krijg je iets dat erger is dan tickets.

De hAP ac³ (RBD53iG‑5HacD2HnD) richt zich op die sweet spot: betaalbaar, flexibel en genoeg ‘ISP-achtig’ om te standaardiseren. De technische evaluatie in dit artikel benadrukt sterke bekabelde prestaties en RouterOS-functionaliteiten, met realistische kanttekeningen over WiFi 5 en operationele beveiliging.

Hardware overzicht om aan een veldtechnicus uit te leggen

Het platform is gebouwd rond een Qualcomm IPQ‑4019 quad-core ARM SoC, met 256 MB RAM en 128 MB NAND-flash. Het heeft vijf Gigabit Ethernet-poorten op een interne switch, plus een USB 2.0-poort voor opslag of 4G/LTE-modem.

Twee externe dual-band antennes (2.4 GHz en 5 GHz) verbeteren de dekking ten opzichte van interne antennes. Hoewel hogere gain de natuurkunde niet breekt, biedt het meestal betere horizontale dan verticale dekking, dus meerlaagse huizen hebben soms een extra access point nodig.

Tip: Plaats de router bij meerlaagse woningen halverwege de ‘stapel’ indien mogelijk. Anders gebruik een bekabelde backhaul AP in plaats van een pure repeater.

Bekabelde doorvoer: wanneer FastTrack je beste vriend is

Bij tests met bekabelde routering/NAT kan de hAP ac³ bijna gigabit-snelheden bereiken onder gunstige omstandigheden, vooral met RouterOS fast-path/FastTrack ingeschakeld. De boodschap is simpel: “features kosten CPU”. Met minimale pakketverwerking gaat het verkeer snel. Met veel per-pakket werk vertraagt het.

Een praktische firewall basis voor ISP CPE

Houd de firewall klein, expliciet en consequent. Voor zware filtering doe je dat bij voorkeur upstream.

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

Waarschuwing: FastTrack kan sommige wachtrij- en accountingfuncties omzeilen. Als je QoS per abonnee op de CPE toepast, valideer dan eerst je ontwerp.

Wi‑Fi prestaties: goed voor WiFi 5, maar WiFi 5 blijft WiFi 5

Op korte afstand op 5 GHz zag de evaluatie sterke TCP-snelheden voor een 2×2 WiFi 5 ontwerp. Dat is de goede kant.

De mindere kant is dat WiFi-prestaties vaak door de omgeving worden bepaald, niet het datasheet. In dichtbevolkte stedelijke gebieden met veel overlappende netwerken is 2.4 GHz meestal het ‘laatste redmiddel’. Je werkelijke snelheid kan flink zakken door interferentie en airtime-concurrentie.

Uitroltips die echt tickets verminderen

  1. Geef de voorkeur aan 5 GHz voor snelheid, maar forceer het niet blind. Sommige huizen hebben 2.4 GHz bereik nodig.
  2. Gebruik 20 MHz kanalen op 2.4 GHz. Brede kanalen veroorzaken hier meestal alleen maar problemen.
  3. Gebruik 80 MHz op 5 GHz alleen als het spectrum schoon is, anders 40 MHz.
  4. Voor volledige dekking voeg een access point met Ethernet backhaul toe.

Voor RouterOS v7 uitrol raden we nieuwe MikroTik WiFi-pakketten aan (wifiwave2 / Qualcomm drivers) als ondersteund. Deze kunnen doorvoer en moderne beveiligingsmodi aanzienlijk verbeteren, afhankelijk van je configuratie.

VPN en beheer: wat telt voor ISP-operaties

De hAP ac³ ondersteunt IPsec met hardwareversnelling, nuttig voor beveiligde tunnels. RouterOS v7 ondersteunt ook WireGuard voor eenvoudiger, moderne VPN’s.

Voor fleetbeheer kan standaard provisioning een game changer zijn. RouterOS v7 introduceerde een TR‑069 client-module voor integratie met een Auto Configuration Server (ACS) voor remote provisioning en monitoring.

Wil je “provisioning op schaal” combineren met “directe bereikbaarheid achter NAT/CGNAT”, overweeg dan TR‑069 aan te vullen met een beveiligde remote-access laag. MKController’s NatCloud is ontworpen voor inside-out connectiviteit zonder port forwarding. Zie de interne gids: /docs/natcloud/getting-started.

Beveiliging: het apparaat is veilig, het internet niet

RouterOS is krachtig, maar die kracht werkt twee kanten op. Deze evaluatie benadrukt RouterOS vulnerabiliteiten in oudere versies en de operationele noodzaak tot alert patchen. Je beste controle is discipline:

  • Standaardiseer een geharde baseline-configuratie.
  • Schakel ongebruikte services (Telnet/FTP, ongebruikte API’s) uit.
  • Beperk beheer tot vertrouwde IP’s of VPN.
  • Forceer upgrades uit stabiele of lange-termijn kanalen.
  • Monitor op anomalieën (SNMP/Syslog/NetFlow).

Voor achtergrondinformatie documenteert MikroTik FastTrack-gedrag en veelvoorkomende kanttekeningen in de officiële handleiding: https://help.mikrotik.com/docs/display/ROS/FastTrack

Opmerking: “Standaard veilig” is niet gelijk aan “ISP veilig”. Een veilige default is goed, maar je uitrol heeft herhaalbare governance nodig.

Warmte, montage en het ‘in een kastje’ probleem

Het apparaat gebruikt passieve koeling en is geschikt voor warme omgevingen, maar luchtcirculatie blijft belangrijk. Vermijd afgesloten kasten en kleine inbouwdozen. Kleine veranderingen in plaatsing voorkomen langetermijn instabiliteit en willekeurige WiFi klachten.

Wanneer kies je hAP ac³, en wanneer een hoger model

De hAP ac³ is een verstandige CPE tot ongeveer het middensegment van honderd Mbps met gemiddelde WiFi-eisen. Het blinkt uit als je RouterOS flexibiliteit, VLAN-tagging, en integratie met je eigen beheerworkflows waardeert.

Overweeg een hoger model (of WiFi 6 hardware) als:

  • Klanten regelmatig volledige gigabit benutten met zware firewall/QoS ingeschakeld.
  • Je veel gelijktijdige WiFi-klanten per woning of klein kantoor hebt.
  • Je betere prestaties nodig hebt in dichte RF-omgevingen.

Waar MKController helpt: Als je veel sites beheert, kan MKController zichtbaarheid centraliseren, configs standaardiseren en ritten verminderen. Met NatCloud bereik je apparatuur achter CGNAT zonder poorten open te stellen, wat remote support sneller en veiliger maakt.

Niet gevonden wat je zoekt? Wil je hulp bij het standaardiseren van een CPE-profiel voor je uitrol?

👉 Praat met ons team via WhatsApp.