Pular para o conteúdo
Blog

MikroTik hAP ac³: Guia de Preparação para CPE ISP

Resumo
O MikroTik hAP ac³ é um CPE econômico para pequenos ISPs, com roteamento cabeado quase gigabit usando FastTrack. O WiFi 5 limita em ambientes congestionados, então planejamento de canais e APs extras são essenciais. A flexibilidade do RouterOS é poderosa, mas atualizações e endurecimento são obrigatórios.

MikroTik hAP ac³: Guia de Preparação para CPE ISP

Architecture overview of the MikroTik hAP ac³ platform

Por que ISPs ainda se importam com detalhes “básicos” do CPE

Um CPE não é apenas “a caixa que transforma fibra em Wi-Fi”. Na implantação, ele é a linha de frente da experiência do usuário e dos custos de suporte. Se o roteador não acompanha NAT, PPPoE ou regras de firewall, você terá chamados demorados. Se o Wi-Fi falha num bairro barulhento, mais chamados. E firmware desatualizado gera problemas piores que chamados.

O hAP ac³ (RBD53iG‑5HacD2HnD) mira esse ponto ideal: acessível, flexível e “à cara do ISP” para ser padrão. A avaliação técnica aqui destaca forte desempenho cabeado e recursos RouterOS, com ressalvas reais sobre WiFi 5 e segurança operacional.

Resumo do hardware para explicar a um técnico de campo

A plataforma é baseada no SoC ARM quad-core Qualcomm IPQ‑4019, com 256 MB RAM e 128 MB flash NAND. Conta com cinco portas Gigabit Ethernet em um switch interno e uma porta USB 2.0 para armazenamento ou dongle 4G/LTE.

Duas antenas externas dual-band (2,4 GHz e 5 GHz) melhoram a cobertura versus designs com antenas internas. Porém, ganho maior não quebra a física. Normalmente a cobertura horizontal é melhor que a vertical, então casas com vários andares podem precisar de AP adicional.

Dica: Para casas com vários andares, posicione o roteador no meio do “empilhamento” se possível. Se não, use um AP com backhaul cabeado ao invés de repetidor puro.

Roteamento cabeado: quando FastTrack é seu melhor aliado

Em testes de roteamento/NAT cabeado, o hAP ac³ pode chegar perto de throughput gigabit em condições favoráveis, especialmente com aceleração fast-path/FastTrack do RouterOS. A mensagem principal é: “recursos custam CPU”. Com pouco processamento por pacote, o tráfego anda rápido; com muito trabalho por pacote, desacelera.

Firewall prático para CPE ISP

Mantenha o firewall simples, explícito e consistente. Se precisar de filtragem pesada, faça isso a montante preferencialmente.

/ip firewall filter
add chain=input action=accept connection-state=established,related comment="Allow established/related"
add chain=input action=drop connection-state=invalid comment="Drop invalid"
add chain=input action=accept protocol=icmp comment="Allow ICMP for troubleshooting"
add chain=input action=accept in-interface-list=LAN comment="Allow management from LAN"
add chain=input action=drop in-interface-list=WAN comment="Drop everything else from WAN"


/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FastTrack"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop in-interface-list=WAN connection-nat-state=!dstnat comment="Block unsolicited inbound"

Aviso: FastTrack pode ignorar algumas funções de queues e accounting. Se depender de QoS por assinante no CPE, valide seu design primeiro.

Desempenho Wi‑Fi: bom para WiFi 5, mas WiFi 5 é WiFi 5

Em curto alcance no 5 GHz, a avaliação observou throughput TCP forte para um dispositivo 2×2 WiFi 5. Essa é a parte boa.

O lado negativo é que o desempenho WiFi frequentemente é limitado pelo ambiente, não pela especificação. Em áreas urbanas densas e redes sobrepostas, 2,4 GHz é quase sempre a “última opção”. O throughput real pode cair bastante devido a interferência e disputa por airtime.

Dicas de implantação que realmente reduzem chamados

  1. Prefira 5 GHz para desempenho, mas não force cegamente. Algumas casas precisam do alcance 2,4 GHz.
  2. Use canais de 20 MHz em 2,4 GHz. Canais mais largos aqui geralmente causam mais problemas.
  3. Use 80 MHz em 5 GHz só se o espectro estiver limpo; se não, opte por 40 MHz.
  4. Para cobertura total, adicione um AP com backhaul Ethernet.

Para deploys RouterOS v7, considere os pacotes WiFi mais novos da MikroTik (wifiwave2 / drivers baseados em Qualcomm) quando disponíveis. Podem melhorar throughput e modos de segurança modernos, dependendo da configuração.

VPN e gestão: o que importa para operações ISP

O hAP ac³ suporta IPsec com aceleração de hardware, ideal para túneis seguros. RouterOS v7 também inclui WireGuard para setups VPN modernos e simples.

Para operações em larga escala, provisionamento padrão faz diferença. RouterOS v7 trouxe o cliente TR‑069, permitindo integração com um Auto Configuration Server (ACS) para provisionamento e monitoração remotos.

Para combinar “provisionamento em escala” com “acessibilidade instantânea atrás de NAT/CGNAT”, considere reforçar o TR‑069 com camada segura de acesso remoto. O NatCloud do MKController foi pensado para conectar de dentro para fora, sem encaminhamento de portas. Veja o guia interno: /docs/natcloud/getting-started.

Segurança: o dispositivo está ok, mas a internet não

RouterOS é poderoso e essa força é dupla. A avaliação lembra vulnerabilidades passadas em versões antigas e a necessidade operacional de atualizações vigilantes. Seu controle mais forte é disciplina:

  • Padronize uma configuração base endurecida.
  • Desative serviços não usados (Telnet/FTP, APIs não usadas).
  • Restrinja gestão a IPs confiáveis ou VPN.
  • Faça upgrades por canais estáveis ou de longo prazo.
  • Monitore anomalias (SNMP/Syslog/NetFlow).

Para contexto, a MikroTik documenta o comportamento FastTrack e caveats comuns em: https://help.mikrotik.com/docs/display/ROS/FastTrack

Nota: “Seguro padrão” não é igual a “seguro para ISP”. Um padrão seguro é bom, mas o rollout precisa de governança repetível.

Calor, montagem e o problema de “estar no armário”

O dispositivo tem resfriamento passivo e suporta ambientes quentes, mas circulação de ar é fundamental. Evite armários fechados ou caixas de parede apertadas. Pequenas mudanças de posicionamento evitam instabilidade a longo prazo e reclamações aleatórias de WiFi.

Quando escolher o hAP ac³ e quando migrar para algo maior

O hAP ac³ é um CPE sensato para serviços de até algumas centenas de Mbps com demandas WiFi moderadas. Brilha quando se valoriza flexibilidade RouterOS, VLANs e integração com workflows próprios de gestão.

Pense em roteadores de categoria superior (ou hardware WiFi 6) quando:

  • Clientes usam gigabit completo com firewall/QoS pesado ativado.
  • Muitos clientes WiFi simultâneos em casa ou escritório pequeno.
  • Precisa desempenho melhor em condições RF densas.

Onde o MKController ajuda: Para muitos sites, ele centraliza visibilidade, padroniza configs e reduz visitas técnicas. Com NatCloud, é possível acessar equipamentos atrás de CGNAT sem expor portas, mantendo o suporte remoto rápido e seguro.

Não encontrou o que precisa? Quer ajuda para padronizar o perfil CPE do seu rollout?

👉 Fale com nosso time no WhatsApp.