Mikrotik hAP be3

mario152475 · 2025-12-16T11:47:59+00:00

Hype alle stelle: https://youtu.be/05SAcDT8xLw

Mgelain

LinusCasp io non sono così esperto ma vedo che Qualcomm fornisce il modulo qca_nss_ppe_pppoe_mgr che è supportato dai chip IPQ53xx tra cui l’IPQ5322 che monta il MikroTik hap be3. Se MikroTik usasse quel modulo immagino sia probabile che il supporto all’hardware offloading PPPOE sia possibile. Se qualcuno più esperto verificasse la mia affermazione sarebbe utile.

LinusCasp

Mgelain Hai fatto un'osservazione molto acuta e tecnicamente corretta riguardo all'hardware: il modulo qca_nss_ppe_pppoe_mgr esiste eccome nell'SDK di Qualcomm. Il chip IPQ5322 ha effettivamente al suo interno i motori hardware (NSS/PPE) capaci di gestire il PPPoE.

Tuttavia c'è un enorme ostacolo che fa tutta la differenza: l'implementazione software di MikroTik. Avere il motore nel cofano non significa che il sistema operativo lo stia usando. RouterOS v7, per scelta architetturale, non sfrutta i moduli proprietari NSS di Qualcomm per l'offloading completo del PPPoE (come invece fanno firmware blindati di altri vendor o build OpenWrt specifiche con driver proprietari). MikroTik si affida allo stack Linux standard + FastTrack.

FastTrack è un'accelerazione software (con un piede nell'hardware, ma non è Full Offload), che alleggerisce la CPU ma non bypassa completamente il processore per l'incapsulamento PPPoE come fa ad esempio il PPE di MediaTek sul Flint 2.

MikroTik fa questa scelta perché l'offloading hardware "chiuso" di Qualcomm (NSS) è spesso incompatibile con le feature avanzate di RouterOS. Se MikroTik attivasse quel modulo NSS per il PPPoE, molto probabilmente si romperebbero le funzionalità di Queues (QoS), Mangle e Firewall Layer 7 perché il pacchetto verrebbe gestito dal chip "invisibilmente" alla CPU, impedendo a RouterOS di applicare le sue regole.

Quindi allo stato attuale pur avendo l'hardware RouterOS non lo usa per il PPPoE per mantenere la flessibilità del software. Il carico ricade sulla CPU (anche se mitigato da FastTrack).

Finché MikroTik non riscriverà i driver per integrare l'NSS con il suo Packet Flow (cosa che non ha fatto per anni sui precedenti chip ARM Qualcomm), l'IPQ5322 su RouterOS si comporterà come una CPU pura che deve macinare pacchetti software.

Mi spiace averti dato una brutta notizia. Tuttavia complimenti perché si vede che hai fatto delle ricerche approfondite.

Vuoi un consiglio che vale oro? Finché vivi in Italia (PPPoE) lascia perdere MikroTik. Al CES di gennaio a Las Vegas Mediatek ha presentato i nuovi chip 8000 (Filogic). Sono una bomba. Da giugno guarda le case produttrici che aggiorneranno le loro linee di prodotti con queste CPU. Sono questi i router da prendere.

MikroTik non ha come mercato di riferimento l'Italia. È sempre stata poco sensibile alle esigenze di chi ha a che fare con il PPPoE e sarà così ancora per molto tempo.

eutampieri

LinusCasp c’è anche da dire che diversi ISP piccolini (edit, ma anche non così piccoli, come Iliad, FW e Sky, anche se questi ultimi due sono un caso a parte) hanno IPoE (che secondo me è un nome poco azzeccato, dato che la maggior parte del traffico IP viene incapsulato in frame Ethernet) e che io sappia i MT non hanno problemi con il routing puro.

Per ovviare tempo fa avevo ipotizzato di mettere un minipc che gestisse la PPPoE e poi a valle tenere il MikroTik, che a qual punto farebbe routing puro.

Alla fine ho sovradimensionato, e ho un RB5009, che per 1 Gbps in download basta e avanza

mario152475

LinusCasp

Scusa ma non capisco. O, meglio, non sono certo di capire cosa c'entra l'offloading hardware puro per il protocollo PPPoE con tutto questo.
La mia osservazione è che con bandwidth test effettuato da router, cioè quindi lo scenario in cui il router si occupa, esclusivamente via CPU, sia di generare traffico che dell'incapsulamento PPPoE, si dimostra che la CPU è in grado di saturare la banda. È noto (e dichiarato dalla stessa Mikrotik nella pagina del prodotto) che la capacità di routing che ci si può realisticamente attendere dall' hAP ax3 è di circa 1.8-1.9Gbps. Infatti, se lancio due speedtest in contemporanea da due dispositivi ottengo 900-940 Mbps su uno e 800-850 Mbps sull'altro.
Quindi, se anche domani Mikrotik implementasse l'offloading hw di PPPoE, non mi aspetto di migliorare significativamente questi risultati (per i motivi che giustamente, in alcune parti almeno, elencavi tu, cioè forwarding, NAT).
Per me le funzioni avanzate (e accessorie, per certi versi) sono, appunto container e VPN. E se il routing e incapsulamento sono su single core, gli altri sono liberi per queste funzioni avanzate che con il forwarding datapath non hanno nulla a che fare.

Dal canto mio ho scelto Mikrotik per tre ragioni:

è un'azienda europea, e mi piace, dove possibile, spendere i miei soldi in questa area geografica
prometteva una flessibilità elevatissima dando anche la possibilità di capire meglio come funzionano certe cose
costi contenuti

La promessa di flessibilità è ampiamente soddisfatta.
Il livello di supporto e aggiornamento è egregio.
E, quindi, sono ampiamente soddisfatto dell'acquisto.

Poi ho scoperto Winbox e l'intera configurazione come file di testo. E ho capito che non tornerò mai più indietro. 🙂

Non credo acquisterò l'hAP be3 (sarebbe solo un upgrade sfizioso) ma aspetto speranzoso nel lancio di wAP be per poter pensionare i miei due ruckus h510 (vanno come una roccia, ma poter consolidare tutto su routeros...).

mario152475

LinusCasp
Temo che non si sia capito quel che ho scritto.

Qui:

LinusCasp Tuttavia, l'architettura Qualcomm su sistema operativo RouterOS v7 non supporta l'offloading hardware puro per il protocollo PPPoE.

hai tirato in ballo la questione PPPoE.
Io ho risposto che:

mario152475 Ho un hAP ax3 e i 2.5Gb li saturo con speedtest su router (quindi in scenario peggiore).

Lo speedtest su router per la parte di PPPoE è uno degli scenari peggiori perché tutto l'incapsulamento deve essere comunque fatto e hai anche la parte di risorse consumate dal processo di btest. O sbaglio?
Poi so anche io che se gli aggiungi il routing lo scenario peggiora. Ma quello è (sostanzialmente) indipendente da PPPoE e lo si avrebbe (forse in misura minore) con ISP non PPPoE. Ed è da questo punto di vista che la tua frase:

LinusCasp MikroTik non ha come mercato di riferimento l'Italia. È sempre stata poco sensibile alle esigenze di chi ha a che fare con il PPPoE e sarà così ancora per molto tempo.

non ha molto senso perché anche in assenza di incapsulamento PPPoE la capacità di routing di 2.5 Gbps in download non ce l'ha. Punto. Ed è davvero per questo che non capisco perché in praticamente tutti i tuoi messaggi butti dentro il PPPoE. Però, oh, limite mio, eh.

Posto che il limite alla capacità di routing è oggettivo, d'altra parte sono oggettive tutte un'insieme di caratteristiche che vanno al di là della capacità di routing.
È infatti oggettivo che l'azienda è europea, è oggettivo il livello di supporto e aggiornamento dei dispositivi, è oggettiva la flessibilità offerta da routeros, è oggettiva la difficoltà a configurarlo, è oggettivo il suo costo, è oggettivo che è esteticamente brutto (scherzo, questo non è oggettivo, ma essendo soggettivo per mia moglie, entra a far parte dell'oggettività 😀).
È invece soggettivo il peso che tutte queste varie caratteristiche assumono nel momento in cui si deve fare una scelta di acquisto.

E, perdonami, è soggettiva (e non sindacabile) la scelta del contratto FTTH che ho attivato. Dire che non ha senso e che sto buttando soldi perché ho un profilo 2.5/1 e un hAP ax3 è senza senso perché non conosci minimamente quali sono le mie esigenze. Secondo me è senza senso consigliare un Flint 2 e AP wifi 7 a parte. È buttare soldi. Ma riconosco che altri hanno diverse esigenze e altre priorità, quindi sto attento a quel che scrivo.

Vuoi un consiglio che vale oro? Impara a considerare e accettare il fatto che ci sono diversi punti di vista ugualmente legittimi basati sugli stessi dati oggettivi.

LinusCasp E come spiegato prima intasare i core e la cache L2/L3 con il datapath PPPoE distrugge le prestazioni se poi vuoi far girare veri servizi avanzati (VPN, SQM, Container).

E io che credevo che per attivare SQM si dovesse disabilitare l'HW offloading...

E ti anticipo che con questo chiudo la discussione.

V0LDY

LinusCasp oh comunque ogni volta che c'è un problema di accelerazione hardware salta fuori Qualcomm, 'tacci loro.

LinusCasp

mario152475

Scindiamo la questione soggettiva da quella oggettiva. È assolutamente legittimo e comprensibile che tu abbia scelto MikroTik per Winbox, per la filosofia del brand o per le interfacce testuali. RouterOS è un software eccellente. Ma l'ingegneria delle reti non si basa sulle preferenze personali: si basa sull'architettura dei processori e sul datapath dei pacchetti. E su questo fronte stai facendo molta confusione.

Andiamo con ordine sui tre errori tecnici del tuo ragionamento:

1) Il test dal router NON è lo scenario peggiore. Affermare che generare traffico dal router sia pesante quanto fare routing dimostra che ignori il funzionamento del packet flow del kernel Linux (su cui si basa RouterOS).

Test dal Router (OUTPUT Chain): Il demone dello speedtest crea un payload fittizio e lo butta direttamente sulla WAN. Il traffico fa questo percorso: Local Process -> Routing Decision -> OUTPUT -> POSTROUTING -> Interfaccia.

Routing Reale LAN-to-WAN (FORWARD Chain): Il traffico fa: Interfaccia Ingress -> PREROUTING -> Conntrack (Stateful lookup) -> Routing Decision -> FORWARD (Firewall Filter) -> POSTROUTING (NAT/Masquerade) -> PPPoE Encap -> Interfaccia Egress.

Nel tuo test dal router il Conntrack (la tabella di tracciamento delle connessioni) non deve gestire migliaia di sessioni TCP/UDP concorrenti generate da decine di client. Il NAT non deve riscrivere header IP e porte per ogni singolo pacchetto. Il Firewall non deve processare la catena di Forward. Il router sta solo pompando bit nulli verso l'esterno. Dire che questo prova la capacità di routing a 2.5G è come dire che un'auto può vincere una gara in pista solo perché messa sul ponte del meccanico con le ruote sollevate da terra il tachimetro segna 300 km/h.

2) L'incomprensione dell'Hardware Offloading. Scrivi:

mario152475 se anche domani Mikrotik implementasse l'offloading hw di PPPoE, non mi aspetto di migliorare significativamente questi risultati (per i motivi che giustamente, in alcune parti almeno, elencavi tu, cioè forwarding, NAT).

Questo è un errore concettuale ENORME. I moderni acceleratori hardware (come le NPU MediaTek o Qualcomm utilizzate da altri brand come QL.inet) non fanno l'offload solo del PPPoE ma del Flow per intero. Quando un pacchetto LAN stabilisce una connessione la CPU lo analizza (Hit). Dal secondo pacchetto in poi la CPU programma lo switch chip/NPU dicendogli: "Tutti i pacchetti di questa sessione mascherarli con questo IP pubblico, incapsulali in PPPoE e buttali sulla WAN".
Risultato? Il traffico LAN-to-WAN bypassa totalmente la CPU e le catene Netfilter. Un router da 100/ 130 euro con chip Filogic satura i 2.5 Gbps in PPPoE + NAT + Firewall con la CPU ferma al 2%. Il tuo hAP ax³ non avendo questa accelerazione hardware per il tunnel PPPoE deve far masticare ogni singolo pacchetto ai core ARM. I tuoi test confermano esattamente il limite architetturale: ti fermi a circa 1,8 Gbps complessivi. Significa che stai pagando per una linea a 2.5G ma il tuo hardware ne sta buttando via quasi il 30% per limiti computazionali.

3) L'illusione dei Core Liberi. Scrivi:

mario152475 Per me le funzioni avanzate (e accessorie, per certi versi) sono, appunto container e VPN. E se il routing e incapsulamento sono su single core, gli altri sono liberi per queste funzioni avanzate che con il forwarding datapath non hanno nulla a che fare.

Anche qui sei completamente fuori strada (come già ho cercato di spiegarti nella mia prima risposta che sembra tu non abbia nemmeno letto). L'architettura di un SoC non funziona a compartimenti stagni. I core condividono il bus di sistema, il controller della RAM e soprattutto la cache L2/L3. Quando il core 0 è saturato al 100% per gestire gli interrupt (softirq) del traffico PPPoE il SoC è sotto stress termico ed elettrico. Se in quel momento avvii un Container o un traffico VPN (Wireguard/IPsec) sugli altri core questi dovranno lottare per l'accesso alla memoria condivisa e alla cache che è già intasata dal datapath del traffico di rete. Il risultato pratico in scenari di forte stress è un crollo delle performance globali e un innalzamento della latenza (bufferbloat e jitter).

Goditi tranquillamente il tuo MikroTik per l'ottimo software che è. Ma non giustificare un limite hardware oggettivo (l'incapacità di fare wire-speed a 2.5 Gbps in PPPoE) con teorie sul datapath che non trovano riscontro nell'ingegneria dei sistemi operativi di rete. Paghi il tuo ISP per una connessione che da contratto ti dovrebbe dare 2.5 Gbps e vuoi a tutti i costi mantenere il tuo router Mikrotik? Non ha senso. Stai buttando soldi. Cambia contratto/ ISP. Ci sono ancora ISP che penso offrano contratti da 1 Gbps.

mario152475

LinusCasp
Guarda, te la dico semplice. Non sei per nulla educato perché scrivere "non leggi, o non capisci quando leggi" non è educato. Forse non ci avevi pensato, forse non lo sapevi, ma è così.

Questi router mikrotik non saturano la banda in download di una linea 2.5 Gbps in situazioni reali di livello home anche se non sono in scenari PPPoE.
Non capisco perché insisti a commettere l'errore concettuale di inserire il PPPoE nella questione, ma ne prendo atto.
Ma lo scrivo nell'interesse di chi si aspetta di saturare la banda dicendo "tanto il mio ISP non usa PPPoE".

LinusCasp Nessuno mai entra nelle scelte degli altri: ognuno è libero di spendere i soldi come vuole.

Diciamo che va un po' in contrasto con:

LinusCasp Paghi il tuo ISP per una connessione che da contratto ti dovrebbe dare 2.5 Gbps e vuoi a tutti i costi mantenere il tuo router Mikrotik? Non ha senso. Stai buttando soldi. Cambia contratto/ ISP. Ci sono ancora ISP che penso offrano contratti da 1 Gbps.

Ma magari sono io che non capisco, eh!
Comunque se hai consigli su un provider su rete fibercop a 1Gbps simmetrici con VoIP incluso a meno di 24.9€ al mese, i consigli sono sempre bene accetti.

LinusCasp

mario152475

Si anche io io chiudo. Ho cercato di spiegarti i limiti oggettivi dei Router Mikrotik in scenari PPPoE. Lo ho fatto educatamente, passo per passo. Ma nulla: o non leggi, o non capisci quando leggi o altre cause che non so ti impediscono di cogliere il punto.

Nessuno mai entra nelle scelte degli altri: ognuno è libero di spendere i soldi come vuole. Tuttavia siamo in un forum, in una community dove magari c'è a chi interessa spendere con oculatezza i propri soldi. Nei loro confronti bisogna fare chiarezza: con i router Mikrotik non si satura la banda a 2.5 Gbps in download in scenari PPPoE (almeno non con i router che abbiamo citato in questa discussione) e lo speedtest fatto come fai tu, dal router, non dà la indicazione di quale velocità il router è in grado di raggiungere nella vita reale.

Ci sono i fanboy Apple. Ci sono anche i fanboy Mikrotik. Al di là dell'hype è sempre tuttavia bene specificare, raccomandare, consigliare dando informazioni corrette.

Ingegner-Gatto

Discussione molte interessante.
Ero interessato a questo dispositivo, ma per un uso diverso con una connessione FWA 5G (indicativamente con una MikroTik ATL 5G R16) e magari mettendoci dentro la usb un coordinatore zigbee per HA, creando una sorta di all-in-one.

In passato quando non conoscevo la limitazione del PPPoE su singolo core dei vari brand/architetture ci ero rimasto pure io un po' male, ma solo informandosi e mettendoci le mani sopra si impara... 😁

Aggiungo però un workaround, chiamiamolo così, interessante:
Sembra sia possibile "spalmare" in multicore i pacchetti PPPoE virtualizzando su un hypervisor (tipo proxmox) con nic in modalità VirtIO.
L'hypervisor Linux prende i frame PPPoE e li inoltra attraverso il bridge virtuale alla VM (ad esempio OPNsense) questo rendendo di fatto l'elaborazione dei pacchetti multi-core.
Sono curioso di sapere cosa ne pensa a riguardo @LinusCasp

Non l'ho provato personalmente, ma ho un vecchio mini pc cinese con intel N5105 su cui potrei tentare l'esperimento e vedere quanta banda riesco a spremere 😉

Mgelain

LinusCasp Grazie per la tua risposta molto esaustiva e appassionata.
Scrivo anche per far presente che, nel sito Gl.inet é presente una pagina relativa al flint 4 (non ci sono ancora le specifiche). Dal codice prodotto, GL-BE14000 mi viene da pensare possa avere chipset Qualcomm in quanto i prodotti con mediatek hanno codice tipo GL-MTxxxx. Che dite? Può essere?

mario152475

Mgelain
Io dico che stiamo andando OT.
E, giusto per ridimensionare le aspettative, il Flint 2 è un bel router ma ha anche lui i suoi limiti. Sinceramente non capisco nel concreto cosa voglia dire la frase "riprendere il controllo della propria connessione trasformando una linea internet comune in un'esperienza di navigazione d'élite". Diciamo che c'è tanto LLM in quel post (IMHO, beninteso).
Basta una ricerca veloce sul forum per trovare esperienze diversificate e consigli di aggiornare/fare il downgrade di determinate versioni firmware, nonché diatribe sulla copertura WiFi (come sempre nel mondo wireless, YMMV).
E il pluricelebrato offloading, ad esempio, va disabilitato se si vuole fare QoS (secondo me il QoS su linee 2.5/1 non serve, ma visto che è stata detta un'inesattezza...).
Ora comunque il Flint 2 è un prodotto maturo e più stabilizzato. Sarà da vedere se e quando il Flint 4 (i rumor dicono MediaTek, BE magari sta per 802.11be aka WiFi7) diventerà anch'esso maturo e stabile. Stesso discorso, naturalmente, vale per l'hAP be3, di cui, però, almeno si conoscono le specifiche. Ancora più fumoso tirare fuori un fantomatico gateway Aruba: arriverà? quando? come sarà? sarà tutto in cloud (con relativa licenza/problemi di aggiornabilità) come in tanti produttori stanno facendo ora? sarà pensato per il PPPoE (visto che sembra essere il tema centrale del topic)?

Azimuth
Non sono sicuro su cosa intendi, ma un controllo così granulare direi di no. Ma siamo OT.

silnos93

mario152475 Hai trovato qualche benchmark in giro sul nuovo mikrotik? Oppure dobbiamo aspettare a Marzo

mario152475

silnos93
C'è la pagina prodotto (https://mikrotik.com/product/hap_be3_media) con i risultati dei test ethernet. Non mi pare che ci sia conferma che sia "definitiva", ma i risultati sono in linea con quanto ci si può aspettare, ovvero performance di routing sensibilmente più basse dell'hAP ax3 (stesso core con freq. più bassa).
Non è una buona notizia, ma non è inattesa.
Dal mio punto di vista, in attesa di informazioni aggiuntive, sulla carta è un prodotto interessante perché non mi interessa saturare la banda ma di avere un prodotto versatile (sia questione container, sia questione bluetooth/matter/thread) e facilmente gestibile (ok, superato lo scalino iniziale, almeno). Per il mio setup, comunque, sono in attesa (e non ho particolare fretta) del successore del wAP ax: coprire tutto l'appartamento in wifi e con bluetooth/matter/thread lo vedo come un plus non da poco. Nel frattempo mi tengo i miei AP e l'hAP ax3 a cui ho disbilitato il wifi (è in un angolo un po' "sacrificato).

E anche i recenti annunci (https://forum.mikrotik.com/t/new-mikrotik-hardware-showed-in-mwc-2026) sono mooolto interessanti.

silnos93

mario152475 Ciao, oggi ho ricontrollato il sito e non trovo piu i test ethernet, li hanno rimossi?

mario152475

silnos93
Già! Speriamo siano ritocchi verso l'alto (che male non fanno mai).

kaa7Oomo

LinusCasp

Stavo cercando info su questo router, sulla carta bello, troppo bello per essere vero ed ecco la doccia fredda. Sono su mikrotik ed uso molto le funzionalità avanzate (dai container. alle VPN) ed ovviamente l'up verso il provider è PPPoE.

Che barba che noia. Mai una gioia.

silnos93

kaa7Oomo Che barba che noia. Mai una gioia.

Diciamo anche che il price launch è quello che è. Non si può aspettare di piu' su quella fascia. Almeno che non si adottino altre soluzioni

I benchmark sono finalmente riapparsi

LSan83

silnos93 I benchmark sono finalmente riapparsi

E da cui si vede che in scenari WAN-LAN avanzati tipo:

kaa7Oomo uso molto le funzionalità avanzate (dai container. alle VPN) ed ovviamente l'up verso il provider è PPPoE.

Siamo attorno ai 1200/1400 Mbps di banda totale. Sinceramente io che ho come connessione WAN massima una fwa 200/50 lo trovo comunque interessante. Ma più che altro come AP+Switch da usare come upgrade nelle stanze più frequentate per i miei vecchi wap AC wave1, come router sono già sovradimensionato con il vecchio RB5009.

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile