Cos'è il protocollo PPPoE ? PPPoE (Point-to-Point Protocol over Ethernet) è uno standard progettato per autenticare gli utenti sulle reti Ethernet, nato negli anni delle prime ADSL ma ancora oggi usato su molte connessioni in fibra (FTTC/FTTH). Come tutti i protocolli anche PPPoE ha i suoi vantaggi e svantaggi che in breve possiamo riassumere cosi: i pro sono Autenticazione integrata (username/password) e gestione facilitata per gli ISP, di contro, il PPPoE va soggetto a overhead ovvero aggiunge circa 8 byte ai pacchetti, comporta un carico CPU elevato su router e firewall e presenta limitazioni a velocità Gigabit o superiori. Quando si usa PPPoE è importante anche sapere che il parametro MTU (Maximum Transmission Unit) può influenzare la velocità e l'efficienza della connessione Internet, su Ethernet classica l'MTU standard è 1500 byte, ma con PPPoE deve essere ridotta, tipicamente a 1492 byte (1500 - 8). Se l'MTU non è impostato correttamente, i pacchetti possono essere frammentati o scartati, causando ritrasmissioni, latenza maggiore e anche una velocità di download/upload più bassa. Un MTU troppo grande può causare problemi di comunicazione (pacchetti che non arrivano o time-out), mentre uno troppo piccolo spreca banda perché aumenta l'overhead relativo. Ciò premesso se si usa PPPoE e si regola l’MTU (o il router non lo fa automaticamente), si può avere una connessione più lenta o instabile. Impostare l’MTU correttamente (di solito a 1492 o poco meno) può migliorare sia stabilità che prestazioni. Ora cerchiamo di spiegare perché PPPoE limita la velocità a 1 Gbps, come appena spiegato, ogni pacchetto PPPoE include circa 8 byte di overhead extra, riducendo così leggermente la banda effettiva tuttavia questo non è il vero collo di bottiglia, ma contribuisce. A differenza di IPoE, PPPoE richiede che il router gestisca l'incapsulamento e de-incapsulamento dei pacchetti, aumentando il carico di lavoro della CPU. Se il router non è sufficientemente potente, si rischia di non raggiungere il Gigabit. Molti router consumer (anche se dichiarano porte Gigabit) non sono ottimizzati per gestire PPPoE a piena velocità proprio perchè dotati di CPU non sufficientemente potenti. Anche se dotati di porte Gigabit, molti dispositivi, specie quelli progettati anni fa, non riescono a gestire flussi PPPoE ad alte prestazioni. Spesso si pensa che dispositivi professionali, anche se datati, possano garantire ottime prestazioni su linee FTTH moderne. In realtà, non è così, ecco alcuni esempi pratici:

Zyxel ZyWALL USG 200

  • Epoca: Introdotto intorno al 2008–2009.
  • Prestazioni:
    • Throughput firewall dichiarato circa 200 Mbps.
  • Limiti:
    • Hardware non progettato per linee superiori a 100 Mbps.
    • PPPoE estremamente gravoso sulle CPU single-core lente.
    • Nessuna accelerazione hardware moderna per traffico internet puro.

Check Point 730 Appliance

  • Epoca: Introdotto circa nel 2015.
  • Prestazioni:
    • Firewall throughput massimo dichiarato circa 900 Mbps.
    • VPN throughput molto più basso (~200 Mbps).
  • Limiti:
    • Sotto PPPoE puro, il throughput reale difficilmente supera i 400–600 Mbps.
    • Molto dipendente da configurazioni firewall attive (inspection, IPS, antivirus).
    • Progettato più per sicurezza che per throughput massimi.

E' evidente che i dispositivi firewall/gateway professionali ma "obsoleti" sono stati progettati principalmente per garantire sicurezza avanzata (IPS, VPN, antivirus) e gestire linee internet molto più lente delle odierne FTTH Gigabit. Anche se di fascia alta, questi dispositivi non riescono a saturare una linea moderna da 1 Gbps, specialmente sotto sessione PPPoE. Per ottenere 1 Gbps reali su PPPoE è necessario un router moderno e potente preferibilmente con queste caratteristiche:

  • CPU multicore (almeno 1 GHz).
  • PPPoE offloading hardware.
  • Porte WAN/LAN Gigabit.

Alcuni esempi pratici:

  • Ubiquiti EdgeRouter 4
  • MikroTik RB5009UG+S+
  • Asus RT-AX88U

Inoltre si consiglia di: Abilitare il supporto hardware per PPPoE dove disponibile, per ridurre il carico sulla CPU, passare a IPoE se disponibile, infatti eliminando PPPoE, si guadagna immediatamente efficienza e velocità, senza overhead, se possibile poi, un ulteriore metodo per ottimizzare la connessione ad internet consiste nel mettere il modem dell’operatore in modalità bridge e usare un router di alta qualità per la gestione diretta della connessione.

Router / firewall in grado di gestire PPPoE da 1 gigabit/s simili a Zyxel USG 200, quindi di fascia "business":

Zyxel USG Flex 100

  • Fino a 900 Mbps in NAT puro, ottimo per piccole sedi.
  • Supporta PPPoE senza problemi, VPN, gestione centralizzata.
  • UTM opzionale (se ti serve antivirus, IDS/IPS).

Zyxel USG Flex 200

  • Più potente del Flex 100, regge tranquillamente 1 Gbps NAT/PPPoE.
  • Ideale se pensi a crescita futura o più sedi collegate.

Più potenti o di altro brand:

MikroTik RB5009UG+S+IN

  • Piccolo, potentissimo, costa poco (relativamente).
  • 1 Gbps senza problemi, anche PPPoE è super ottimizzato.
  • Più tecnico da configurare (RouterOS). 

Ubiquiti EdgeRouter 4

  • Fino a 3-4 Gbps NAT/PPPoE, super stabile.
  • Buon compromesso costo/prestazioni.
  • Interfaccia abbastanza amichevole.

Fortinet FortiGate 40F

  • Se vuoi sicurezza avanzata già pronta (UTM, firewall next-gen).
  • 1 Gbps NAT senza problemi, anche con DPI parziale.

Più semplici e consumer-grade, tipo “installo e dimentico” possiamo considerare:

AVM FRITZ!Box 5530 Fiber o 7590 AX

  • Se hai FTTH o FTTC, supportano PPPoE e 1 Gbps reali.
  • Includono anche WiFi top di gamma.
  • Sono più router che firewall però, occhio.

Tutte le soluzioni sopra citate hanno costi medio alti in genere dai 150€ in su, con parecchi paletti sia in termini di supporto software sia dal punto di vista di eventuali upgrade. Fortunatamente per gestire 1 gigabit/s in PPPoE, contenere i costi e assicurarsi un "mezzo" che sia ampiamente scalabile e gestibile sia dal punto di vista hardware sia da quello software è possibile optare per un mini PC industriale equipaggiato da una distribuzione tipo pfSense-CE 2.7, OPNsense 23.x, pfSense Plus, OpenWrt. Infatti i vantaggi di questa soluzione non sono affatto pochi: Prestazioni elevate (CPU potente, RAM abbondante), Interfaccia grafica (OpenWrt ha LuCI, molto intuitiva), Flessibilità totale (firewall, PPPoE, VPN, NAT avanzato... tutto personalizzabile), presenza di WiFi a propria discrezione (o solo se vuoi, dipende dal mini PC scelto). Se si opta per questo genere di soluzioni è importante fare attenzione ad alcune caratteristiche tecniche chiave, infatti è bene precisare che il mini PC sia equipaggiato con porte Ethernet Intel i211/i210 (importante per piena compatibilità e prestazioni di rete), deve supportare OpenWrt x86-64 (quasi tutti i mini PC industriali moderni vanno bene), presenza di SSD o eMMC sufficiente (bastano 8-16 GB per OpenWrt).

Alcuni esempi pratici molto usati (mini PC industriali) troviamo:

  • Protectli Vault FW4B (4x Intel NIC) ➔ già pensato per firewall/router.
  • Qotom Q355G4 / Q575G6 ➔ molto usati in progetti OpenWrt e pfSense.
  • Topton N5105 / N100 fanless firewall appliance ➔ moderni e super efficienti.

In pratica:

  • CPU Intel Celeron J4125, J6412, N5105, o anche N100 ➔ ottimi consumi/prestazioni.
  • 4 porte LAN ➔ perfetto per WAN+LAN+DMZ+guest se vuoi segmentare.

Equipaggiamento Hardware tipo:

  •  CPU Intel N5105
  • 8GB RAM
  • 128GB SSD
  • 4x LAN Intel i225-V 2.5G
  • Fanless

Con sopra OpenWrt x86-64 installato si ottiene oltre 1 Gbps in PPPoE + firewall NAT senza problemi, e tutto gestibile da browser tramite LuCI!
Confronto veloce Mini PC vs Zyxel/EdgeRouter:

Caratteristica

Mini PC OpenWrt

Zyxel Flex/EdgeRouter

Costo

Medio (200-350€)

Medio-alto (250-500€)

Prestazioni

Altissime (x86)

Buone (ARM/MIPS)

Interfaccia grafica

LuCI semplice

WebGUI Zyxel o Ubiquiti semplice

Espandibilità

Massima (pacchetti OpenWrt)

Limitata

Ecco alcune opzioni facilmente reperibili online:

1. Topton N5105 Mini PC Firewall

  • CPU: Intel Celeron N5105 (4 core, 4 thread)
  • RAM: 8GB DDR4
  • Storage: 128GB SSD
  • Porte LAN: 4x Intel i225-V 2.5Gbps
    • Caratteristiche:
    • Design fanless per funzionamento silenzioso
    • Supporta OpenWrt x86-64
    • Compatibile con altri sistemi come pfSense, OPNsense
    • Prezzo: Circa €200-250 (varia in base alla configurazione)

2. KingNovy N5105 Mini PC con 4 porte LAN

  • CPU: Intel Celeron N5105
  • RAM: 8GB DDR4
  • Storage: 128GB SSD
  • Porte LAN: 4x Intel i225-V 2.5Gbps
    • Caratteristiche:
    • Struttura in alluminio per una migliore dissipazione del calore
    • Compatibile con OpenWrt, pfSense, OPNsense
    • BIOS configurabile per supportare l'avvio EFI
    • Prezzo: Circa €220-260

3. HUNSN RJ09 Mini PC con CPU N5105

  • CPU: Intel Celeron N5105
  • RAM: 8GB DDR4
  • Storage: 128GB SSD
  • Porte LAN: 4x Intel i225-V 2.5Gbps
    • Caratteristiche:
    • Design compatto e fanless
    • Supporta OpenWrt x86-64
    • Possibilità di espansione con moduli Wi-Fi (se necessario)
    • Prezzo: Circa €210-240

Alcune considerazioni: tutti i modelli sopra elencati utilizzano porte LAN Intel i225-V / i226-V, che sono ben supportate da OpenWrt, assicurati di utilizzare l'immagine Combined EFI di OpenWrt per garantire la compatibilità con il BIOS UEFI del mini PC, con questi dispositivi, puoi aspettarti throughput superiori a 1 Gbps su PPPoE, NAT e firewall, rendendoli ideali per connessioni FTTH fino a 1 Gbps inoltre OpenWrt offre l'interfaccia LuCI, che è intuitiva e facile da usare per la gestione del dispositivo.