ONT in modalità bridge o router: quale scegliere sulla fibra

Sulla fibra FTTH l'ONT (Optical Network Terminal) è il dispositivo che converte il segnale ottico in segnale elettrico utilizzabile dalla rete locale. Può operare in due modalità diverse, e la scelta determina chi gestisce realmente la tua connessione: il modem del provider o un router di tua proprietà.

Cosa fa l'ONT

L'ONT termina la fibra. Riceve la luce dalla rete GPON/XGS-PON e la traduce in un flusso dati Ethernet. Da solo non instrada il traffico verso Internet: serve sempre un dispositivo che gestisca la sessione PPPoE o IPoE e faccia da gateway. La differenza tra le due modalità sta proprio in dove avviene questa gestione.

Esistono due forme fisiche:

• ONT integrato: incluso dentro il modem/router fornito dal provider (un unico apparato)
• ONT esterno (SFP o box dedicato): un dispositivo separato collegato via Ethernet al router

Modalità router

In modalità router l'apparato del provider fa tutto: stabilisce la sessione PPPoE, ottiene l'IP pubblico, esegue il NAT, gestisce il Wi-Fi e il firewall. È la configurazione predefinita di quasi tutti gli operatori.

Vantaggi:

• Zero configurazione, funziona appena collegato
• Supporto del provider su un solo apparato
• Aggiornamenti firmware gestiti dall'operatore

Limiti:

• Funzioni di routing spesso ridotte (no VLAN avanzate, QoS limitato, regole firewall basilari)
• Wi-Fi mediocre sui modelli entry-level
• Doppio NAT se colleghi un secondo router a valle

Modalità bridge

In modalità bridge l'ONT smette di fare da router e si limita a "passare" il segnale: la sessione PPPoE e l'IP pubblico vengono gestiti dal tuo router, collegato dietro l'ONT. L'apparato del provider diventa un semplice convertitore ottico-elettrico.

Vantaggi:

• Controllo completo su routing, firewall, VLAN, QoS
• IP pubblico assegnato direttamente al tuo router (niente doppio NAT)
• Possibilità di usare hardware professionale (MikroTik, pfSense, Ubiquiti)
• Port forwarding, VPN e DDNS senza limitazioni del modem provider

Limiti:

• Devi configurare manualmente le credenziali PPPoE (se l'operatore le fornisce)
• Il supporto del provider può fermarsi all'ONT
• Richiede competenze di rete per la configurazione iniziale

Quando conviene la modalità bridge

La modalità bridge ha senso se:

• Usi un router tuo con funzioni avanzate (segmentazione VLAN, firewall granulare, tunnel WireGuard)
• Hai bisogno dell'IP pubblico direttamente sul router per servizi self-hosted
• Vuoi evitare il doppio NAT che complica VoIP, gaming e accessi remoti
• Gestisci una piccola rete aziendale con esigenze specifiche

Per un uso domestico standard — navigazione, streaming, smart home — la modalità router predefinita è più che sufficiente e ti evita complicazioni.

Cosa serve per passare a bridge

1. Credenziali PPPoE dell'operatore (username e password), se la connessione le richiede. Alcuni provider usano IPoE senza autenticazione.
2. Un router compatibile con porta WAN Ethernet e supporto PPPoE/VLAN.
3. VLAN ID corretto: molti operatori incapsulano il traffico in una VLAN specifica (spesso 835 o simile). Va impostata sulla WAN del router.
4. Abilitazione del bridge sull'ONT, talvolta richiedibile solo al supporto del provider.

Doppio NAT: il problema da evitare

Se lasci il modem provider in modalità router e ci attacchi dietro un secondo router anche lui in NAT, ottieni due livelli di traduzione degli indirizzi. Conseguenze tipiche:

• Port forwarding che non funziona
• Problemi con VoIP e videochiamate
• Latenza aggiuntiva e difficoltà nei giochi online
• VPN in ingresso irraggiungibili

La modalità bridge elimina il problema alla radice perché esiste un solo dispositivo che fa NAT: il tuo.

Verifica della modalità attiva

Per capire in quale modalità stai operando senza aprire il modem:

• Controlla l'IP della tua WAN. Se sul tuo router vedi un IP pubblico (es. 81.x.x.x) sei in bridge; se vedi un IP privato (192.168.x.x o 100.64.x.x in CGNAT) c'è un router a monte.
• Verifica la presenza di un solo dispositivo che gestisce il Wi-Fi e il DHCP: due gateway in cascata indicano doppio NAT.

Un rapido test da traceroute 8.8.8.8: se il primo hop è un indirizzo privato e il secondo è anch'esso privato prima di uscire, hai due livelli di NAT.

In sintesi

La modalità router è plug-and-play e adatta alla maggior parte degli utenti. La modalità bridge dà controllo totale ed è la scelta giusta per chi ha un router proprio e necessità avanzate. Su Velix puoi richiedere la configurazione bridge se vuoi gestire la connessione con hardware dedicato: contatta il supporto per ricevere i parametri PPPoE e l'eventuale VLAN ID della tua linea.