O Stack Completo de um Provedor Moderno
Rodar um provedor de internet em 2026 exige muito mais do que um roteador MikroTik e um ERP. A regulação apertou (Marco Civil, LGPD, ANATEL), os clientes ficaram exigentes e a concorrência entre ISPs nunca foi tão grande.
Este guia lista todas as ferramentas essenciais que um provedor precisa, organizadas por categoria. Para cada uma, mostramos o que faz, as opções mais usadas no mercado brasileiro, faixa de preço e nossa recomendação.
Se você está montando um provedor do zero ou quer profissionalizar a operação, use este guia como checklist.
1. ERP / Billing — O Sistema de Gestão
O ERP é o coração administrativo do provedor. Controla clientes, contratos, cobranças, notas fiscais, ordens de serviço e integração com gateways de pagamento.
| Ferramenta | Tipo | Faixa de Preço | Destaque |
|---|---|---|---|
| MK-Auth | Self-hosted | Licença única ~R$ 700 | Mais popular entre pequenos, integração nativa RADIUS/MikroTik |
| IXCSoft | SaaS | A partir de R$ 3/assinante | Completo, módulo fibra, OS campo, app técnico |
| SGP (Desenvolvedor Master) | SaaS | A partir de R$ 2,50/assinante | 150+ endpoints API, módulo CPE Manager TR-069 |
| Hubsoft | SaaS | A partir de R$ 2/assinante | Interface moderna, bom para FTTH |
| Controllr | SaaS/Self-hosted | Variável | Alternativa MikroTik-friendly |
Recomendação: Se você tem menos de 500 assinantes e usa MikroTik, MK-Auth resolve. Acima disso, IXCSoft ou SGP oferecem mais automação e menos dor de cabeça com escalabilidade.
2. Monitoramento de Rede
Sem monitoramento, você só descobre problemas quando o telefone toca. Monitoramento SNMP, ping e traps é o mínimo.
| Ferramenta | Tipo | Preço | Destaque |
|---|---|---|---|
| Zabbix | Open source | Gratuito | Padrão do mercado ISP, templates MikroTik/Huawei, escalável |
| LibreNMS | Open source | Gratuito | Auto-discovery excelente, interface web mais intuitiva |
| PRTG | Comercial | ~US$ 1.750 (1000 sensores) | Setup rápido, bom para quem não quer mexer em Linux |
| Observium | Freemium | Gratuito (Community) | Bom para visualização de tráfego por interface |
Recomendação: Zabbix para quem quer flexibilidade total e não se importa com curva de aprendizado. LibreNMS para quem quer algo funcional rápido. PRTG se dinheiro não é problema.
3. Dashboards e Visualização (NOC)
Dashboards transformam dados brutos em decisões rápidas. Essencial para o NOC e para reuniões de gestão.
- Grafana (gratuito) — O padrão. Conecta em Zabbix, Prometheus, InfluxDB, MySQL. Dashboards lindos e compartilháveis.
- Uptime Kuma (gratuito) — Status page público + monitoramento HTTP/ping/DNS. Alertas via Telegram, Discord, Slack.
- Weathermap (gratuito) — Mapa visual de topologia com tráfego em tempo real. Plugin para Grafana ou Zabbix.
4. Gestão de Logs CGNAT — Compliance Marco Civil
Desde 2014, todo provedor que usa CGNAT é obrigado por lei a guardar logs de tradução NAT (IP + porta + timestamp + assinante) por no mínimo 1 ano. Essa é a categoria que mais provedor brasileiro negligencia — e que mais gera multa.
| Ferramenta | Tipo | Preço | Destaque |
|---|---|---|---|
| NATVault | SaaS | A partir de R$ 149/mês | Feito para ISP brasileiro, correlação automática, resposta a ofícios |
| LogFull | SaaS | Variável por assinante | Focado em ISP, integração com ERPs |
| Graylog | Open source | Gratuito (CE) / pago (Enterprise) | Genérico, requer expertise para configurar para CGNAT |
| ELK Stack | Open source | Gratuito | Poderoso mas pesado — precisa de muito hardware e manutenção |
| VictoriaLogs | Open source | Gratuito | Leve e rápido, boa alternativa ao Graylog para quem tem equipe técnica |
Resolva isso automaticamente com NATVault
NATVault foi construído especificamente para o problema de logs CGNAT em ISPs brasileiros. Recebe syslog, correlaciona com PPPoE, armazena por 1+ ano e gera relatórios para ofícios judiciais em minutos.
Começar teste grátisRecomendação: Se você não tem equipe para manter Graylog/ELK (e a maioria dos pequenos não tem), use NATVault. O custo do SaaS é menor que o custo das horas de manutenção de uma stack self-hosted.
5. Provisionamento TR-069
Gerenciar roteadores CPE (na casa do cliente) manualmente não escala. TR-069 permite configurar, atualizar firmware e diagnosticar remotamente.
- GenieACS (gratuito) — Open source, suporte a maioria dos CPEs brasileiros (Intelbras, Multilaser, TP-Link, Datacom). Requer ajustes de provisions por modelo.
- SGP CPE Manager (pago, incluso no SGP) — Integrado ao ERP, mais fácil de usar mas fechado ao ecossistema SGP.
- ACS comerciais (AVSystem, Axiros) — Para grandes provedores. Caros mas muito completos.
Exemplo de provision GenieACS para configurar WiFi:
// Provision script: set-wifi.js
const ssid = declare("Device.WiFi.SSID.1.SSID", {value: 1}, {value: "MinhaRede"});
const key = declare("Device.WiFi.AccessPoint.1.Security.KeyPassphrase",
{value: 1}, {value: "SenhaSegura123"});6. Proteção DDoS
Ataques DDoS são realidade diária para ISPs. Ferramentas de detecção e mitigação:
- FastNetMon (freemium) — Detecta ataques via NetFlow/sFlow/SPAN, aciona blackhole BGP automaticamente. Community Edition é gratuita.
- Wanguard (pago) — Alternativa comercial, bom suporte, popular entre ISPs brasileiros médios.
- MikroTik Firewall (incluso) — Connection-limit, address-list dinâmicas. Não substitui uma solução dedicada mas ajuda como primeira linha.
Configuração básica de detecção no MikroTik:
/ip firewall filter
add chain=forward protocol=tcp connection-limit=100,32 \
action=add-src-to-address-list address-list=possivel-ddos \
address-list-timeout=1h7. Backup de Configuração
Quantas vezes alguém fez uma mudança no roteador e não tinha backup da config anterior?
- Oxidized (gratuito) — Faz backup automático de configs de MikroTik, Huawei, Cisco, Datacom. Versiona em Git. Setup em Docker.
- RANCID (gratuito) — O avô do Oxidized. Funcional mas interface menos amigável.
- Unimus (pago) — Interface web bonita, diff visual, alertas de mudança. Bom para quem não quer mexer em CLI.
Oxidized com MikroTik em Docker:
# /etc/oxidized/router.db
172.20.1.105:routeros:cesar:SenhaAqui
172.20.1.58:routeros:cesar:SenhaAqui
172.20.1.90:routeros:cesar:SenhaAqui8. Análise de Tráfego (NetFlow)
- Akvorado (gratuito) — Moderno, leve, visualização por AS/prefixo/interface. Ideal para ISP.
- ntopng (freemium) — Análise profunda de tráfego, DPI, detecção de anomalias.
- nfdump/nfsen (gratuito) — Clássico, leve, funciona bem mas interface web datada.
9. DNS
- PowerDNS Recursor (gratuito) — Recursivo performático, bom para ISP.
- Pi-hole / AdGuard Home (gratuito) — DNS com filtro. Útil para serviço premium "internet limpa".
- Cloudflare DNS (gratuito) — Para DNS autoritativo dos domínios do provedor.
Resumo: Stack Recomendado por Porte
| Categoria | Até 1.000 assinantes | 1.000 - 5.000 | 5.000+ |
|---|---|---|---|
| ERP | MK-Auth | IXCSoft / SGP | IXCSoft / SGP |
| Monitoramento | Zabbix | Zabbix | Zabbix + LibreNMS |
| Dashboards | Grafana + Kuma | Grafana + Kuma + Weathermap | Grafana Enterprise |
| Logs CGNAT | NATVault | NATVault | NATVault / stack própria |
| TR-069 | GenieACS | GenieACS / SGP CPE | ACS comercial |
| DDoS | MikroTik firewall | FastNetMon CE | FastNetMon Adv / Wanguard |
| Backup config | Oxidized | Oxidized | Oxidized / Unimus |
| NetFlow | — | Akvorado | Akvorado + ntopng |
Resolva isso automaticamente com NATVault
Complete seu stack de ferramentas com gestão de logs CGNAT profissional. Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisPerguntas Frequentes
Qual o custo mensal total de ferramentas para um ISP de 1.000 assinantes?
Usando ferramentas open source para monitoramento, dashboards e backup, e NATVault para logs, o custo fica entre R$ 150-400/mês em software. O maior custo é o ERP: MK-Auth tem licença única (~R$ 700), enquanto IXCSoft/SGP cobram R$ 2-3/assinante/mês (R$ 2.000-3.000/mês). Hardware para rodar tudo: um servidor Proxmox com 32GB RAM e SSD resolve.
Posso usar apenas ferramentas gratuitas?
Tecnicamente sim, mas na prática não é viável para todas as categorias. Monitoramento (Zabbix), dashboards (Grafana) e backup (Oxidized) são excelentes como open source. Já para ERP e logs CGNAT, as soluções comerciais economizam muito tempo de manutenção. O tempo do seu técnico custa dinheiro — às vezes mais que a licença do software.
GenieACS funciona com qualquer roteador CPE?
GenieACS funciona com qualquer CPE que implemente TR-069 (CWMP). Na prática, a maioria dos roteadores vendidos no Brasil suporta: Intelbras (W4-300F, W5-1200F, W6-1500), TP-Link, Multilaser, Datacom, ZTE. Cada modelo precisa de provisions específicas, mas a comunidade já tem scripts para os mais comuns.
FastNetMon Community Edition é suficiente para proteção DDoS?
Para provedores de até 5.000 assinantes com tráfego até 10 Gbps, a Community Edition detecta ataques bem. O que ela não faz (na versão gratuita) é mitigar automaticamente via BGP FlowSpec ou scrubbing. Para mitigação automática, você precisa da versão Advanced ou integrar manualmente com blackhole BGP no seu roteador de borda.