Tutorial
Servidor PPPoE MikroTik per a ISP
Com configurar un servidor PPPoE MikroTik per a un ISP: pools d'IP, perfils PPP, secrets, rate limits i gestió remota d'abonats darrere de CGNAT.
Resum Un servidor PPPoE MikroTik permet a un ISP autenticar abonats, assignar a cadascun una adreça IP i imposar un límit de velocitat per pla — tot des de RouterOS, sense RADIUS extern per a desplegaments petits. La configuració és una cadena curta i ordenada: un pool d’IP, un perfil PPP, els secrets d’abonat, el servei PPPoE i el NAT. El problema més difícil no és configurar un concentrador, sinó executar una configuració coherent i verificable en molts d’ells — sovint darrere de CGNAT. Aquesta guia cobreix tots dos.

Què És un Servidor PPPoE MikroTik?
Un servidor PPPoE MikroTik és un servei de RouterOS que autentica cada abonat sobre Point-to-Point Protocol over Ethernet, li lliura una IP d’un pool i aplica un perfil que controla la seva passarel·la, DNS i límit de velocitat. És com la majoria d’ISP petits i mitjans gestionen les connexions de clients: un client es connecta amb nom d’usuari i contrasenya, el servidor verifica la credencial, i la sessió hereta el pla assignat — autenticació per usuari, assignació d’IP i control d’amplada de banda sense equip a part (Documentació de MikroTik — PPPoE).
El PPPoE continua sent l’estàndard dels ISP per la rendició de comptes. Cada abonat té una credencial individual, així que pots desactivar un compte per impagament, veure qui està en línia i lligar una adreça fixa o una velocitat a una persona — res d’això ho ofereix de manera neta el lliurament per bridge o DHCP. Tota la configuració es redueix a una idea: defineix el pla un cop en un perfil i després connecta-hi els abonats.
Pas 1 — Crea el pool d’IP
Comença per les adreces que RouterOS prestarà als abonats. Un pool és un bloc amb nom — per exemple /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — dimensionat a les sessions simultànies que portarà aquest concentrador, amb marge. Mantén l’adreça de passarel·la del perfil (la local-address) fora del rang prestable perquè mai no es lliuri a un client per accident.
Dimensiona el pool segons el maquinari — un router modest gestiona centenars de sessions, un equip de classe CCR els milers (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Per lliurar IP públiques, apunta el pool al teu bloc encaminable i salta’t el NAT del Pas 5.
Pas 2 — Construeix el perfil PPP
El perfil PPP és on viu un pla. Estableix la local-address (la passarel·la que veu cada abonat), el pool remote-address del Pas 1, els servidors DNS i — el més important per a un ISP — el rate-limit que limita cada sessió. Assigna el perfil a un abonat i hereta la velocitat, així un pla “20/10” és un sol perfil reutilitzat en milers de comptes (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).
Un detall enganya gairebé tothom: la direcció. RouterOS llegeix el rate-limit del perfil com a rx-rate/tx-rate des del punt de vista del servidor — primer la pujada de l’abonat, després la baixada, a l’inrevés de com els clients descriuen el seu pla. Un paquet “100 Mbps de baixada / 30 Mbps de pujada” s’escriu rate-limit=30M/100M. Inverteix-ho i cada client rep en silenci un pla intercanviat — justament l’error a escala de flota que la configuració amb plantilla evita.
Pas 3 — Afegeix els secrets d’abonat
Cada abonat necessita un “secret” — nom d’usuari, contrasenya i el perfil que defineix el seu pla, creat sota /ppp secret. Per a una base petita, això és tota la base de dades d’usuaris: afegeix un secret per client, opcionalment fixa una remote-address per a una IP estàtica i desactiva el secret per tallar el servei. És la mateixa rendició de comptes per credencial que el User Manager de MikroTik amplia per als abonats de hotspot, tractada a la nostra guia sobre la passarel·la de hotspot 10.5.50.1 i el User Manager.
Els secrets locals deixen d’escalar en el rang de centenars a milers, on editar un router per cada canvi de client esdevé el coll d’ampolla. En aquest punt mous l’autenticació a un servidor RADIUS extern, i els concentradors simplement pregunten a RADIUS si un inici de sessió és vàlid — mantenint la base de dades d’abonats en un sol lloc.
Pas 4 — Activa el servidor PPPoE a la interfície d’accés
Ara engega el servei. Afegeix un servidor PPPoE amb /interface pppoe-server server, lliga’l a la interfície orientada a la teva xarxa d’accés (un port, VLAN o bridge), estableix el seu default-profile al perfil del Pas 2 i tria els mètodes d’autenticació — pap, chap o mschap2. RouterOS llavors respon al descobriment PPPoE en aquella interfície i autentica qualsevol client que es connecti amb un secret vàlid.
Dos paràmetres importen a escala. L’opció one-session-per-host impedeix que un abonat obri múltiples sessions simultànies, i max-mtu/max-mru s’han d’establir perquè l’overhead del PPPoE no fragmenti el trànsit del client. On la xarxa d’accés està segmentada per client o zona, la nostra guia de configuració del bridge MikroTik cobreix la base de Capa 2 sobre la qual s’assenta el servidor.
Pas 5 — Afegeix regles de NAT i tallafocs
Si al Pas 1 has assignat adreces privades als abonats, el seu trànsit necessita traducció. Afegeix una regla de masquerade a la cadena srcnat lligada a la teva interfície de sortida WAN perquè cada sessió PPPoE arribi a internet — els mateixos fonaments de NAT tractats a la nostra guia per configurar NAT a MikroTik. Si has lliurat IP públiques, salta’t el masquerade i encamina el bloc.
Després protegeix el concentrador. El servei PPPoE hauria de ser accessible pels abonats, però les interfícies de gestió del router no, així que afegeix regles de tallafocs que descartin l’accés Winbox, API i WebFig des del costat orientat a l’abonat. Un concentrador que porta ingressos reals de clients és justament el dispositiu que no vols accessible des d’una sessió segrestada.
Pas 6 — Gestiona i verifica la flota de manera remota
Aquí hi ha la part que els tutorials d’un sol router salten. Aixecar PPPoE en una màquina és fàcil; executar perfils, paràmetres de MTU i regles de tallafocs idèntics en desenes de concentradors — i demostrar que cadascun autentica sessions i imposa els rate limits correctes — és el veritable problema de l’ISP. Es complica quan un router d’accés és darrere de Carrier-Grade NAT sense IP pública, cada cop més comú a mesura que els operadors s’apoien en enllaços LTE i Starlink.
Aquí és on la gestió centralitzada es guanya el lloc: MKController manté cada router accessible per un túnel sortint autenticat fins i tot quan no té adreça pública — el mateix enfocament de la nostra guia d’accés remot MikroTik darrere de CGNAT — perquè auditis la configuració i empenyis correccions a tota la flota, amb telemetria que assenyala una màquina amb sessions caigudes abans que els clients truquin.
Consells
- Fes plantilla del perfil, no dels secrets — cada canvi de pla hauria de tocar un perfil, mai milers de comptes.
- Vigila la CPU del concentrador: les cues per sessió del
rate-limits’acumulen, i una màquina sobrecarregada descarta sessions en silenci. - Estableix
max-mtu/max-mruamb cura. El PPPoE afegeix 8 bytes d’overhead, i la fragmentació resultant és la causa oculta de la majoria de tiquets “va lent en un sol lloc”. - Centralitza l’autenticació més enllà d’uns quants centenars d’usuaris — els secrets locals escampats pels routers esdevenen impossibles d’auditar.
Governa tota la teva vora PPPoE des d’una sola pantalla
Un servidor PPPoE en un sol MikroTik és fàcil. Executar-lo en una flota d’ISP — perfils idèntics, la direcció del rate-limit correcta a cada màquina, la gestió blindada i la prova que cada concentrador autentica fins i tot darrere de CGNAT sense IP pública — és on els operadors perden tardes senceres. Aquesta és la feina per a la qual es va construir MKController: arribar a cada router per un túnel sortint segur, auditar la configuració, observar sessions en viu i empènyer una correcció a tota la flota alhora, amb telemetria que assenyala una màquina amb sessions caigudes abans que un client ni tan sols truqui. És així com els ISP que executen PPPoE a MikroTik converteixen una tasca router per router en un únic pla de control.