Přeskočit na obsah
InstagramYouTubeFacebook

Tutorial

Server PPPoE MikroTik pro ISP

Jak nastavit server PPPoE MikroTik pro ISP: IP pooly, PPP profily, secrets, rate limity a vzdálená správa účastníků za CGNAT.

Shrnutí Server PPPoE MikroTik umožňuje ISP ověřovat účastníky, přidělit každému IP adresu a vynutit rychlostní limit podle tarifu — vše z RouterOS, bez externího RADIUS u malých nasazení. Nastavení je krátký, uspořádaný řetězec: IP pool, PPP profil, secrets účastníků, služba PPPoE a NAT. Těžším problémem není nakonfigurovat jeden koncentrátor, ale provozovat konzistentní, ověřitelnou konfiguraci na mnoha z nich — často za CGNAT. Tento průvodce pokrývá obojí.

Postup nastavení serveru PPPoE MikroTik pro ISP: vytvořte IP pool, sestavte PPP profil, přidejte secrets účastníků, povolte server PPPoE na přístupovém rozhraní, přidejte pravidla NAT a firewallu a nakonec vzdáleně spravujte a ověřujte flotilu.

Co Je Server PPPoE MikroTik?

Server PPPoE MikroTik je služba RouterOS, která ověřuje každého účastníka přes Point-to-Point Protocol over Ethernet, přidělí mu IP z poolu a aplikuje profil řídící jeho bránu, DNS a rychlostní limit. Takto většina malých a středních ISP spravuje připojení zákazníků: zákazník se připojí uživatelským jménem a heslem, server ověří přihlašovací údaj, a relace zdědí přiřazený tarif — ověřování na uživatele, přidělení IP a řízení šířky pásma bez samostatného zařízení (Dokumentace MikroTik — PPPoE).

PPPoE zůstává standardem ISP kvůli odpovědnosti. Každý účastník má individuální přihlašovací údaj, takže můžete zakázat účet za neplacení, vidět, kdo je online, a přiřadit osobě pevnou adresu nebo rychlost — nic z toho doručení přes bridge ani DHCP čistě neposkytuje. Celá konfigurace se redukuje na jednu myšlenku: definujte tarif jednou v profilu a pak k němu připojte účastníky.

Krok 1 — Vytvořte IP pool

Začněte adresami, které bude RouterOS účastníkům půjčovat. Pool je pojmenovaný blok — například /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — dimenzovaný na souběžné relace, které tento koncentrátor ponese, s rezervou. Držte adresu brány profilu (tedy local-address) mimo půjčovatelný rozsah, aby nebyla nikdy omylem přidělena klientovi.

Dimenzujte pool podle hardwaru — skromný router zvládne stovky relací, zařízení třídy CCR tisíce (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Chcete-li místo toho rozdávat veřejné IP, nasměrujte pool na svůj směrovatelný blok a NAT v Kroku 5 přeskočte.

Krok 2 — Sestavte PPP profil

PPP profil je místo, kde tarif žije. Nastavuje local-address (bránu, kterou vidí každý účastník), pool remote-address z Kroku 1, servery DNS a — pro ISP nejdůležitější — rate-limit, který omezuje každou relaci. Přiřaďte profil účastníkovi a zdědí rychlost, takže tarif „20/10“ je jeden profil znovu použitý na tisících účtech (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Jeden detail nachytá téměř každého: směr. RouterOS čte rate-limit profilu jako rx-rate/tx-rate z pohledu serveru — nejprve upload účastníka, pak download, opačně, než jak zákazníci popisují svůj tarif. Balíček „100 Mbps stahování / 30 Mbps odesílání“ se zapíše rate-limit=30M/100M. Prohoďte to a každý zákazník tiše dostane prohozený tarif — přesně tu chybu v měřítku flotily, které šablonová konfigurace předchází.

Krok 3 — Přidejte secrets účastníků

Každý účastník potřebuje „secret“ — uživatelské jméno, heslo a profil, který definuje jeho tarif, vytvořený pod /ppp secret. Pro malou základnu je to celá databáze uživatelů: přidejte secret na zákazníka, volitelně připněte pevnou remote-address pro statickou IP a vypněte secret, abyste přerušili službu. Je to stejná odpovědnost na přihlašovací údaj, kterou User Manager MikroTik rozšiřuje na účastníky hotspotu, popsaná v našem průvodci o bráně hotspotu 10.5.50.1 a User Manageru.

Lokální secrets přestávají škálovat v rozsahu stovek až tisíců, kde se editace jednoho routeru na každou změnu zákazníka stává úzkým hrdlem. V tom bodě přesunete ověřování na externí server RADIUS, a koncentrátory se prostě ptají RADIUS, zda je přihlášení platné — databáze účastníků zůstává na jednom místě.

Krok 4 — Povolte server PPPoE na přístupovém rozhraní

Nyní zapněte službu. Přidejte server PPPoE pomocí /interface pppoe-server server, navažte ho na rozhraní obrácené k vaší přístupové síti (port, VLAN nebo bridge), nastavte jeho default-profile na profil z Kroku 2 a vyberte metody ověřování — pap, chap nebo mschap2. RouterOS pak odpovídá na PPPoE discovery na tomto rozhraní a ověřuje každého klienta, který se připojí s platným secret.

Dvě nastavení jsou v měřítku důležitá. Volba one-session-per-host brání účastníkovi otevřít více souběžných relací, a max-mtu/max-mru by měly být nastaveny tak, aby režie PPPoE nefragmentovala provoz zákazníka. Tam, kde je přístupová síť segmentovaná podle zákazníka nebo zóny, náš průvodce konfigurací bridge MikroTik pokrývá základ Vrstvy 2, na který server navazuje.

Krok 5 — Přidejte pravidla NAT a firewallu

Pokud jste účastníkům v Kroku 1 přidělili privátní adresy, jejich provoz potřebuje překlad. Přidejte pravidlo masquerade v řetězci srcnat navázané na vaše výstupní rozhraní WAN, aby každá relace PPPoE dosáhla internetu — stejné základy NAT popsané v našem průvodci konfigurací NAT na MikroTik. Pokud jste rozdali veřejné IP, masquerade přeskočte a blok směrujte.

Pak chraňte koncentrátor. Služba PPPoE by měla být dosažitelná pro účastníky, ale správní rozhraní routeru ne, takže přidejte pravidla firewallu, která zahazují přístup Winbox, API a WebFig ze strany obrácené k účastníkovi. Koncentrátor nesoucí reálné příjmy od zákazníků je přesně to zařízení, které nechcete dosažitelné z unesené relace.

Krok 6 — Vzdáleně spravujte a ověřujte flotilu

Tady je část, kterou návody o jednom routeru přeskakují. Postavit PPPoE na jednom stroji je snadné; provozovat shodné profily, nastavení MTU a pravidla firewallu na desítkách koncentrátorů — a dokázat, že každý ověřuje relace a vynucuje správné rate limity — je skutečný problém ISP. Komplikuje se to, když přístupový router sedí za Carrier-Grade NAT bez veřejné IP, což je stále běžnější, jak se operátoři opírají o uplinky LTE a Starlink.

Tady si centralizovaná správa zaslouží své místo: MKController udržuje každý router dosažitelný přes ověřený odchozí tunel, i když nemá veřejnou adresu — stejný přístup jako v našem průvodci vzdáleným přístupem MikroTik za CGNAT — takže auditujete konfiguraci a vytlačujete opravy na celou flotilu, s telemetrií, která označí stroj se spadlými relacemi dřív, než zákazníci zavolají.

Tipy

  • Šablonujte profil, ne secrets — každá změna tarifu by se měla dotknout jednoho profilu, nikdy tisíců účtů.
  • Sledujte CPU koncentrátoru: fronty na relaci z rate-limit se sčítají, a přetížený stroj tiše zahazuje relace.
  • Nastavujte max-mtu/max-mru uvážlivě. PPPoE přidává 8 bajtů režie, a výsledná fragmentace je skrytá příčina většiny tiketů „na jedné lokalitě je to pomalé“.
  • Centralizujte ověřování nad několik set uživatelů — lokální secrets roztroušené po routerech se stanou nemožné auditovat.

Řiďte celou svou hranu PPPoE z jediné obrazovky

Server PPPoE na jednom MikroTik je snadný. Provozovat ho na flotile ISP — shodné profily, správný směr rate-limit na každém stroji, zamčená správa a důkaz, že každý koncentrátor ověřuje i za CGNAT bez veřejné IP — je místo, kde operátoři ztrácejí celá odpoledne. To je práce, pro kterou byl MKController postaven: dosáhnout na každý router přes zabezpečený odchozí tunel, auditovat konfiguraci, sledovat živé relace a vytlačit opravu na celou flotilu najednou, s telemetrií, která označí stroj se spadlými relacemi dřív, než zákazník vůbec zavolá. Tak ISP provozující PPPoE na MikroTik mění dřinu router po routeru v jedinou řídicí rovinu.

Spusťte bezplatnou zkušební verzi MKController