Zum Inhalt springen
InstagramYouTubeFacebook

Tutorial

MikroTik PPPoE-Server für Internetanbieter

So richten Sie einen MikroTik PPPoE-Server für einen Provider ein: IP-Pools, PPP-Profile, Secrets, Rate Limits und Fernverwaltung von Teilnehmern hinter CGNAT.

Zusammenfassung Ein MikroTik PPPoE-Server erlaubt einem Provider, Teilnehmer zu authentifizieren, jedem eine IP-Adresse zuzuweisen und ein Tempolimit pro Tarif durchzusetzen — alles aus RouterOS heraus, ohne externes RADIUS bei kleinen Installationen. Die Einrichtung ist eine kurze, geordnete Kette: ein IP-Pool, ein PPP-Profil, die Teilnehmer-Secrets, der PPPoE-Dienst und das NAT. Das schwierigere Problem ist nicht, einen Konzentrator zu konfigurieren, sondern eine konsistente, überprüfbare Konfiguration auf vielen davon auszuführen — oft hinter CGNAT. Dieser Leitfaden deckt beides ab.

Einrichtungsablauf des MikroTik PPPoE-Servers für einen Provider: IP-Pool anlegen, PPP-Profil erstellen, Teilnehmer-Secrets hinzufügen, PPPoE-Server an der Zugangs-Schnittstelle aktivieren, NAT- und Firewall-Regeln hinzufügen und schließlich die Flotte aus der Ferne verwalten und prüfen.

Was Ist ein MikroTik PPPoE-Server?

Ein MikroTik PPPoE-Server ist ein RouterOS-Dienst, der jeden Teilnehmer über Point-to-Point Protocol over Ethernet authentifiziert, ihm eine IP aus einem Pool zuweist und ein Profil anwendet, das Gateway, DNS und Tempolimit steuert. So verwalten die meisten kleinen und mittleren Provider Kundenverbindungen: Ein Kunde wählt sich mit Benutzername und Passwort ein, der Server prüft die Zugangsdaten, und die Sitzung erbt den zugewiesenen Tarif — Authentifizierung pro Nutzer, IP-Zuweisung und Bandbreitensteuerung ohne separate Geräte (MikroTik-Dokumentation — PPPoE).

PPPoE bleibt der Provider-Standard wegen der Nachvollziehbarkeit. Jeder Teilnehmer hat eigene Zugangsdaten, sodass Sie ein Konto bei Nichtzahlung sperren, sehen, wer online ist, und einer Person eine feste Adresse oder ein Tempo zuordnen können — nichts davon liefert eine Bridge- oder DHCP-Bereitstellung sauber. Die gesamte Konfiguration reduziert sich auf eine Idee: Definieren Sie den Tarif einmal in einem Profil und hängen Sie dann die Teilnehmer daran.

Schritt 1 — IP-Pool anlegen

Beginnen Sie mit den Adressen, die RouterOS an die Teilnehmer verleiht. Ein Pool ist ein benannter Block — zum Beispiel /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — dimensioniert auf die gleichzeitigen Sitzungen, die dieser Konzentrator trägt, mit Reserve. Halten Sie die Gateway-Adresse des Profils (die local-address) außerhalb des verleihbaren Bereichs, damit sie nie versehentlich an einen Client vergeben wird.

Dimensionieren Sie den Pool nach der Hardware — ein bescheidener Router bewältigt Hunderte Sitzungen, ein Gerät der CCR-Klasse Tausende (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Um stattdessen öffentliche IPs zu vergeben, richten Sie den Pool auf Ihren routbaren Block aus und überspringen das NAT in Schritt 5.

Schritt 2 — PPP-Profil erstellen

Im PPP-Profil lebt der Tarif. Es setzt die local-address (das Gateway, das jeder Teilnehmer sieht), den remote-address-Pool aus Schritt 1, die DNS-Server und — am wichtigsten für einen Provider — das rate-limit, das jede Sitzung begrenzt. Weisen Sie einem Teilnehmer das Profil zu, und er erbt das Tempo, sodass ein „20/10”-Tarif ein Profil ist, das über Tausende Konten wiederverwendet wird (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Ein Detail bringt fast jeden zu Fall: die Richtung. RouterOS liest das rate-limit des Profils als rx-rate/tx-rate aus Sicht des Servers — zuerst der Upload des Teilnehmers, dann der Download, umgekehrt zu der Art, wie Kunden ihren Tarif beschreiben. Ein Paket „100 Mbit/s runter / 30 Mbit/s hoch” wird als rate-limit=30M/100M geschrieben. Drehen Sie es um, und jeder Kunde erhält stillschweigend einen vertauschten Tarif — genau der flottenweite Fehler, den eine Vorlagen-Konfiguration verhindert.

Schritt 3 — Teilnehmer-Secrets hinzufügen

Jeder Teilnehmer braucht ein „Secret” — Benutzername, Passwort und das Profil, das seinen Tarif definiert, angelegt unter /ppp secret. Bei einer kleinen Basis ist das die gesamte Nutzerdatenbank: Fügen Sie ein Secret pro Kunde hinzu, fixieren Sie optional eine remote-address für eine statische IP und deaktivieren Sie das Secret, um den Dienst zu sperren. Das ist dieselbe Nachvollziehbarkeit pro Zugangsdaten, die MikroTiks User Manager für Hotspot-Teilnehmer erweitert, behandelt in unserem Leitfaden zu dem Hotspot-Gateway 10.5.50.1 und dem User Manager.

Lokale Secrets skalieren im Bereich von Hunderten bis Tausenden nicht mehr, wo das Bearbeiten eines Routers pro Kundenänderung zum Flaschenhals wird. An diesem Punkt verlagern Sie die Authentifizierung auf einen externen RADIUS-Server, und die Konzentratoren fragen RADIUS einfach, ob ein Login gültig ist — die Teilnehmerdatenbank bleibt an einem Ort.

Schritt 4 — PPPoE-Server an der Zugangs-Schnittstelle aktivieren

Schalten Sie nun den Dienst ein. Fügen Sie mit /interface pppoe-server server einen PPPoE-Server hinzu, binden Sie ihn an die Schnittstelle zu Ihrem Zugangsnetz (ein Port, VLAN oder Bridge), setzen Sie sein default-profile auf das Profil aus Schritt 2 und wählen Sie die Authentifizierungsmethoden — pap, chap oder mschap2. RouterOS beantwortet dann die PPPoE-Discovery auf dieser Schnittstelle und authentifiziert jeden Client, der sich mit einem gültigen Secret einwählt.

Zwei Einstellungen zählen im großen Maßstab. Die Option one-session-per-host hindert einen Teilnehmer daran, mehrere gleichzeitige Sitzungen zu öffnen, und max-mtu/max-mru sollten so gesetzt werden, dass der PPPoE-Overhead den Kundenverkehr nicht fragmentiert. Wo das Zugangsnetz pro Kunde oder Zone segmentiert ist, deckt unser MikroTik-Bridge-Konfigurationsleitfaden die Layer-2-Grundlage ab, auf die der Server aufsetzt.

Schritt 5 — NAT- und Firewall-Regeln hinzufügen

Wenn Sie den Teilnehmern in Schritt 1 private Adressen zugewiesen haben, braucht ihr Verkehr eine Übersetzung. Fügen Sie eine Masquerade-Regel in der srcnat-Kette hinzu, gebunden an Ihre WAN-Ausgangsschnittstelle, damit jede PPPoE-Sitzung das Internet erreicht — dieselben NAT-Grundlagen wie in unserem Leitfaden zur NAT-Konfiguration auf MikroTik. Wenn Sie öffentliche IPs vergeben haben, überspringen Sie das Masquerade und routen den Block.

Schützen Sie dann den Konzentrator. Der PPPoE-Dienst sollte für Teilnehmer erreichbar sein, die Verwaltungsschnittstellen des Routers aber nicht, also fügen Sie Firewall-Regeln hinzu, die Winbox-, API- und WebFig-Zugriff von der teilnehmerseitigen Seite verwerfen. Ein Konzentrator, der echte Kundenumsätze trägt, ist genau das Gerät, das Sie nicht aus einer gekaperten Sitzung erreichbar haben wollen.

Schritt 6 — Die Flotte aus der Ferne verwalten und prüfen

Hier ist der Teil, den Einzelrouter-Tutorials überspringen. PPPoE auf einer Box aufzusetzen ist leicht; identische Profile, MTU-Einstellungen und Firewall-Regeln über Dutzende Konzentratoren auszuführen — und zu beweisen, dass jeder Sitzungen authentifiziert und die richtigen Rate Limits durchsetzt — ist das eigentliche Provider-Problem. Es wird schwerer, wenn ein Zugangsrouter hinter Carrier-Grade NAT ohne öffentliche IP sitzt, zunehmend üblich, da Betreiber auf LTE- und Starlink-Uplinks setzen.

Hier verdient sich die zentrale Verwaltung ihren Platz: MKController hält jeden Router über einen authentifizierten ausgehenden Tunnel erreichbar, selbst wenn er keine öffentliche Adresse hat — derselbe Ansatz wie in unserem Leitfaden zu MikroTik-Fernzugriff hinter CGNAT — sodass Sie die Konfiguration prüfen und Korrekturen flottenweit ausrollen, mit Telemetrie, die eine Box mit abgebrochenen Sitzungen meldet, bevor Kunden anrufen.

Tipps

  • Vorlagen für das Profil, nicht für die Secrets — jede Tarifänderung sollte ein Profil betreffen, nie Tausende von Konten.
  • Behalten Sie die CPU des Konzentrators im Auge: Die Pro-Sitzung-Queues aus rate-limit summieren sich, und eine überlastete Box verwirft Sitzungen stillschweigend.
  • Setzen Sie max-mtu/max-mru bewusst. PPPoE fügt 8 Byte Overhead hinzu, und die daraus folgende Fragmentierung ist die versteckte Ursache der meisten „an einem Standort ist es langsam”-Tickets.
  • Zentralisieren Sie die Authentifizierung jenseits einiger Hundert Nutzer — lokale Secrets, über die Router verstreut, werden unmöglich zu prüfen.

Steuern Sie Ihren gesamten PPPoE-Rand von einem Bildschirm aus

Ein PPPoE-Server auf einem einzelnen MikroTik ist leicht. Ihn über eine Provider-Flotte auszuführen — identische Profile, die richtige Rate-Limit-Richtung auf jeder Box, die Verwaltung abgeriegelt und der Beweis, dass jeder Konzentrator selbst hinter CGNAT ohne öffentliche IP authentifiziert — kostet Betreiber ganze Nachmittage. Genau dafür wurde MKController gebaut: jeden Router über einen sicheren ausgehenden Tunnel erreichen, die Konfiguration prüfen, Live-Sitzungen beobachten und eine Korrektur auf einmal über die gesamte Flotte ausrollen, mit Telemetrie, die eine Box mit abgebrochenen Sitzungen meldet, bevor ein Kunde überhaupt anruft. So verwandeln Provider, die PPPoE auf MikroTik betreiben, eine Router-für-Router-Plackerei in eine einzige Steuerungsebene.

Starten Sie Ihre kostenlose MKController-Testversion