Tutorial
MikroTik PPPoE-server ISP-dele
Kuidas seadistada MikroTik PPPoE-server ISP-le: IP-poolid, PPP-profiilid, secrets, rate limit'id ja abonentide kaughaldus CGNAT-i taga.
Kokkuvõte MikroTik PPPoE-server võimaldab ISP-l autentida abonente, anda igaühele IP-aadress ja kehtestada paketipõhine kiiruspiirang — kõik RouterOS-ist, ilma välise RADIUS-eta väikeste juurutuste puhul. Seadistus on lühike, järjestatud ahel: IP-pool, PPP-profiil, abonentide secrets, PPPoE-teenus ja NAT. Raskem probleem ei ole ühe kontsentraatori seadistamine, vaid järjepideva, kontrollitava konfiguratsiooni käitamine paljudel neist — sageli CGNAT-i taga. See juhend käsitleb mõlemat.

Mis On MikroTik PPPoE-server?
MikroTik PPPoE-server on RouterOS-i teenus, mis autendib iga abonendi Point-to-Point Protocol over Ethernet’i kaudu, annab talle IP poolist ja rakendab profiili, mis juhib tema lüüsi, DNS-i ja kiiruspiirangut. Nii haldab enamik väikeseid ja keskmisi ISP-sid kliendiühendusi: klient logib sisse kasutajanime ja parooliga, server kontrollib mandaadi ja seanss pärib määratud paketi — kasutajapõhine autentimine, IP-määramine ja ribalaiuse juhtimine ilma eraldi seadmeteta (MikroTik dokumentatsioon — PPPoE).
PPPoE jääb ISP-de standardiks vastutuse tõttu. Igal abonendil on individuaalne mandaat, nii saad konto maksmata jätmise korral keelata, näha, kes on võrgus, ja siduda püsiva aadressi või kiiruse inimesega — midagi sellest ei paku silla- ega DHCP-tarne puhtalt. Kogu konfiguratsioon taandub ühele mõttele: määra pakett korra profiilis ja seejärel seo abonendid sellega.
Samm 1 — Loo IP-pool
Alusta aadressidest, mida RouterOS abonentidele laenab. Pool on nimega plokk — näiteks /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — mõõdetud samaaegsete seansside järgi, mida see kontsentraator kannab, varuga. Hoia profiili lüüsi aadress (st local-address) laenatavast vahemikust väljas, et seda ei antaks kunagi kogemata kliendile.
Mõõda pool riistvara järgi — tagasihoidlik ruuter tuleb toime sadade seanssidega, CCR-klassi seade tuhandetega (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Avalike IP-de jagamiseks suuna pool oma marsruuditavale plokile ja jäta NAT 5. sammus vahele.
Samm 2 — Ehita PPP-profiil
PPP-profiil on koht, kus pakett elab. See seab local-address-i (lüüs, mida iga abonent näeb), 1. sammu remote-address pooli, DNS-serverid ja — ISP jaoks kõige olulisema — rate-limit-i, mis piirab iga seanssi. Määra profiil abonendile ja ta pärib kiiruse, nii et „20/10“ pakett on üks profiil, mida taaskasutatakse tuhandetel kontodel (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).
Üks detail paneb peaaegu kõik komistama: suund. RouterOS loeb profiili rate-limit-i kui rx-rate/tx-rate serveri vaatenurgast — esmalt abonendi üleslaadimine, siis allalaadimine, vastupidi sellele, kuidas kliendid oma paketti kirjeldavad. Pakett „100 Mbps alla / 30 Mbps üles“ kirjutatakse rate-limit=30M/100M. Pööra see ümber ja iga klient saab vaikselt vahetatud paketi — täpselt selle pargiülese vea, mida mallipõhine konfiguratsioon väldib.
Samm 3 — Lisa abonentide secrets
Iga abonent vajab „secret“-i — kasutajanime, parooli ja profiili, mis määrab tema paketi, loodud /ppp secret all. Väikese baasi puhul on see kogu kasutajate andmebaas: lisa secret kliendi kohta, soovi korral kinnita püsiv remote-address staatilise IP jaoks ja keela secret teenuse katkestamiseks. See on sama mandaadipõhine vastutus, mida MikroTiku User Manager laiendab hotspot-abonentidele, käsitletud meie juhendis 10.5.50.1 hotspot-lüüsi ja User Manageri kohta.
Kohalikud secrets lakkavad skaleerumast sadade kuni tuhandete vahemikus, kus ühe ruuteri redigeerimine iga kliendimuutuse kohta muutub kitsaskohaks. Sel hetkel viid autentimise välisesse RADIUS-serverisse ja kontsentraatorid lihtsalt küsivad RADIUS-elt, kas sisselogimine on kehtiv — hoides abonentide andmebaasi ühes kohas.
Samm 4 — Luba PPPoE-server juurdepääsuliidesel
Nüüd lülita teenus sisse. Lisa PPPoE-server käsuga /interface pppoe-server server, seo see oma juurdepääsuvõrgu poole vaatava liidesega (port, VLAN või bridge), sea selle default-profile 2. sammu profiilile ja vali autentimismeetodid — pap, chap või mschap2. RouterOS vastab siis PPPoE avastamisele sellel liidesel ja autendib iga kliendi, kes logib sisse kehtiva secret’iga.
Kaks seadistust loevad mastaabis. Valik one-session-per-host takistab abonendil avada mitut samaaegset seanssi ja max-mtu/max-mru tuleks seada nii, et PPPoE lisakoormus ei killustaks kliendi liiklust. Kus juurdepääsuvõrk on kliendi või tsooni kaupa segmenteeritud, käsitleb meie MikroTiku bridge-konfiguratsiooni juhend Kihi 2 alust, millele server tugineb.
Samm 5 — Lisa NAT- ja tulemüürireeglid
Kui andsid abonentidele 1. sammus privaatsed aadressid, vajab nende liiklus tõlkimist. Lisa masquerade reegel srcnat ahelasse, seotud oma WAN-väljundliidesega, et iga PPPoE-seanss jõuaks internetti — samad NAT-i alused, mida käsitleb meie juhend NAT-i seadistamiseks MikroTikus. Kui jagasid avalikke IP-sid, jäta masquerade vahele ja marsruudi plokk.
Seejärel kaitse kontsentraatorit. PPPoE-teenus peaks olema abonentidele kättesaadav, kuid ruuteri haldusliidesed mitte, nii et lisa tulemüürireeglid, mis viskavad ära Winbox-, API- ja WebFig-juurdepääsu abonendi poole vaatavalt küljelt. Kontsentraator, mis kannab reaalset kliendi tulu, on täpselt see seade, mida sa ei taha kaaperdatud seansist kättesaadav olevat.
Samm 6 — Halda ja kontrolli parki kaugjuhtimisega
Siin on osa, mille üheruuterilised õpetused vahele jätavad. PPPoE püstitamine ühel masinal on lihtne; identsete profiilide, MTU-seadete ja tulemüürireeglite käitamine kümnetel kontsentraatoritel — ja tõestamine, et igaüks autendib seansse ja jõustab õiged rate limit’id — on tegelik ISP probleem. See muutub raskemaks, kui juurdepääsuruuter on Carrier-Grade NAT-i taga ilma avaliku IP-ta, mis on üha tavalisem, kuna operaatorid toetuvad LTE- ja Starlink-uplinkidele.
Siin teenib tsentraliseeritud haldus oma koha välja: MKController hoiab iga ruuteri kättesaadavana autenditud väljamineva tunneli kaudu isegi siis, kui sel pole avalikku aadressi — sama lähenemine nagu meie juhendis MikroTiku kaugjuurdepääsust CGNAT-i taga — nii auditeerid konfiguratsiooni ja lükkad parandused kogu pargile, telemeetriaga, mis märgistab katkenud seanssidega masina enne, kui kliendid helistavad.
Näpunäited
- Tee mall profiilist, mitte secrets’idest — iga paketimuutus peaks puudutama üht profiili, mitte kunagi tuhandeid kontosid.
- Jälgi kontsentraatori CPU-d:
rate-limit-i seansipõhised järjekorrad liituvad ja ülekoormatud seade kukutab seansse vaikselt. - Sea
max-mtu/max-mruteadlikult. PPPoE lisab 8 baiti lisakoormust ja sellest tulenev killustumine on enamiku „ühes asukohas on aeglane“ piletite varjatud põhjus. - Tsentraliseeri autentimine üle paarisaja kasutaja — ruuterite vahel laiali olevad kohalikud secrets muutuvad auditeerimiseks võimatuks.
Juhi kogu oma PPPoE-serva ühelt ekraanilt
PPPoE-server ühel MikroTikul on lihtne. Selle käitamine ISP pargil — identsed profiilid, õige rate-limit suund igal masinal, lukus haldus ja tõend, et iga kontsentraator autendib isegi CGNAT-i taga ilma avaliku IP-ta — on koht, kus operaatorid kaotavad terveid pärastlõunaid. See on töö, mille jaoks MKController ehitati: jõuda iga ruuterini turvalise väljamineva tunneli kaudu, auditeerida konfiguratsiooni, jälgida elavaid seansse ja lükata parandus kogu pargile korraga, telemeetriaga, mis märgistab katkenud seanssidega masina enne, kui klient üldse helistab. Nii muudavad MikroTikul PPPoE-d käitavad ISP-d ruuterhaaval tehtava rügamise üheks juhtimistasandiks.