Aller au contenu
InstagramYouTubeFacebook

Tutorial

Serveur PPPoE MikroTik pour les FAI

Comment configurer un serveur PPPoE MikroTik pour un FAI : pools d'IP, profils PPP, secrets, rate limits et gestion à distance des abonnés derrière le CGNAT.

Résumé Un serveur PPPoE MikroTik permet à un FAI d’authentifier les abonnés, d’attribuer une adresse IP à chacun et d’imposer une limite de débit par offre — le tout depuis RouterOS, sans RADIUS externe pour les petits déploiements. La configuration est une chaîne courte et ordonnée : un pool d’IP, un profil PPP, les secrets d’abonné, le service PPPoE et le NAT. Le vrai problème n’est pas de configurer un concentrateur, mais d’exécuter une configuration cohérente et vérifiable sur plusieurs d’entre eux — souvent derrière le CGNAT. Ce guide couvre les deux.

Flux de configuration du serveur PPPoE MikroTik pour un FAI : créer le pool d'IP, construire le profil PPP, ajouter les secrets d'abonné, activer le serveur PPPoE sur l'interface d'accès, ajouter les règles de NAT et de pare-feu, puis gérer et vérifier la flotte à distance.

Qu’est-ce qu’un Serveur PPPoE MikroTik ?

Un serveur PPPoE MikroTik est un service RouterOS qui authentifie chaque abonné via Point-to-Point Protocol over Ethernet, lui attribue une IP depuis un pool et applique un profil contrôlant sa passerelle, son DNS et sa limite de débit. C’est ainsi que la plupart des FAI de petite et moyenne taille gèrent les connexions clients : un client se connecte avec un identifiant et un mot de passe, le serveur vérifie l’identifiant, et la session hérite de l’offre attribuée — authentification par utilisateur, attribution d’IP et contrôle de débit sans équipement séparé (Documentation MikroTik — PPPoE).

Le PPPoE reste la norme des FAI à cause de la responsabilité. Chaque abonné détient un identifiant individuel, vous pouvez donc désactiver un compte pour impayé, voir qui est en ligne et lier une adresse fixe ou un débit à une personne — rien de tout cela n’est offert proprement par une livraison en bridge ou en DHCP. Toute la configuration se résume à une idée : définissez l’offre une fois dans un profil, puis rattachez-y les abonnés.

Étape 1 — Créez le pool d’IP

Commencez par les adresses que RouterOS prêtera aux abonnés. Un pool est un bloc nommé — par exemple /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — dimensionné aux sessions simultanées que ce concentrateur portera, avec une marge. Gardez l’adresse de passerelle du profil (le local-address) hors de la plage prêtable pour qu’elle ne soit jamais attribuée à un client par accident.

Dimensionnez le pool selon le matériel — un routeur modeste gère des centaines de sessions, un équipement de classe CCR des milliers (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Pour distribuer des IP publiques, pointez le pool vers votre bloc routable et sautez le NAT de l’Étape 5.

Étape 2 — Construisez le profil PPP

Le profil PPP est l’endroit où vit l’offre. Il définit le local-address (la passerelle que voit chaque abonné), le pool remote-address de l’Étape 1, les serveurs DNS et — le plus important pour un FAI — le rate-limit qui plafonne chaque session. Attribuez le profil à un abonné et il hérite du débit, ainsi une offre « 20/10 » est un seul profil réutilisé sur des milliers de comptes (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Un détail piège presque tout le monde : la direction. RouterOS lit le rate-limit du profil comme rx-rate/tx-rate du point de vue du serveur — l’upload de l’abonné d’abord, le download ensuite, l’inverse de la façon dont les clients décrivent leur offre. Une offre « 100 Mbps en descente / 30 Mbps en montée » s’écrit rate-limit=30M/100M. Inversez-la et chaque client reçoit en silence une offre inversée — exactement l’erreur à l’échelle de la flotte que la configuration par modèle évite.

Étape 3 — Ajoutez les secrets d’abonné

Chaque abonné a besoin d’un « secret » — identifiant, mot de passe et le profil qui définit son offre, créé sous /ppp secret. Pour une petite base, c’est toute la base d’utilisateurs : ajoutez un secret par client, fixez éventuellement un remote-address pour une IP statique et désactivez le secret pour couper le service. C’est la même responsabilité par identifiant que le User Manager de MikroTik étend aux abonnés hotspot, traitée dans notre guide sur la passerelle hotspot 10.5.50.1 et le User Manager.

Les secrets locaux cessent de passer à l’échelle dans la plage de centaines à milliers, où éditer un routeur par changement de client devient le goulot d’étranglement. À ce stade, vous déplacez l’authentification vers un serveur RADIUS externe, et les concentrateurs demandent simplement à RADIUS si une connexion est valide — gardant la base d’abonnés en un seul endroit.

Étape 4 — Activez le serveur PPPoE sur l’interface d’accès

Activez maintenant le service. Ajoutez un serveur PPPoE avec /interface pppoe-server server, liez-le à l’interface tournée vers votre réseau d’accès (un port, un VLAN ou un bridge), définissez son default-profile sur le profil de l’Étape 2 et choisissez les méthodes d’authentification — pap, chap ou mschap2. RouterOS répond alors à la découverte PPPoE sur cette interface et authentifie tout client qui se connecte avec un secret valide.

Deux réglages comptent à l’échelle. L’option one-session-per-host empêche un abonné d’ouvrir plusieurs sessions simultanées, et max-mtu/max-mru doivent être réglés pour que l’overhead du PPPoE ne fragmente pas le trafic client. Là où le réseau d’accès est segmenté par client ou par zone, notre guide de configuration de bridge MikroTik couvre les fondations de Couche 2 sur lesquelles le serveur s’appuie.

Étape 5 — Ajoutez les règles de NAT et de pare-feu

Si vous avez attribué des adresses privées aux abonnés à l’Étape 1, leur trafic a besoin d’une traduction. Ajoutez une règle de masquerade dans la chaîne srcnat liée à votre interface de sortie WAN pour que chaque session PPPoE atteigne internet — les mêmes fondamentaux de NAT traités dans notre guide de configuration du NAT sur MikroTik. Si vous avez distribué des IP publiques, sautez le masquerade et routez le bloc.

Protégez ensuite le concentrateur. Le service PPPoE doit être joignable par les abonnés, mais pas les interfaces de gestion du routeur, alors ajoutez des règles de pare-feu qui rejettent l’accès Winbox, API et WebFig depuis le côté tourné vers l’abonné. Un concentrateur qui porte des revenus clients réels est exactement l’appareil que vous ne voulez pas joignable depuis une session détournée.

Étape 6 — Gérez et vérifiez la flotte à distance

Voici la partie que les tutoriels mono-routeur sautent. Monter le PPPoE sur une machine est facile ; exécuter des profils, des réglages de MTU et des règles de pare-feu identiques sur des dizaines de concentrateurs — et prouver que chacun authentifie les sessions et impose les bons rate limits — est le vrai problème du FAI. Cela se complique quand un routeur d’accès est derrière du Carrier-Grade NAT sans IP publique, de plus en plus courant à mesure que les opérateurs s’appuient sur des liens LTE et Starlink.

C’est là que la gestion centralisée prend tout son sens : MKController garde chaque routeur joignable via un tunnel sortant authentifié même lorsqu’il n’a pas d’adresse publique — la même approche que dans notre guide d’accès distant MikroTik derrière le CGNAT — pour que vous auditiez la configuration et poussiez des correctifs sur toute la flotte, avec une télémétrie qui signale une machine aux sessions tombées avant que les clients n’appellent.

Conseils

  • Modélisez le profil, pas les secrets — tout changement d’offre doit toucher un profil, jamais des milliers de comptes.
  • Surveillez le CPU du concentrateur : les files par session du rate-limit s’accumulent, et une machine surchargée abandonne des sessions en silence.
  • Réglez max-mtu/max-mru avec soin. Le PPPoE ajoute 8 octets d’overhead, et la fragmentation qui en résulte est la cause cachée de la plupart des tickets « c’est lent sur un seul site ».
  • Centralisez l’authentification au-delà de quelques centaines d’utilisateurs — des secrets locaux éparpillés sur les routeurs deviennent impossibles à auditer.

Pilotez toute votre bordure PPPoE depuis un seul écran

Un serveur PPPoE sur un seul MikroTik est facile. L’exécuter sur une flotte de FAI — profils identiques, la direction du rate-limit correcte sur chaque machine, la gestion verrouillée et la preuve que chaque concentrateur authentifie même derrière le CGNAT sans IP publique — c’est là que les opérateurs perdent des après-midis entiers. C’est le travail pour lequel MKController a été conçu : joindre chaque routeur via un tunnel sortant sécurisé, auditer la configuration, observer les sessions en direct et pousser un correctif sur toute la flotte d’un coup, avec une télémétrie qui signale une machine aux sessions tombées avant qu’un client n’appelle. C’est ainsi que les FAI qui exécutent PPPoE sur MikroTik transforment une corvée routeur par routeur en un plan de contrôle unique.

Démarrez votre essai gratuit de MKController