Skip to content
InstagramYouTubeFacebook

Tutorial

MikroTik PPPoE-szerver ISP-knek

Hogyan állíts be MikroTik PPPoE-szervert egy ISP-nek: IP-poolok, PPP-profilok, secrets, rate limitek és előfizetők távoli kezelése CGNAT mögött.

Összefoglaló Egy MikroTik PPPoE-szerver lehetővé teszi az ISP-nek, hogy hitelesítse az előfizetőket, mindegyiknek IP-címet adjon, és csomagonként sebességkorlátot kényszerítsen ki — mindezt a RouterOS-ből, külső RADIUS nélkül kis telepítéseknél. A beállítás rövid, rendezett lánc: egy IP-pool, egy PPP-profil, az előfizetői secrets, a PPPoE-szolgáltatás és a NAT. A nehezebb probléma nem egy koncentrátor konfigurálása, hanem konzisztens, ellenőrizhető konfiguráció futtatása sok közülük — gyakran CGNAT mögött. Ez az útmutató mindkettőt lefedi.

MikroTik PPPoE-szerver beállítási folyamata egy ISP-nek: hozd létre az IP-poolt, építsd fel a PPP-profilt, add hozzá az előfizetői secrets-et, engedélyezd a PPPoE-szervert a hozzáférési interfészen, adj hozzá NAT- és tűzfalszabályokat, majd kezeld és ellenőrizd a flottát távolról.

Mi Az a MikroTik PPPoE-szerver?

A MikroTik PPPoE-szerver egy RouterOS-szolgáltatás, amely minden előfizetőt Point-to-Point Protocol over Ethernet felett hitelesít, IP-t ad neki egy poolból, és olyan profilt alkalmaz, amely szabályozza a gatewayét, DNS-ét és sebességkorlátját. Így kezeli a legtöbb kis és közepes ISP az ügyfélkapcsolatokat: az ügyfél felhasználónévvel és jelszóval csatlakozik, a szerver ellenőrzi a hitelesítő adatot, és a munkamenet örökli a hozzárendelt csomagot — felhasználónkénti hitelesítés, IP-kiosztás és sávszélesség-szabályozás külön eszköz nélkül (MikroTik dokumentáció — PPPoE).

A PPPoE az elszámoltathatóság miatt marad az ISP-szabvány. Minden előfizetőnek egyedi hitelesítő adata van, így letilthatsz egy fiókot nemfizetés miatt, láthatod, ki van online, és személyhez köthetsz fix címet vagy sebességet — ezekből semmit nem nyújt tisztán a bridge- vagy DHCP-kézbesítés. Az egész konfiguráció egyetlen gondolatra egyszerűsödik: határozd meg a csomagot egyszer egy profilban, majd csatold hozzá az előfizetőket.

1. lépés — Hozd létre az IP-poolt

Kezdd a címekkel, amelyeket a RouterOS kölcsönöz az előfizetőknek. A pool egy nevesített blokk — például /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — az egyidejű munkamenetekhez méretezve, amelyeket ez a koncentrátor visz, tartalékkal. Tartsd a profil gateway-címét (vagyis a local-address-t) a kölcsönözhető tartományon kívül, hogy soha véletlenül ne kerüljön ügyfélhez.

Méretezd a poolt a hardverhez — egy szerény router több száz munkamenetet kezel, egy CCR-osztályú eszköz több ezret (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Hogy ehelyett nyilvános IP-ket ossz ki, irányítsd a poolt az útválasztható blokkodra, és hagyd ki a NAT-ot az 5. lépésben.

2. lépés — Építsd fel a PPP-profilt

A PPP-profil az a hely, ahol egy csomag él. Beállítja a local-address-t (a gatewayt, amelyet minden előfizető lát), az 1. lépés remote-address pooljt, a DNS-szervereket és — egy ISP-nek a legfontosabbat — a rate-limit-et, amely korlátoz minden munkamenetet. Rendeld a profilt egy előfizetőhöz, és örökli a sebességet, így egy „20/10” csomag egyetlen profil, több ezer fiókon újrafelhasználva (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Egy részlet majdnem mindenkit megtréfál: az irány. A RouterOS a profil rate-limit-jét rx-rate/tx-rate-ként olvassa a szerver szemszögéből — előbb az előfizető feltöltése, aztán a letöltése, fordítva ahhoz képest, ahogy az ügyfelek leírják a csomagjukat. Egy „100 Mbps le / 30 Mbps fel” csomag így íródik: rate-limit=30M/100M. Fordítsd meg, és minden ügyfél csendben felcserélt csomagot kap — pontosan azt a flottaszintű hibát, amelyet a sablonos konfiguráció megelőz.

3. lépés — Add hozzá az előfizetői secrets-et

Minden előfizetőnek szüksége van egy „secret”-re — felhasználónévre, jelszóra és a profilra, amely meghatározza a csomagját, létrehozva a /ppp secret alatt. Kis bázisnál ez a teljes felhasználói adatbázis: adj hozzá egy secret-et ügyfelenként, opcionálisan rögzíts egy fix remote-address-t statikus IP-hez, és tiltsd le a secret-et a szolgáltatás megszakításához. Ez ugyanaz a hitelesítő adatonkénti elszámoltathatóság, amelyet a MikroTik User Managere kiterjeszt a hotspot-előfizetőkre, amelyet a 10.5.50.1 hotspot-gatewayről és a User Managerről szóló útmutatónk tárgyal.

A helyi secrets a több száztól több ezerig terjedő tartományban elveszti a skálázhatóságot, ahol egy router szerkesztése ügyfélváltozásonként szűk keresztmetszetté válik. Ekkor a hitelesítést egy külső RADIUS-szerverre helyezed, és a koncentrátorok egyszerűen megkérdezik a RADIUS-tól, érvényes-e egy bejelentkezés — az előfizetői adatbázist egy helyen tartva.

4. lépés — Engedélyezd a PPPoE-szervert a hozzáférési interfészen

Most kapcsold be a szolgáltatást. Adj hozzá egy PPPoE-szervert a /interface pppoe-server server paranccsal, köss az a hozzáférési hálózatod felé néző interfészhez (port, VLAN vagy bridge), állítsd a default-profile-ját a 2. lépés profiljára, és válaszd ki a hitelesítési módszereket — pap, chap vagy mschap2. A RouterOS ekkor válaszol a PPPoE-felderítésre azon az interfészen, és hitelesít minden klienst, amely érvényes secret-tel csatlakozik.

Két beállítás számít nagy léptékben. A one-session-per-host opció megakadályozza, hogy egy előfizető több egyidejű munkamenetet nyisson, a max-mtu/max-mru pedig úgy állítandó be, hogy a PPPoE-többletterhe ne töredezze az ügyfélforgalmat. Ahol a hozzáférési hálózat ügyfelenként vagy zónánként szegmentált, a MikroTik bridge-konfigurációs útmutatónk lefedi a 2. réteg alapját, amelyre a szerver épül.

5. lépés — Adj hozzá NAT- és tűzfalszabályokat

Ha az 1. lépésben privát címeket adtál az előfizetőknek, a forgalmuknak fordításra van szüksége. Adj hozzá egy masquerade szabályt a srcnat láncban a WAN-kimeneti interfészedhez kötve, hogy minden PPPoE-munkamenet elérje az internetet — ugyanazok a NAT-alapok, amelyeket a NAT MikroTikon való konfigurálásáról szóló útmutatónk tárgyal. Ha nyilvános IP-ket osztottál ki, hagyd ki a masquerade-et, és irányítsd a blokkot.

Aztán védd a koncentrátort. A PPPoE-szolgáltatásnak elérhetőnek kell lennie az előfizetők számára, de a router kezelési interfészeinek nem, ezért adj hozzá tűzfalszabályokat, amelyek elvetik a Winbox-, API- és WebFig-hozzáférést az előfizető felé néző oldalról. Egy koncentrátor, amely valós ügyfélbevételt visz, pontosan az az eszköz, amelyet nem akarsz elérhetővé tenni egy eltérített munkamenetből.

6. lépés — Kezeld és ellenőrizd a flottát távolról

Itt van az a rész, amelyet az egyrouteres útmutatók kihagynak. PPPoE felállítása egy gépen könnyű; azonos profilok, MTU-beállítások és tűzfalszabályok futtatása több tucat koncentrátoron — és bizonyítani, hogy mindegyik hitelesíti a munkameneteket és érvényesíti a helyes rate limiteket — az igazi ISP-probléma. Nehezebbé válik, amikor egy hozzáférési router Carrier-Grade NAT mögött ül nyilvános IP nélkül, ami egyre gyakoribb, ahogy az üzemeltetők LTE- és Starlink-uplinkekre támaszkodnak.

Itt érdemli ki a helyét a központosított kezelés: a MKController minden routert elérhetővé tesz egy hitelesített kimenő alagúton keresztül akkor is, ha nincs nyilvános címe — ugyanaz a megközelítés, mint a MikroTik távoli elérés CGNAT mögött útmutatónkban — így auditálod a konfigurációt és flottaszinten tolod ki a javításokat, telemetriával, amely megjelöl egy elejtett munkameneteket produkáló gépet, mielőtt az ügyfelek telefonálnának.

Tippek

  • A profilt sablonozd, ne a secrets-et — minden csomagváltozásnak egy profilt kellene érintenie, soha nem több ezer fiókot.
  • Figyeld a koncentrátor CPU-ját: a rate-limit munkamenetenkénti sorai összeadódnak, és egy túlterhelt gép csendben elejti a munkameneteket.
  • A max-mtu/max-mru értékeket tudatosan állítsd. A PPPoE 8 bájt többletterhet ad, és az ebből eredő töredezettség a legtöbb „egy helyen lassú” jegy rejtett oka.
  • Központosítsd a hitelesítést néhány száz felhasználó felett — a routereken szétszórt helyi secrets lehetetlenné válik auditálni.

Irányítsd az egész PPPoE-peremedet egyetlen képernyőről

Egy PPPoE-szerver egyetlen MikroTikon könnyű. Futtatni egy ISP-flottán — azonos profilok, helyes rate-limit-irány minden gépen, lezárt kezelés és bizonyíték arra, hogy minden koncentrátor hitelesít CGNAT mögött is, nyilvános IP nélkül — itt veszítenek az üzemeltetők egész délutánokat. Ez az a feladat, amelyre a MKController épült: elérni minden routert egy biztonságos kimenő alagúton, auditálni a konfigurációt, élő munkameneteket figyelni, és egyszerre kitolni egy javítást az egész flottára, telemetriával, amely megjelöl egy elejtett munkameneteket produkáló gépet, mielőtt egy ügyfél egyáltalán telefonálna. Így alakítják a MikroTikon PPPoE-t futtató ISP-k a routerről routerre robotot egyetlen vezérlősíkká.

Indítsd el ingyenes MKController-próbaidőszakodat