Tutorial
MikroTik PPPoE-szerver ISP-knek
Hogyan állíts be MikroTik PPPoE-szervert egy ISP-nek: IP-poolok, PPP-profilok, secrets, rate limitek és előfizetők távoli kezelése CGNAT mögött.
Összefoglaló Egy MikroTik PPPoE-szerver lehetővé teszi az ISP-nek, hogy hitelesítse az előfizetőket, mindegyiknek IP-címet adjon, és csomagonként sebességkorlátot kényszerítsen ki — mindezt a RouterOS-ből, külső RADIUS nélkül kis telepítéseknél. A beállítás rövid, rendezett lánc: egy IP-pool, egy PPP-profil, az előfizetői secrets, a PPPoE-szolgáltatás és a NAT. A nehezebb probléma nem egy koncentrátor konfigurálása, hanem konzisztens, ellenőrizhető konfiguráció futtatása sok közülük — gyakran CGNAT mögött. Ez az útmutató mindkettőt lefedi.

Mi Az a MikroTik PPPoE-szerver?
A MikroTik PPPoE-szerver egy RouterOS-szolgáltatás, amely minden előfizetőt Point-to-Point Protocol over Ethernet felett hitelesít, IP-t ad neki egy poolból, és olyan profilt alkalmaz, amely szabályozza a gatewayét, DNS-ét és sebességkorlátját. Így kezeli a legtöbb kis és közepes ISP az ügyfélkapcsolatokat: az ügyfél felhasználónévvel és jelszóval csatlakozik, a szerver ellenőrzi a hitelesítő adatot, és a munkamenet örökli a hozzárendelt csomagot — felhasználónkénti hitelesítés, IP-kiosztás és sávszélesség-szabályozás külön eszköz nélkül (MikroTik dokumentáció — PPPoE).
A PPPoE az elszámoltathatóság miatt marad az ISP-szabvány. Minden előfizetőnek egyedi hitelesítő adata van, így letilthatsz egy fiókot nemfizetés miatt, láthatod, ki van online, és személyhez köthetsz fix címet vagy sebességet — ezekből semmit nem nyújt tisztán a bridge- vagy DHCP-kézbesítés. Az egész konfiguráció egyetlen gondolatra egyszerűsödik: határozd meg a csomagot egyszer egy profilban, majd csatold hozzá az előfizetőket.
1. lépés — Hozd létre az IP-poolt
Kezdd a címekkel, amelyeket a RouterOS kölcsönöz az előfizetőknek. A pool egy nevesített blokk — például /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — az egyidejű munkamenetekhez méretezve, amelyeket ez a koncentrátor visz, tartalékkal. Tartsd a profil gateway-címét (vagyis a local-address-t) a kölcsönözhető tartományon kívül, hogy soha véletlenül ne kerüljön ügyfélhez.
Méretezd a poolt a hardverhez — egy szerény router több száz munkamenetet kezel, egy CCR-osztályú eszköz több ezret (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Hogy ehelyett nyilvános IP-ket ossz ki, irányítsd a poolt az útválasztható blokkodra, és hagyd ki a NAT-ot az 5. lépésben.
2. lépés — Építsd fel a PPP-profilt
A PPP-profil az a hely, ahol egy csomag él. Beállítja a local-address-t (a gatewayt, amelyet minden előfizető lát), az 1. lépés remote-address pooljt, a DNS-szervereket és — egy ISP-nek a legfontosabbat — a rate-limit-et, amely korlátoz minden munkamenetet. Rendeld a profilt egy előfizetőhöz, és örökli a sebességet, így egy „20/10” csomag egyetlen profil, több ezer fiókon újrafelhasználva (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).
Egy részlet majdnem mindenkit megtréfál: az irány. A RouterOS a profil rate-limit-jét rx-rate/tx-rate-ként olvassa a szerver szemszögéből — előbb az előfizető feltöltése, aztán a letöltése, fordítva ahhoz képest, ahogy az ügyfelek leírják a csomagjukat. Egy „100 Mbps le / 30 Mbps fel” csomag így íródik: rate-limit=30M/100M. Fordítsd meg, és minden ügyfél csendben felcserélt csomagot kap — pontosan azt a flottaszintű hibát, amelyet a sablonos konfiguráció megelőz.
3. lépés — Add hozzá az előfizetői secrets-et
Minden előfizetőnek szüksége van egy „secret”-re — felhasználónévre, jelszóra és a profilra, amely meghatározza a csomagját, létrehozva a /ppp secret alatt. Kis bázisnál ez a teljes felhasználói adatbázis: adj hozzá egy secret-et ügyfelenként, opcionálisan rögzíts egy fix remote-address-t statikus IP-hez, és tiltsd le a secret-et a szolgáltatás megszakításához. Ez ugyanaz a hitelesítő adatonkénti elszámoltathatóság, amelyet a MikroTik User Managere kiterjeszt a hotspot-előfizetőkre, amelyet a 10.5.50.1 hotspot-gatewayről és a User Managerről szóló útmutatónk tárgyal.
A helyi secrets a több száztól több ezerig terjedő tartományban elveszti a skálázhatóságot, ahol egy router szerkesztése ügyfélváltozásonként szűk keresztmetszetté válik. Ekkor a hitelesítést egy külső RADIUS-szerverre helyezed, és a koncentrátorok egyszerűen megkérdezik a RADIUS-tól, érvényes-e egy bejelentkezés — az előfizetői adatbázist egy helyen tartva.
4. lépés — Engedélyezd a PPPoE-szervert a hozzáférési interfészen
Most kapcsold be a szolgáltatást. Adj hozzá egy PPPoE-szervert a /interface pppoe-server server paranccsal, köss az a hozzáférési hálózatod felé néző interfészhez (port, VLAN vagy bridge), állítsd a default-profile-ját a 2. lépés profiljára, és válaszd ki a hitelesítési módszereket — pap, chap vagy mschap2. A RouterOS ekkor válaszol a PPPoE-felderítésre azon az interfészen, és hitelesít minden klienst, amely érvényes secret-tel csatlakozik.
Két beállítás számít nagy léptékben. A one-session-per-host opció megakadályozza, hogy egy előfizető több egyidejű munkamenetet nyisson, a max-mtu/max-mru pedig úgy állítandó be, hogy a PPPoE-többletterhe ne töredezze az ügyfélforgalmat. Ahol a hozzáférési hálózat ügyfelenként vagy zónánként szegmentált, a MikroTik bridge-konfigurációs útmutatónk lefedi a 2. réteg alapját, amelyre a szerver épül.
5. lépés — Adj hozzá NAT- és tűzfalszabályokat
Ha az 1. lépésben privát címeket adtál az előfizetőknek, a forgalmuknak fordításra van szüksége. Adj hozzá egy masquerade szabályt a srcnat láncban a WAN-kimeneti interfészedhez kötve, hogy minden PPPoE-munkamenet elérje az internetet — ugyanazok a NAT-alapok, amelyeket a NAT MikroTikon való konfigurálásáról szóló útmutatónk tárgyal. Ha nyilvános IP-ket osztottál ki, hagyd ki a masquerade-et, és irányítsd a blokkot.
Aztán védd a koncentrátort. A PPPoE-szolgáltatásnak elérhetőnek kell lennie az előfizetők számára, de a router kezelési interfészeinek nem, ezért adj hozzá tűzfalszabályokat, amelyek elvetik a Winbox-, API- és WebFig-hozzáférést az előfizető felé néző oldalról. Egy koncentrátor, amely valós ügyfélbevételt visz, pontosan az az eszköz, amelyet nem akarsz elérhetővé tenni egy eltérített munkamenetből.
6. lépés — Kezeld és ellenőrizd a flottát távolról
Itt van az a rész, amelyet az egyrouteres útmutatók kihagynak. PPPoE felállítása egy gépen könnyű; azonos profilok, MTU-beállítások és tűzfalszabályok futtatása több tucat koncentrátoron — és bizonyítani, hogy mindegyik hitelesíti a munkameneteket és érvényesíti a helyes rate limiteket — az igazi ISP-probléma. Nehezebbé válik, amikor egy hozzáférési router Carrier-Grade NAT mögött ül nyilvános IP nélkül, ami egyre gyakoribb, ahogy az üzemeltetők LTE- és Starlink-uplinkekre támaszkodnak.
Itt érdemli ki a helyét a központosított kezelés: a MKController minden routert elérhetővé tesz egy hitelesített kimenő alagúton keresztül akkor is, ha nincs nyilvános címe — ugyanaz a megközelítés, mint a MikroTik távoli elérés CGNAT mögött útmutatónkban — így auditálod a konfigurációt és flottaszinten tolod ki a javításokat, telemetriával, amely megjelöl egy elejtett munkameneteket produkáló gépet, mielőtt az ügyfelek telefonálnának.
Tippek
- A profilt sablonozd, ne a secrets-et — minden csomagváltozásnak egy profilt kellene érintenie, soha nem több ezer fiókot.
- Figyeld a koncentrátor CPU-ját: a
rate-limitmunkamenetenkénti sorai összeadódnak, és egy túlterhelt gép csendben elejti a munkameneteket. - A
max-mtu/max-mruértékeket tudatosan állítsd. A PPPoE 8 bájt többletterhet ad, és az ebből eredő töredezettség a legtöbb „egy helyen lassú” jegy rejtett oka. - Központosítsd a hitelesítést néhány száz felhasználó felett — a routereken szétszórt helyi secrets lehetetlenné válik auditálni.
Irányítsd az egész PPPoE-peremedet egyetlen képernyőről
Egy PPPoE-szerver egyetlen MikroTikon könnyű. Futtatni egy ISP-flottán — azonos profilok, helyes rate-limit-irány minden gépen, lezárt kezelés és bizonyíték arra, hogy minden koncentrátor hitelesít CGNAT mögött is, nyilvános IP nélkül — itt veszítenek az üzemeltetők egész délutánokat. Ez az a feladat, amelyre a MKController épült: elérni minden routert egy biztonságos kimenő alagúton, auditálni a konfigurációt, élő munkameneteket figyelni, és egyszerre kitolni egy javítást az egész flottára, telemetriával, amely megjelöl egy elejtett munkameneteket produkáló gépet, mielőtt egy ügyfél egyáltalán telefonálna. Így alakítják a MikroTikon PPPoE-t futtató ISP-k a routerről routerre robotot egyetlen vezérlősíkká.