Lewati ke konten
InstagramYouTubeFacebook

Tutorial

Setup Server PPPoE MikroTik untuk ISP

Cara menyiapkan server PPPoE MikroTik untuk ISP: pool IP, profil PPP, secret, rate limit, dan mengelola pelanggan dari jarak jauh di belakang CGNAT.

Ringkasan Server PPPoE MikroTik memungkinkan ISP mengautentikasi pelanggan, memberi setiap orang sebuah alamat IP, dan menerapkan batas kecepatan per paket — semuanya dari RouterOS, tanpa RADIUS eksternal untuk penerapan kecil. Penyiapannya adalah rantai pendek yang berurutan: pool IP, profil PPP, secret pelanggan, layanan PPPoE, dan NAT. Masalah yang lebih sulit bukanlah mengonfigurasi satu konsentrator, melainkan menjalankan konfigurasi yang konsisten dan dapat diverifikasi di banyak konsentrator — sering kali di belakang CGNAT. Panduan ini membahas keduanya.

Alur penyiapan server PPPoE MikroTik untuk ISP: buat pool IP, bangun profil PPP, tambahkan secret pelanggan, aktifkan server PPPoE pada antarmuka akses, tambahkan aturan NAT dan firewall, lalu kelola dan verifikasi armada dari jarak jauh.

Apa Itu Server PPPoE MikroTik?

Server PPPoE MikroTik adalah layanan RouterOS yang mengautentikasi setiap pelanggan melalui Point-to-Point Protocol over Ethernet, memberi mereka IP dari sebuah pool, dan menerapkan profil yang mengontrol gateway, DNS, dan batas kecepatan mereka. Begitulah sebagian besar ISP kecil hingga menengah mengelola koneksi klien: pelanggan terhubung dengan nama pengguna dan kata sandi, server memeriksa kredensial, dan sesi mewarisi paket yang ditetapkan — autentikasi per pengguna, penetapan IP, dan kontrol bandwidth tanpa perangkat terpisah (Dokumentasi MikroTik — PPPoE).

PPPoE tetap menjadi standar ISP karena akuntabilitas. Setiap pelanggan memegang kredensial individual, sehingga Anda dapat menonaktifkan akun karena tunggakan, melihat siapa yang online, dan mengikat alamat tetap atau kecepatan ke seseorang — tidak ada satu pun dari ini yang diberikan secara rapi oleh pengiriman bridge atau DHCP. Seluruh konfigurasi mengerucut pada satu gagasan: tentukan paket sekali dalam sebuah profil, lalu kaitkan pelanggan ke sana.

Langkah 1 — Buat pool IP

Mulailah dengan alamat yang akan dipinjamkan RouterOS kepada pelanggan. Pool adalah blok bernama — misalnya /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — disesuaikan dengan sesi bersamaan yang akan ditanggung konsentrator ini, dengan cadangan. Jaga agar alamat gateway profil (yaitu local-address) berada di luar rentang yang dapat dipinjamkan sehingga tidak pernah diberikan ke klien secara tidak sengaja.

Sesuaikan ukuran pool dengan perangkat keras — router sederhana menangani ratusan sesi, perangkat kelas CCR menangani ribuan (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Untuk membagikan IP publik, arahkan pool ke blok routable Anda dan lewati NAT di Langkah 5.

Langkah 2 — Bangun profil PPP

Profil PPP adalah tempat sebuah paket berada. Ia mengatur local-address (gateway yang dilihat setiap pelanggan), pool remote-address dari Langkah 1, server DNS, dan — yang paling penting bagi ISP — rate-limit yang membatasi setiap sesi. Tetapkan profil ke seorang pelanggan dan mereka mewarisi kecepatannya, sehingga paket “20/10” adalah satu profil yang digunakan ulang di ribuan akun (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Satu detail menjebak hampir semua orang: arah. RouterOS membaca rate-limit profil sebagai rx-rate/tx-rate dari sudut pandang serverunggah pelanggan lebih dulu, unduh kemudian, kebalikan dari cara pelanggan menggambarkan paket mereka. Paket “100 Mbps turun / 30 Mbps naik” ditulis rate-limit=30M/100M. Salah membaliknya dan setiap pelanggan diam-diam menerima paket yang tertukar — persis kesalahan seluruh armada yang dicegah oleh konfigurasi bertemplat.

Langkah 3 — Tambahkan secret pelanggan

Setiap pelanggan membutuhkan sebuah “secret” — nama pengguna, kata sandi, dan profil yang menentukan paket mereka, dibuat di bawah /ppp secret. Untuk basis kecil, ini adalah seluruh basis data pengguna: tambahkan satu secret per pelanggan, opsional sematkan remote-address tetap untuk IP statis, dan nonaktifkan secret untuk memutus layanan. Ini adalah akuntabilitas per kredensial yang sama, yang diperluas oleh User Manager MikroTik untuk pelanggan hotspot, dibahas dalam panduan kami tentang gateway hotspot 10.5.50.1 dan User Manager.

Secret lokal berhenti menskala pada rentang ratusan hingga ribuan, di mana menyunting satu router per perubahan pelanggan menjadi penghambat. Pada titik itu Anda memindahkan autentikasi ke server RADIUS eksternal, dan konsentrator cukup bertanya ke RADIUS apakah sebuah login valid — menjaga basis data pelanggan tetap di satu tempat.

Langkah 4 — Aktifkan server PPPoE pada antarmuka akses

Sekarang nyalakan layanannya. Tambahkan server PPPoE dengan /interface pppoe-server server, ikat ke antarmuka yang menghadap jaringan akses Anda (sebuah port, VLAN, atau bridge), atur default-profile-nya ke profil Langkah 2, dan pilih metode autentikasi — pap, chap, atau mschap2. RouterOS kemudian menjawab penemuan PPPoE pada antarmuka itu dan mengautentikasi klien mana pun yang terhubung dengan secret yang valid.

Dua pengaturan penting dalam skala besar. Opsi one-session-per-host mencegah pelanggan membuka banyak sesi sekaligus, dan max-mtu/max-mru harus diatur agar overhead PPPoE tidak memfragmentasi lalu lintas pelanggan. Di mana jaringan akses tersegmentasi per pelanggan atau zona, panduan konfigurasi bridge MikroTik kami membahas fondasi Layer 2 tempat server berpijak.

Langkah 5 — Tambahkan aturan NAT dan firewall

Jika Anda memberi pelanggan alamat privat di Langkah 1, lalu lintas mereka memerlukan translasi. Tambahkan aturan masquerade di rantai srcnat yang terikat ke antarmuka keluar WAN Anda sehingga setiap sesi PPPoE mencapai internet — fondasi NAT yang sama dibahas dalam panduan mengonfigurasi NAT di MikroTik kami. Jika Anda membagikan IP publik, lewati masquerade dan rutekan bloknya.

Lalu lindungi konsentratornya. Layanan PPPoE harus dapat dijangkau pelanggan, tetapi antarmuka manajemen router tidak boleh, jadi tambahkan aturan firewall yang menjatuhkan akses Winbox, API, dan WebFig dari sisi yang menghadap pelanggan. Konsentrator yang membawa pendapatan pelanggan nyata adalah persis perangkat yang tidak ingin Anda jangkau dari sesi yang dibajak.

Langkah 6 — Kelola dan verifikasi armada dari jarak jauh

Inilah bagian yang dilewati tutorial router tunggal. Mendirikan PPPoE di satu perangkat itu mudah; menjalankan profil, pengaturan MTU, dan aturan firewall yang identik di puluhan konsentrator — dan membuktikan setiap konsentrator mengautentikasi sesi dan menegakkan rate limit yang benar — adalah masalah ISP yang sesungguhnya. Ini menjadi lebih sulit ketika router akses berada di belakang Carrier-Grade NAT tanpa IP publik, yang makin umum seiring operator mengandalkan uplink LTE dan Starlink.

Di sinilah manajemen terpusat membuktikan nilainya: MKController menjaga setiap router tetap dapat dijangkau melalui tunnel keluar terautentikasi bahkan saat tidak memiliki alamat publik — pendekatan yang sama dalam panduan akses jarak jauh MikroTik di belakang CGNAT kami — sehingga Anda mengaudit konfigurasi dan mendorong perbaikan ke seluruh armada, dengan telemetri yang menandai perangkat dengan sesi terputus sebelum pelanggan menelepon.

Tips

  • Buat templat untuk profil, bukan secret — setiap perubahan paket harus menyentuh satu profil, bukan ribuan akun.
  • Pantau CPU konsentrator: antrean per sesi dari rate-limit menumpuk, dan perangkat yang kelebihan beban menjatuhkan sesi secara diam-diam.
  • Atur max-mtu/max-mru dengan saksama. PPPoE menambah 8 byte overhead, dan fragmentasi yang dihasilkan adalah penyebab tersembunyi dari sebagian besar tiket “lambat di satu lokasi”.
  • Pusatkan autentikasi setelah beberapa ratus pengguna — secret lokal yang tersebar di banyak router menjadi mustahil diaudit.

Jalankan seluruh edge PPPoE Anda dari satu layar

Server PPPoE di satu MikroTik itu mudah. Menjalankannya di seluruh armada ISP — profil yang identik, arah rate-limit yang benar di setiap perangkat, manajemen yang terkunci, dan bukti setiap konsentrator mengautentikasi bahkan di belakang CGNAT tanpa IP publik — adalah tempat operator menghabiskan waktu berjam-jam. Itulah tugas yang menjadi alasan MKController dibuat: menjangkau setiap router melalui tunnel keluar yang aman, mengaudit konfigurasi, mengawasi sesi langsung, dan mendorong perbaikan ke seluruh armada sekaligus, dengan telemetri yang menandai perangkat dengan sesi terputus sebelum pelanggan sempat menelepon. Begitulah ISP yang menjalankan PPPoE di MikroTik mengubah pekerjaan router demi router menjadi satu bidang kendali tunggal.

Mulai uji coba gratis MKController Anda