Salta ai contenuti
InstagramYouTubeFacebook

Tutorial

Server PPPoE MikroTik per gli ISP

Come configurare un server PPPoE MikroTik per un ISP: pool di IP, profili PPP, secret, rate limit e gestione remota degli abbonati dietro CGNAT.

In sintesi Un server PPPoE MikroTik permette a un ISP di autenticare gli abbonati, assegnare a ciascuno un indirizzo IP e imporre un limite di velocità per piano — tutto da RouterOS, senza RADIUS esterno per piccole installazioni. La configurazione è una catena breve e ordinata: un pool di IP, un profilo PPP, i secret degli abbonati, il servizio PPPoE e il NAT. Il problema più difficile non è configurare un concentratore, ma eseguire una configurazione coerente e verificabile su molti di essi — spesso dietro CGNAT. Questa guida copre entrambi.

Flusso di configurazione del server PPPoE MikroTik per un ISP: creare il pool di IP, costruire il profilo PPP, aggiungere i secret degli abbonati, attivare il server PPPoE sull'interfaccia di accesso, aggiungere le regole di NAT e firewall, infine gestire e verificare la flotta da remoto.

Che Cos’è un Server PPPoE MikroTik?

Un server PPPoE MikroTik è un servizio RouterOS che autentica ogni abbonato tramite Point-to-Point Protocol over Ethernet, gli assegna un IP da un pool e applica un profilo che controlla il suo gateway, DNS e limite di velocità. È così che la maggior parte degli ISP piccoli e medi gestisce le connessioni dei clienti: un cliente si connette con nome utente e password, il server verifica la credenziale e la sessione eredita il piano assegnato — autenticazione per utente, assegnazione IP e controllo della banda senza apparati separati (Documentazione MikroTik — PPPoE).

Il PPPoE resta lo standard degli ISP per la responsabilità. Ogni abbonato possiede una credenziale individuale, così puoi disabilitare un account per mancato pagamento, vedere chi è online e legare un indirizzo fisso o una velocità a una persona — nulla di tutto ciò viene offerto in modo pulito dalla consegna in bridge o DHCP. L’intera configurazione si riduce a un’idea: definisci il piano una volta in un profilo, poi collega gli abbonati ad esso.

Passo 1 — Crea il pool di IP

Inizia dagli indirizzi che RouterOS presterà agli abbonati. Un pool è un blocco con nome — per esempio /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — dimensionato alle sessioni simultanee che questo concentratore porterà, con margine. Tieni l’indirizzo gateway del profilo (cioè local-address) fuori dall’intervallo prestabile così da non assegnarlo mai a un client per errore.

Dimensiona il pool in base all’hardware — un router modesto gestisce centinaia di sessioni, un apparato di classe CCR le migliaia (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Per distribuire IP pubblici, punta il pool al tuo blocco instradabile e salta il NAT nel Passo 5.

Passo 2 — Costruisci il profilo PPP

Il profilo PPP è dove vive un piano. Imposta il local-address (il gateway che ogni abbonato vede), il pool remote-address del Passo 1, i server DNS e — soprattutto per un ISP — il rate-limit che limita ogni sessione. Assegna il profilo a un abbonato ed eredita la velocità, così un piano “20/10” è un solo profilo riutilizzato su migliaia di account (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Un dettaglio inganna quasi tutti: la direzione. RouterOS legge il rate-limit del profilo come rx-rate/tx-rate dal punto di vista del server — prima l’upload dell’abbonato, poi il download, l’inverso di come i clienti descrivono il loro piano. Un pacchetto “100 Mbps in download / 30 Mbps in upload” si scrive rate-limit=30M/100M. Invertilo e ogni cliente riceve silenziosamente un piano scambiato — proprio l’errore su scala di flotta che la configurazione a modello previene.

Passo 3 — Aggiungi i secret degli abbonati

Ogni abbonato ha bisogno di un “secret” — nome utente, password e il profilo che definisce il suo piano, creato sotto /ppp secret. Per una base piccola questo è l’intero database utenti: aggiungi un secret per cliente, opzionalmente fissa un remote-address per un IP statico e disabilita il secret per interrompere il servizio. È la stessa responsabilità per credenziale che lo User Manager di MikroTik estende agli abbonati hotspot, trattata nella nostra guida su il gateway hotspot 10.5.50.1 e lo User Manager.

I secret locali smettono di scalare nell’intervallo da centinaia a migliaia, dove modificare un router per ogni cambio cliente diventa il collo di bottiglia. A quel punto sposti l’autenticazione su un server RADIUS esterno, e i concentratori chiedono semplicemente a RADIUS se un login è valido — mantenendo il database abbonati in un solo posto.

Passo 4 — Attiva il server PPPoE sull’interfaccia di accesso

Ora accendi il servizio. Aggiungi un server PPPoE con /interface pppoe-server server, legalo all’interfaccia rivolta alla tua rete di accesso (una porta, VLAN o bridge), imposta il suo default-profile sul profilo del Passo 2 e scegli i metodi di autenticazione — pap, chap o mschap2. RouterOS risponde allora alla discovery PPPoE su quell’interfaccia e autentica qualsiasi client che si connette con un secret valido.

Due impostazioni contano su scala. L’opzione one-session-per-host impedisce a un abbonato di aprire più sessioni simultanee, e max-mtu/max-mru vanno impostati così che l’overhead PPPoE non frammenti il traffico del cliente. Dove la rete di accesso è segmentata per cliente o zona, la nostra guida alla configurazione del bridge MikroTik copre le fondamenta di Livello 2 su cui il server si appoggia.

Passo 5 — Aggiungi le regole di NAT e firewall

Se nel Passo 1 hai assegnato agli abbonati indirizzi privati, il loro traffico ha bisogno di traduzione. Aggiungi una regola di masquerade nella catena srcnat legata alla tua interfaccia di uscita WAN così che ogni sessione PPPoE raggiunga internet — gli stessi fondamenti di NAT trattati nella nostra guida alla configurazione del NAT su MikroTik. Se hai distribuito IP pubblici, salta il masquerade e instrada il blocco.

Poi proteggi il concentratore. Il servizio PPPoE dovrebbe essere raggiungibile dagli abbonati, ma le interfacce di gestione del router no, quindi aggiungi regole firewall che scartano l’accesso Winbox, API e WebFig dal lato rivolto all’abbonato. Un concentratore che porta ricavi reali dai clienti è proprio il dispositivo che non vuoi raggiungibile da una sessione dirottata.

Passo 6 — Gestisci e verifica la flotta da remoto

Ecco la parte che i tutorial a router singolo saltano. Mettere in piedi il PPPoE su una macchina è facile; eseguire profili, impostazioni MTU e regole firewall identici su decine di concentratori — e dimostrare che ciascuno autentica le sessioni e impone i rate limit corretti — è il vero problema dell’ISP. Diventa più difficile quando un router di accesso sta dietro Carrier-Grade NAT senza IP pubblico, sempre più comune man mano che gli operatori si appoggiano a uplink LTE e Starlink.

È qui che la gestione centralizzata si guadagna il suo posto: MKController mantiene ogni router raggiungibile su un tunnel uscente autenticato anche quando non ha indirizzo pubblico — lo stesso approccio della nostra guida all’accesso remoto MikroTik dietro CGNAT — così controlli la configurazione e applichi correzioni all’intera flotta, con telemetria che segnala una macchina con sessioni cadute prima che i clienti chiamino.

Consigli

  • Modella il profilo, non i secret — ogni cambio di piano dovrebbe toccare un profilo, mai migliaia di account.
  • Tieni d’occhio la CPU del concentratore: le code per sessione del rate-limit si sommano, e una macchina sovraccarica scarta sessioni silenziosamente.
  • Imposta max-mtu/max-mru con cura. Il PPPoE aggiunge 8 byte di overhead, e la frammentazione che ne deriva è la causa nascosta della maggior parte dei ticket “è lento in un sito”.
  • Centralizza l’autenticazione oltre qualche centinaio di utenti — i secret locali sparsi sui router diventano impossibili da verificare.

Gestisci tutto il tuo edge PPPoE da un solo schermo

Un server PPPoE su un singolo MikroTik è facile. Eseguirlo su una flotta di ISP — profili identici, la direzione del rate-limit corretta su ogni macchina, la gestione blindata e la prova che ogni concentratore autentica anche dietro CGNAT senza IP pubblico — è dove gli operatori perdono interi pomeriggi. È il lavoro per cui MKController è stato costruito: raggiungere ogni router su un tunnel uscente sicuro, controllare la configurazione, osservare le sessioni in tempo reale e applicare una correzione all’intera flotta in una volta, con telemetria che segnala una macchina con sessioni cadute prima ancora che un cliente chiami. È così che gli ISP che eseguono PPPoE su MikroTik trasformano un lavoro router per router in un unico piano di controllo.

Inizia la tua prova gratuita di MKController