컨텐츠로 건너뛰기
InstagramYouTubeFacebook

Tutorial

ISP를 위한 MikroTik PPPoE 서버

ISP를 위한 MikroTik PPPoE 서버 설정 방법: IP 풀, PPP 프로파일, secrets, rate limit, CGNAT 뒤 가입자 원격 관리.

요약 MikroTik PPPoE 서버는 ISP가 가입자를 인증하고 각자에게 IP 주소를 할당하며 요금제별 속도 제한을 적용하게 해줍니다. 모두 RouterOS에서 이뤄지며 소규모 배포에는 외부 RADIUS가 필요 없습니다. 설정은 짧고 순서가 정해진 사슬입니다. IP 풀, PPP 프로파일, 가입자 secrets, PPPoE 서비스, 그리고 NAT입니다. 더 어려운 문제는 하나의 집중기를 설정하는 것이 아니라, 여러 대에서 일관되고 검증 가능한 구성을 운영하는 것이며 흔히 CGNAT 뒤에 있습니다. 이 가이드는 둘 다 다룹니다.

ISP를 위한 MikroTik PPPoE 서버 설정 흐름: IP 풀 생성, PPP 프로파일 구축, 가입자 secrets 추가, 액세스 인터페이스에서 PPPoE 서버 활성화, NAT 및 방화벽 규칙 추가, 마지막으로 플릿을 원격으로 관리하고 검증.

MikroTik PPPoE 서버란?

MikroTik PPPoE 서버는 각 가입자를 Point-to-Point Protocol over Ethernet을 통해 인증하고, 풀에서 IP를 내주며, 게이트웨이·DNS·속도 제한을 제어하는 프로파일을 적용하는 RouterOS 서비스입니다. 대부분의 중소 ISP가 고객 연결을 이렇게 관리합니다. 고객이 사용자 이름과 비밀번호로 접속하면 서버가 자격 증명을 확인하고 세션은 할당된 요금제를 상속합니다. 별도 장비 없이 사용자별 인증, IP 할당, 대역폭 제어가 이뤄집니다(MikroTik 문서 — PPPoE).

PPPoE는 책임 추적성 때문에 ISP 표준으로 남아 있습니다. 각 가입자는 개별 자격 증명을 가지므로 미납 시 계정을 비활성화하고, 누가 온라인인지 보고, 고정 주소나 속도를 한 사람에게 묶을 수 있습니다. 브리지나 DHCP 전달로는 어느 것도 깔끔하게 제공되지 않습니다. 전체 구성은 한 가지 생각으로 귀결됩니다. 요금제를 프로파일에 한 번 정의하고 거기에 가입자를 붙이는 것입니다.

1단계 — IP 풀 생성

RouterOS가 가입자에게 빌려줄 주소부터 시작합니다. 풀은 이름이 붙은 블록으로, 예를 들어 /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254처럼 이 집중기가 감당할 동시 세션에 맞춰 여유를 두고 규모를 정합니다. 프로파일의 게이트웨이 주소(즉 local-address)는 빌려줄 범위 밖에 두어 실수로 클라이언트에 넘어가지 않게 합니다.

풀은 하드웨어에 맞춰 규모를 정합니다 — 평범한 라우터는 수백 세션을, CCR급 장치는 수천을 처리합니다(Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). 대신 공인 IP를 나눠주려면 풀을 라우팅 가능한 블록으로 향하게 하고 5단계의 NAT를 건너뜁니다.

2단계 — PPP 프로파일 구축

PPP 프로파일은 요금제가 사는 곳입니다. local-address(모든 가입자가 보는 게이트웨이), 1단계의 remote-address 풀, DNS 서버, 그리고 — ISP에 가장 중요한 — 각 세션을 제한하는 rate-limit을 설정합니다. 프로파일을 가입자에게 할당하면 속도를 상속하므로, ‘20/10’ 요금제는 수천 계정에서 재사용되는 하나의 프로파일입니다(madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

한 가지 세부 사항이 거의 모두를 넘어뜨립니다. 방향입니다. RouterOS는 프로파일의 rate-limitrx-rate/tx-rate서버의 관점에서 읽습니다. 가입자의 업로드가 먼저, 다운로드가 나중으로, 고객이 요금제를 설명하는 순서의 반대입니다. ‘다운 100Mbps / 업 30Mbps’ 상품은 rate-limit=30M/100M으로 씁니다. 뒤집으면 모든 고객이 조용히 뒤바뀐 요금제를 받게 됩니다 — 바로 템플릿 구성이 막아주는 플릿 규모의 오류입니다.

3단계 — 가입자 secrets 추가

각 가입자에게는 ‘secret’이 필요합니다 — /ppp secret 아래 생성하는 사용자 이름, 비밀번호, 그리고 요금제를 정의하는 프로파일입니다. 작은 기반에서는 이것이 전체 사용자 데이터베이스입니다. 고객마다 secret을 추가하고, 선택적으로 정적 IP를 위해 고정 remote-address를 고정하며, 서비스를 끊으려면 secret을 비활성화합니다. 이는 MikroTik의 User Manager가 핫스팟 가입자에게 확장하는 동일한 자격 증명별 책임 추적성으로, 10.5.50.1 핫스팟 게이트웨이와 User Manager 가이드에서 다룹니다.

로컬 secrets는 수백에서 수천 범위에서 확장이 멈추며, 고객 변경마다 라우터 한 대를 편집하는 일이 병목이 됩니다. 그 지점에서 인증을 외부 RADIUS 서버로 옮기고, 집중기는 단지 로그인이 유효한지 RADIUS에 묻기만 하여 가입자 데이터베이스를 한 곳에 유지합니다.

4단계 — 액세스 인터페이스에서 PPPoE 서버 활성화

이제 서비스를 켭니다. /interface pppoe-server server로 PPPoE 서버를 추가하고, 액세스 네트워크를 향한 인터페이스(포트, VLAN 또는 bridge)에 바인딩하며, 그 default-profile을 2단계 프로파일로 설정하고 인증 방식을 선택합니다 — pap, chap 또는 mschap2. 그러면 RouterOS는 그 인터페이스에서 PPPoE 디스커버리에 응답하고, 유효한 secret으로 접속하는 모든 클라이언트를 인증합니다.

규모에서는 두 설정이 중요합니다. one-session-per-host 옵션은 가입자가 여러 동시 세션을 여는 것을 막고, max-mtu/max-mru는 PPPoE 오버헤드가 고객 트래픽을 단편화하지 않도록 설정해야 합니다. 액세스 네트워크가 고객이나 구역별로 분할된 경우, MikroTik bridge 구성 가이드가 서버가 올라타는 레이어 2 기반을 다룹니다.

5단계 — NAT 및 방화벽 규칙 추가

1단계에서 가입자에게 사설 주소를 할당했다면 그 트래픽에는 변환이 필요합니다. 각 PPPoE 세션이 인터넷에 닿도록 WAN 출력 인터페이스에 바인딩된 srcnat 체인에 masquerade 규칙을 추가합니다 — MikroTik에서 NAT 구성 가이드에서 다루는 동일한 NAT 기초입니다. 공인 IP를 나눠줬다면 masquerade를 건너뛰고 블록을 라우팅합니다.

그다음 집중기를 보호합니다. PPPoE 서비스는 가입자에게 도달 가능해야 하지만 라우터의 관리 인터페이스는 그렇지 않아야 하므로, 가입자 측에서 오는 Winbox, API, WebFig 액세스를 떨구는 방화벽 규칙을 추가합니다. 실제 고객 수익을 짊어진 집중기는 바로 탈취된 세션에서 도달 가능하게 하고 싶지 않은 장치입니다.

6단계 — 플릿을 원격으로 관리하고 검증

여기가 단일 라우터 튜토리얼이 건너뛰는 부분입니다. 한 대에서 PPPoE를 세우는 것은 쉽지만, 수십 대의 집중기에서 동일한 프로파일, MTU 설정, 방화벽 규칙을 운영하고 — 각각이 세션을 인증하고 올바른 rate limit을 적용함을 증명하는 것 — 이 진짜 ISP 문제입니다. 액세스 라우터가 공인 IP 없이 Carrier-Grade NAT 뒤에 있을 때 더 어려워지며, 사업자가 LTE와 Starlink 업링크에 기대면서 점점 흔해집니다.

여기서 중앙 관리가 제 자리를 증명합니다. MKController는 공인 주소가 없을 때도 인증된 아웃바운드 터널로 각 라우터를 도달 가능하게 유지합니다 — CGNAT 뒤 MikroTik 원격 액세스 가이드와 같은 방식으로 — 그래서 구성을 감사하고 플릿 전체에 수정을 밀어 넣으며, 고객이 전화하기 전에 세션이 떨어지는 장치를 표시하는 텔레메트리를 갖춥니다.

  • secrets가 아니라 프로파일을 템플릿화하세요 — 모든 요금제 변경은 수천 개 계정이 아니라 하나의 프로파일에 닿아야 합니다.
  • 집중기의 CPU를 주시하세요: rate-limit의 세션별 큐가 쌓이고, 과부하된 장치는 조용히 세션을 떨굽니다.
  • max-mtu/max-mru를 의도적으로 설정하세요. PPPoE는 8바이트의 오버헤드를 더하며, 그로 인한 단편화가 대부분의 ‘한 곳에서만 느림’ 티켓의 숨은 원인입니다.
  • 수백 명을 넘어서면 인증을 중앙화하세요 — 라우터에 흩어진 로컬 secrets는 감사가 불가능해집니다.

전체 PPPoE 엣지를 한 화면에서 제어하기

한 대의 MikroTik에서 PPPoE 서버는 쉽습니다. ISP 플릿 전체에서 운영하는 것 — 동일한 프로파일, 각 장치에서 올바른 rate-limit 방향, 잠긴 관리, 그리고 각 집중기가 공인 IP 없이 CGNAT 뒤에서도 인증한다는 증명 — 이 사업자가 오후를 통째로 잃는 지점입니다. 그것이 MKController가 만들어진 일입니다. 각 라우터에 안전한 아웃바운드 터널로 도달하고, 구성을 감사하고, 라이브 세션을 지켜보고, 플릿 전체에 한 번에 수정을 밀어 넣으며, 고객이 전화하기도 전에 세션이 떨어지는 장치를 표시하는 텔레메트리를 갖춥니다. 이것이 MikroTik에서 PPPoE를 운영하는 ISP가 라우터마다의 잡일을 단일 제어 평면으로 바꾸는 방법입니다.

무료 MKController 체험을 시작하세요