Pāriet uz saturu
InstagramYouTubeFacebook

Tutorial

MikroTik PPPoE serveris ISP

Kā iestatīt MikroTik PPPoE serveri ISP: IP pūli, PPP profili, secrets, rate limit un abonentu attālā pārvaldība aiz CGNAT.

Kopsavilkums MikroTik PPPoE serveris ļauj ISP autentificēt abonentus, katram piešķirt IP adresi un uzspiest ātruma ierobežojumu pa plāniem — viss no RouterOS, bez ārēja RADIUS maziem izvietojumiem. Iestatīšana ir īsa, sakārtota ķēde: IP pūls, PPP profils, abonentu secrets, PPPoE pakalpojums un NAT. Grūtākā problēma nav konfigurēt vienu koncentratoru, bet gan darbināt konsekventu, pārbaudāmu konfigurāciju daudzos no tiem — bieži aiz CGNAT. Šī rokasgrāmata aptver abus.

MikroTik PPPoE servera iestatīšanas plūsma ISP: izveidojiet IP pūlu, izveidojiet PPP profilu, pievienojiet abonentu secrets, iespējojiet PPPoE serveri piekļuves saskarnē, pievienojiet NAT un ugunsmūra noteikumus un visbeidzot attālināti pārvaldiet un pārbaudiet floti.

Kas Ir MikroTik PPPoE Serveris?

MikroTik PPPoE serveris ir RouterOS pakalpojums, kas autentificē katru abonentu caur Point-to-Point Protocol over Ethernet, izsniedz tam IP no pūla un piemēro profilu, kas vada tā vārteju, DNS un ātruma ierobežojumu. Tā lielākā daļa mazo un vidējo ISP pārvalda klientu savienojumus: klients pieslēdzas ar lietotājvārdu un paroli, serveris pārbauda akreditācijas datus, un sesija manto piešķirto plānu — autentifikācija uz lietotāju, IP piešķiršana un joslas platuma kontrole bez atsevišķa aprīkojuma (MikroTik dokumentācija — PPPoE).

PPPoE paliek ISP standarts atbildības dēļ. Katram abonentam ir individuāli akreditācijas dati, tāpēc varat atspējot kontu par nemaksāšanu, redzēt, kurš ir tiešsaistē, un piesaistīt fiksētu adresi vai ātrumu personai — neko no tā tilta vai DHCP piegāde tīri nesniedz. Visa konfigurācija sašaurinās līdz vienai idejai: definējiet plānu vienreiz profilā un pēc tam pievienojiet tam abonentus.

1. solis — Izveidojiet IP pūlu

Sāciet ar adresēm, ko RouterOS aizdos abonentiem. Pūls ir nosaukts bloks — piemēram /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — izmērots pēc vienlaicīgajām sesijām, ko šis koncentrators nesīs, ar rezervi. Turiet profila vārtejas adresi (proti, local-address) ārpus aizdodamā diapazona, lai tā nekad nejauši netiktu izsniegta klientam.

Izmēriet pūlu pēc aparatūras — pieticīgs maršrutētājs tiek galā ar simtiem sesiju, CCR klases ierīce ar tūkstošiem (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Lai tā vietā izdalītu publiskas IP, novirziet pūlu uz savu maršrutējamo bloku un izlaidiet NAT 5. solī.

2. solis — Izveidojiet PPP profilu

PPP profils ir vieta, kur dzīvo plāns. Tas iestata local-address (vārteju, ko redz katrs abonents), remote-address pūlu no 1. soļa, DNS serverus un — ISP svarīgāko — rate-limit, kas ierobežo katru sesiju. Piešķiriet profilu abonentam, un tas manto ātrumu, tāpēc „20/10” plāns ir viens profils, atkārtoti izmantots tūkstošiem kontu (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Viena detaļa pieviļ gandrīz visus: virziens. RouterOS lasa profila rate-limitrx-rate/tx-rate no servera skatpunkta — vispirms abonenta augšupielāde, tad lejupielāde, pretēji tam, kā klienti apraksta savu plānu. Pakete „100 Mbps lejup / 30 Mbps augšup” tiek rakstīta rate-limit=30M/100M. Apgrieziet to, un katrs klients klusi saņem samainītu plānu — tieši to flotes mēroga kļūdu, ko veidnes konfigurācija novērš.

3. solis — Pievienojiet abonentu secrets

Katram abonentam vajadzīgs „secret” — lietotājvārds, parole un profils, kas definē tā plānu, izveidots zem /ppp secret. Mazai bāzei tā ir visa lietotāju datubāze: pievienojiet secret katram klientam, pēc izvēles piespraudiet fiksētu remote-address statiskai IP un atspējojiet secret, lai pārtrauktu pakalpojumu. Tā ir tā pati atbildība uz akreditācijas datiem, ko MikroTik User Manager paplašina hotspot abonentiem, aplūkota mūsu rokasgrāmatā par 10.5.50.1 hotspot vārteju un User Manager.

Vietējie secrets pārstāj mērogoties simtu līdz tūkstošu diapazonā, kur viena maršrutētāja rediģēšana uz katru klienta izmaiņu kļūst par šauro vietu. Tajā brīdī jūs pārvietojat autentifikāciju uz ārēju RADIUS serveri, un koncentratori vienkārši jautā RADIUS, vai pieteikšanās ir derīga — saglabājot abonentu datubāzi vienā vietā.

4. solis — Iespējojiet PPPoE serveri piekļuves saskarnē

Tagad ieslēdziet pakalpojumu. Pievienojiet PPPoE serveri ar /interface pppoe-server server, sasaistiet to ar saskarni, kas vērsta uz jūsu piekļuves tīklu (ports, VLAN vai bridge), iestatiet tā default-profile uz 2. soļa profilu un izvēlieties autentifikācijas metodes — pap, chap vai mschap2. RouterOS tad atbild uz PPPoE atklāšanu šajā saskarnē un autentificē katru klientu, kas pieslēdzas ar derīgu secret.

Divi iestatījumi ir svarīgi mērogā. Opcija one-session-per-host neļauj abonentam atvērt vairākas vienlaicīgas sesijas, un max-mtu/max-mru jāiestata tā, lai PPPoE virstēriņš nefragmentētu klienta trafiku. Kur piekļuves tīkls ir segmentēts pa klientu vai zonu, mūsu MikroTik bridge konfigurācijas rokasgrāmata aptver 2. slāņa pamatu, uz kura serveris balstās.

5. solis — Pievienojiet NAT un ugunsmūra noteikumus

Ja 1. solī piešķīrāt abonentiem privātas adreses, to trafikam nepieciešama tulkošana. Pievienojiet masquerade noteikumu srcnat ķēdē, kas sasaistīta ar jūsu WAN izejas saskarni, lai katra PPPoE sesija sasniegtu internetu — tie paši NAT pamati, kas aplūkoti mūsu rokasgrāmatā par NAT konfigurēšanu MikroTik. Ja izdalījāt publiskas IP, izlaidiet masquerade un maršrutējiet bloku.

Pēc tam aizsargājiet koncentratoru. PPPoE pakalpojumam vajadzētu būt sasniedzamam abonentiem, bet maršrutētāja pārvaldības saskarnēm ne, tāpēc pievienojiet ugunsmūra noteikumus, kas nomet Winbox, API un WebFig piekļuvi no abonentam vērstās puses. Koncentrators, kas nes reālus klientu ieņēmumus, ir tieši tā ierīce, ko nevēlaties padarīt sasniedzamu no nolaupītas sesijas.

6. solis — Attālināti pārvaldiet un pārbaudiet floti

Lūk, daļa, ko viena maršrutētāja pamācības izlaiž. Uzstādīt PPPoE uz vienas mašīnas ir viegli; darbināt identiskus profilus, MTU iestatījumus un ugunsmūra noteikumus uz desmitiem koncentratoru — un pierādīt, ka katrs autentificē sesijas un uzspiež pareizos rate limit — ir īstā ISP problēma. Tas kļūst grūtāk, kad piekļuves maršrutētājs atrodas aiz Carrier-Grade NAT bez publiskas IP, kas arvien biežāk, jo operatori paļaujas uz LTE un Starlink uplinkiem.

Šeit centralizēta pārvaldība nopelna savu vietu: MKController saglabā katru maršrutētāju sasniedzamu caur autentificētu izejošu tuneli pat tad, kad tam nav publiskas adreses — tā pati pieeja kā mūsu rokasgrāmatā par MikroTik attālo piekļuvi aiz CGNAT — tādējādi jūs auditējat konfigurāciju un izstumjat labojumus visā flotē, ar telemetriju, kas atzīmē mašīnu ar nokritušām sesijām, pirms klienti zvana.

Padomi

  • Veidojiet veidni profilam, nevis secrets — katrai plāna izmaiņai vajadzētu skart vienu profilu, nekad ne tūkstošiem kontu.
  • Vērojiet koncentratora CPU: rate-limit sesiju rindas summējas, un pārslogota mašīna klusi nomet sesijas.
  • Iestatiet max-mtu/max-mru apzināti. PPPoE pievieno 8 baitu virstēriņu, un radusies fragmentācija ir slēptais cēlonis lielākajai daļai pieteikumu „vienā vietā ir lēni”.
  • Centralizējiet autentifikāciju virs dažiem simtiem lietotāju — vietējie secrets, izkaisīti pa maršrutētājiem, kļūst neiespējami auditēt.

Vadiet visu savu PPPoE malu no viena ekrāna

PPPoE serveris uz viena MikroTik ir viegls. Darbināt to ISP flotē — identiski profili, pareizs rate-limit virziens uz katras mašīnas, bloķēta pārvaldība un pierādījums, ka katrs koncentrators autentificē pat aiz CGNAT bez publiskas IP — ir vieta, kur operatori zaudē veselas pēcpusdienas. Tas ir darbs, kuram MKController tika būvēts: sasniegt katru maršrutētāju caur drošu izejošu tuneli, auditēt konfigurāciju, vērot sesijas tiešraidē un izstumt labojumu visā flotē uzreiz, ar telemetriju, kas atzīmē mašīnu ar nokritušām sesijām, pirms klients vispār zvana. Tā ISP, kas darbina PPPoE uz MikroTik, pārvērš maršrutētājs-pēc-maršrutētāja rutīnu vienā vadības plaknē.

Sāciet savu bezmaksas MKController izmēģinājumu