Tutorial
MikroTik PPPoE-server voor ISP's
Een MikroTik PPPoE-server opzetten voor een ISP: IP-pools, PPP-profielen, secrets, rate limits en abonnees op afstand beheren achter CGNAT.
Samenvatting Met een MikroTik PPPoE-server kan een ISP abonnees authenticeren, ieder een IP-adres toewijzen en een snelheidslimiet per abonnement afdwingen — allemaal vanuit RouterOS, zonder externe RADIUS voor kleine installaties. De opzet is een korte, geordende keten: een IP-pool, een PPP-profiel, abonnee-secrets, de PPPoE-dienst en NAT. Het lastigere probleem is niet één concentrator configureren, maar een consistente, verifieerbare configuratie op vele draaien — vaak achter CGNAT. Deze gids behandelt beide.

Wat Is een MikroTik PPPoE-server?
Een MikroTik PPPoE-server is een RouterOS-dienst die elke abonnee authenticeert via Point-to-Point Protocol over Ethernet, hem een IP uit een pool geeft en een profiel toepast dat zijn gateway, DNS en snelheidslimiet beheert. Zo beheren de meeste kleine tot middelgrote ISP’s klantverbindingen: een klant belt in met een gebruikersnaam en wachtwoord, de server controleert de credential, en de sessie erft het toegewezen abonnement — authenticatie per gebruiker, IP-toewijzing en bandbreedtebeheer zonder aparte apparatuur (MikroTik-documentatie — PPPoE).
PPPoE blijft de ISP-standaard vanwege verantwoording. Elke abonnee heeft een individuele credential, dus je kunt een account uitschakelen bij wanbetaling, zien wie online is en een vast adres of snelheid aan een persoon koppelen — niets daarvan levert bridge- of DHCP-aflevering netjes op. De hele configuratie komt neer op één idee: definieer het abonnement één keer in een profiel en koppel daarna de abonnees eraan.
Stap 1 — Maak de IP-pool
Begin met de adressen die RouterOS aan abonnees uitleent. Een pool is een benoemd blok — bijvoorbeeld /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — afgestemd op de gelijktijdige sessies die deze concentrator zal dragen, met marge. Houd het gateway-adres van het profiel (de local-address) buiten het uitleenbereik zodat het nooit per ongeluk aan een client wordt gegeven.
Stem de poolgrootte af op de hardware — een bescheiden router aan honderden sessies, een apparaat van CCR-klasse aan duizenden (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Om in plaats daarvan publieke IP’s uit te delen, richt je de pool op je routeerbare blok en sla je het NAT in Stap 5 over.
Stap 2 — Bouw het PPP-profiel
Het PPP-profiel is waar een abonnement leeft. Het stelt de local-address in (de gateway die elke abonnee ziet), de remote-address-pool uit Stap 1, de DNS-servers en — het belangrijkst voor een ISP — de rate-limit die elke sessie begrenst. Wijs het profiel toe aan een abonnee en hij erft de snelheid, dus een “20/10”-abonnement is één profiel dat over duizenden accounts wordt hergebruikt (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).
Eén detail laat bijna iedereen struikelen: de richting. RouterOS leest de rate-limit van het profiel als rx-rate/tx-rate vanuit het oogpunt van de server — eerst de upload van de abonnee, dan de download, omgekeerd aan hoe klanten hun abonnement omschrijven. Een pakket “100 Mbps down / 30 Mbps up” wordt geschreven als rate-limit=30M/100M. Draai het om en elke klant krijgt stilletjes een omgewisseld abonnement — precies de vlootbrede fout die sjabloonconfiguratie voorkomt.
Stap 3 — Voeg abonnee-secrets toe
Elke abonnee heeft een “secret” nodig — een gebruikersnaam, wachtwoord en het profiel dat zijn abonnement bepaalt, aangemaakt onder /ppp secret. Voor een kleine basis is dit de hele gebruikersdatabase: voeg een secret per klant toe, pin desgewenst een vaste remote-address voor een statisch IP en schakel de secret uit om de dienst af te sluiten. Dit is dezelfde verantwoording per credential die MikroTiks User Manager uitbreidt voor hotspot-abonnees, behandeld in onze gids over de 10.5.50.1 hotspot-gateway en User Manager.
Lokale secrets stoppen met schalen in het bereik van honderden tot duizenden, waar het bewerken van één router per klantwijziging het knelpunt wordt. Op dat punt verplaats je de authenticatie naar een externe RADIUS-server, en de concentrators vragen RADIUS simpelweg of een login geldig is — zo blijft de abonneedatabase op één plek.
Stap 4 — Schakel de PPPoE-server in op de toegangsinterface
Zet nu de dienst aan. Voeg een PPPoE-server toe met /interface pppoe-server server, bind hem aan de interface richting je toegangsnetwerk (een poort, VLAN of bridge), stel zijn default-profile in op het profiel uit Stap 2 en kies de authenticatiemethoden — pap, chap of mschap2. RouterOS beantwoordt dan PPPoE-discovery op die interface en authenticeert elke client die inbelt met een geldige secret.
Twee instellingen tellen op schaal. De optie one-session-per-host belet een abonnee meerdere gelijktijdige sessies te openen, en max-mtu/max-mru moeten zo worden ingesteld dat de PPPoE-overhead het klantverkeer niet fragmenteert. Waar het toegangsnetwerk per klant of zone is gesegmenteerd, behandelt onze MikroTik bridge-configuratiegids het Laag 2-fundament waarop de server aansluit.
Stap 5 — Voeg NAT- en firewallregels toe
Als je abonnees in Stap 1 privé-adressen hebt toegewezen, heeft hun verkeer vertaling nodig. Voeg een masquerade-regel toe in de srcnat-keten, gebonden aan je WAN-uitgaande interface, zodat elke PPPoE-sessie het internet bereikt — dezelfde NAT-grondbeginselen die in onze gids voor het configureren van NAT op MikroTik worden behandeld. Als je publieke IP’s hebt uitgedeeld, sla je het masquerade over en route je het blok.
Bescherm vervolgens de concentrator. De PPPoE-dienst moet bereikbaar zijn voor abonnees, maar de beheerinterfaces van de router niet, dus voeg firewallregels toe die Winbox-, API- en WebFig-toegang vanaf de abonneezijde laten vallen. Een concentrator die echte klantomzet draagt, is precies het apparaat dat je niet bereikbaar wilt hebben vanuit een gekaapte sessie.
Stap 6 — Beheer en verifieer de vloot op afstand
Hier is het deel dat tutorials met één router overslaan. PPPoE op één machine opzetten is makkelijk; identieke profielen, MTU-instellingen en firewallregels op tientallen concentrators draaien — en bewijzen dat elk sessies authenticeert en de juiste rate limits afdwingt — is het echte ISP-probleem. Het wordt lastiger wanneer een toegangsrouter achter Carrier-Grade NAT zit zonder publiek IP, steeds gangbaarder nu operators leunen op LTE- en Starlink-uplinks.
Hier verdient gecentraliseerd beheer zijn plek: MKController houdt elke router bereikbaar over een geauthenticeerde uitgaande tunnel, zelfs zonder publiek adres — dezelfde aanpak als in onze gids voor MikroTik externe toegang achter CGNAT — zodat je de configuratie audit en fixes vlootbreed uitrolt, met telemetrie die een machine met afgevallen sessies markeert voordat klanten bellen.
Tips
- Maak een sjabloon van het profiel, niet van de secrets — elke abonnementswijziging hoort één profiel te raken, nooit duizenden accounts.
- Houd de CPU van de concentrator in de gaten: de per-sessiewachtrijen van
rate-limittellen op, en een overbelaste machine laat sessies stilletjes vallen. - Stel
max-mtu/max-mrubewust in. PPPoE voegt 8 byte overhead toe, en de resulterende fragmentatie is de verborgen oorzaak van de meeste “het is traag op één locatie”-tickets. - Centraliseer authenticatie voorbij een paar honderd gebruikers — lokale secrets verspreid over routers worden onmogelijk te auditen.
Bestuur je hele PPPoE-rand vanaf één scherm
Een PPPoE-server op één MikroTik is makkelijk. Hem over een ISP-vloot draaien — identieke profielen, de rate-limit-richting juist op elke machine, het beheer dichtgetimmerd en bewijs dat elke concentrator authenticeert zelfs achter CGNAT zonder publiek IP — is waar operators hele middagen verliezen. Dat is het werk waarvoor MKController is gebouwd: elke router bereiken over een veilige uitgaande tunnel, de configuratie auditen, live sessies bekijken en in één keer een fix over de hele vloot uitrollen, met telemetrie die een machine met afgevallen sessies markeert voordat een klant ook maar belt. Zo veranderen ISP’s die PPPoE op MikroTik draaien een klus van router-na-router in één enkel besturingsvlak.