Przejdź do głównej zawartości
InstagramYouTubeFacebook

Tutorial

Serwer PPPoE MikroTik dla ISP

Jak skonfigurować serwer PPPoE MikroTik dla ISP: pule IP, profile PPP, secrets, rate limity i zdalne zarządzanie abonentami za CGNAT.

W skrócie Serwer PPPoE MikroTik pozwala ISP uwierzytelniać abonentów, przydzielać każdemu adres IP i wymuszać limit prędkości na plan — wszystko z RouterOS, bez zewnętrznego RADIUS przy małych wdrożeniach. Konfiguracja to krótki, uporządkowany łańcuch: pula IP, profil PPP, secrets abonentów, usługa PPPoE i NAT. Trudniejszym problemem nie jest skonfigurowanie jednego koncentratora, lecz uruchomienie spójnej, weryfikowalnej konfiguracji na wielu z nich — często za CGNAT. Ten przewodnik obejmuje oba.

Przepływ konfiguracji serwera PPPoE MikroTik dla ISP: utwórz pulę IP, zbuduj profil PPP, dodaj secrets abonentów, włącz serwer PPPoE na interfejsie dostępowym, dodaj reguły NAT i zapory, a następnie zdalnie zarządzaj flotą i weryfikuj ją.

Czym Jest Serwer PPPoE MikroTik?

Serwer PPPoE MikroTik to usługa RouterOS, która uwierzytelnia każdego abonenta przez Point-to-Point Protocol over Ethernet, przydziela mu IP z puli i stosuje profil kontrolujący jego bramę, DNS i limit prędkości. Tak właśnie większość małych i średnich ISP zarządza połączeniami klientów: klient łączy się z nazwą użytkownika i hasłem, serwer sprawdza poświadczenie, a sesja dziedziczy przypisany plan — uwierzytelnianie na użytkownika, przydział IP i kontrola pasma bez osobnego sprzętu (Dokumentacja MikroTik — PPPoE).

PPPoE pozostaje standardem ISP ze względu na rozliczalność. Każdy abonent ma indywidualne poświadczenie, więc możesz wyłączyć konto za brak płatności, zobaczyć, kto jest online, i przypisać stały adres lub prędkość do osoby — niczego z tego dostarczanie przez bridge ani DHCP nie zapewnia czysto. Cała konfiguracja sprowadza się do jednej myśli: zdefiniuj plan raz w profilu, a potem podłącz do niego abonentów.

Krok 1 — Utwórz pulę IP

Zacznij od adresów, które RouterOS będzie wypożyczać abonentom. Pula to nazwany blok — na przykład /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — dobrany do równoczesnych sesji, które poniesie ten koncentrator, z zapasem. Trzymaj adres bramy profilu (czyli local-address) poza zakresem wypożyczalnym, aby nigdy nie trafił do klienta przez przypadek.

Dobierz rozmiar puli do sprzętu — skromny router obsługuje setki sesji, urządzenie klasy CCR tysiące (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Aby zamiast tego rozdawać publiczne IP, skieruj pulę na swój routowalny blok i pomiń NAT w Kroku 5.

Krok 2 — Zbuduj profil PPP

Profil PPP to miejsce, w którym żyje plan. Ustawia local-address (bramę, którą widzi każdy abonent), pulę remote-address z Kroku 1, serwery DNS oraz — co najważniejsze dla ISP — rate-limit ograniczający każdą sesję. Przypisz profil abonentowi, a odziedziczy prędkość, więc plan „20/10” to jeden profil użyty ponownie na tysiącach kont (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Jeden szczegół zwodzi niemal każdego: kierunek. RouterOS czyta rate-limit profilu jako rx-rate/tx-rate z punktu widzenia serwera — najpierw wysyłanie abonenta, potem pobieranie, odwrotnie niż klienci opisują swój plan. Pakiet „100 Mbps w dół / 30 Mbps w górę” zapisuje się jako rate-limit=30M/100M. Odwróć to, a każdy klient po cichu otrzyma zamieniony plan — dokładnie ten błąd na skalę floty, któremu zapobiega konfiguracja szablonowa.

Krok 3 — Dodaj secrets abonentów

Każdy abonent potrzebuje „secret” — nazwy użytkownika, hasła i profilu definiującego jego plan, tworzonego pod /ppp secret. Dla małej bazy to cała baza użytkowników: dodaj secret na klienta, opcjonalnie przypnij stały remote-address dla statycznego IP i wyłącz secret, aby odciąć usługę. To ta sama rozliczalność na poświadczenie, którą User Manager MikroTik rozszerza na abonentów hotspot, omówiona w naszym przewodniku o bramie hotspot 10.5.50.1 i User Manager.

Lokalne secrets przestają skalować się w zakresie setek do tysięcy, gdzie edycja jednego routera przy każdej zmianie klienta staje się wąskim gardłem. W tym momencie przenosisz uwierzytelnianie na zewnętrzny serwer RADIUS, a koncentratory po prostu pytają RADIUS, czy login jest ważny — trzymając bazę abonentów w jednym miejscu.

Krok 4 — Włącz serwer PPPoE na interfejsie dostępowym

Teraz włącz usługę. Dodaj serwer PPPoE poleceniem /interface pppoe-server server, przypnij go do interfejsu zwróconego ku Twojej sieci dostępowej (port, VLAN lub bridge), ustaw jego default-profile na profil z Kroku 2 i wybierz metody uwierzytelniania — pap, chap lub mschap2. RouterOS odpowiada wtedy na wykrywanie PPPoE na tym interfejsie i uwierzytelnia każdego klienta łączącego się z ważnym secret.

Dwa ustawienia liczą się na skalę. Opcja one-session-per-host blokuje abonentowi otwieranie wielu równoczesnych sesji, a max-mtu/max-mru należy ustawić tak, by narzut PPPoE nie fragmentował ruchu klienta. Tam, gdzie sieć dostępowa jest segmentowana na klienta lub strefę, nasz przewodnik konfiguracji bridge MikroTik omawia podstawy Warstwy 2, na których serwer się opiera.

Krok 5 — Dodaj reguły NAT i zapory

Jeśli w Kroku 1 przydzieliłeś abonentom adresy prywatne, ich ruch wymaga translacji. Dodaj regułę masquerade w łańcuchu srcnat przypiętą do interfejsu wyjściowego WAN, aby każda sesja PPPoE docierała do internetu — te same podstawy NAT omówione w naszym przewodniku konfiguracji NAT na MikroTik. Jeśli rozdałeś publiczne IP, pomiń masquerade i routuj blok.

Następnie zabezpiecz koncentrator. Usługa PPPoE powinna być osiągalna dla abonentów, ale interfejsy zarządzania routera już nie, więc dodaj reguły zapory odrzucające dostęp Winbox, API i WebFig od strony zwróconej ku abonentowi. Koncentrator niosący realne przychody od klientów to dokładnie urządzenie, którego nie chcesz mieć osiągalnym z przejętej sesji.

Krok 6 — Zdalnie zarządzaj flotą i weryfikuj ją

Oto część, którą poradniki o jednym routerze pomijają. Postawienie PPPoE na jednym urządzeniu jest łatwe; uruchomienie identycznych profili, ustawień MTU i reguł zapory na dziesiątkach koncentratorów — i udowodnienie, że każdy uwierzytelnia sesje i egzekwuje właściwe rate limity — to prawdziwy problem ISP. Robi się trudniej, gdy router dostępowy stoi za Carrier-Grade NAT bez publicznego IP, coraz częstszy, gdy operatorzy opierają się na łączach LTE i Starlink.

Tu zarządzanie scentralizowane zarabia na swoje miejsce: MKController utrzymuje każdy router osiągalnym przez uwierzytelniony tunel wychodzący, nawet gdy nie ma adresu publicznego — to samo podejście, co w naszym przewodniku o zdalnym dostępie MikroTik za CGNAT — więc audytujesz konfigurację i wdrażasz poprawki na całą flotę, z telemetrią sygnalizującą urządzenie z porzucanymi sesjami, zanim klienci zadzwonią.

Wskazówki

  • Szablonuj profil, nie secrets — każda zmiana planu powinna dotykać jednego profilu, nigdy tysięcy kont.
  • Pilnuj CPU koncentratora: kolejki na sesję z rate-limit sumują się, a przeciążone urządzenie po cichu porzuca sesje.
  • Ustawiaj max-mtu/max-mru świadomie. PPPoE dodaje 8 bajtów narzutu, a wynikająca fragmentacja to ukryta przyczyna większości zgłoszeń „wolno działa w jednej lokalizacji”.
  • Centralizuj uwierzytelnianie powyżej kilkuset użytkowników — lokalne secrets rozproszone po routerach stają się niemożliwe do audytu.

Steruj całą krawędzią PPPoE z jednego ekranu

Serwer PPPoE na jednym MikroTik jest łatwy. Uruchomienie go na flocie ISP — identyczne profile, właściwy kierunek rate-limit na każdym urządzeniu, zablokowane zarządzanie i dowód, że każdy koncentrator uwierzytelnia nawet za CGNAT bez publicznego IP — to miejsce, w którym operatorzy tracą całe popołudnia. To zadanie, do którego zbudowano MKController: dosięgnąć każdego routera przez bezpieczny tunel wychodzący, audytować konfigurację, obserwować sesje na żywo i wdrożyć poprawkę na całą flotę naraz, z telemetrią sygnalizującą urządzenie z porzucanymi sesjami, zanim klient w ogóle zadzwoni. Tak ISP uruchamiające PPPoE na MikroTik zamieniają mozół router po routerze w jedną płaszczyznę kontroli.

Rozpocznij bezpłatny okres próbny MKController