Tutorial
Servidor PPPoE MikroTik para Provedores
Como configurar um servidor PPPoE MikroTik para provedor: pools de IP, perfis PPP, secrets, rate limits e gestão remota de assinantes atrás de CGNAT.
Resumo Um servidor PPPoE MikroTik permite que um provedor autentique assinantes, atribua um endereço IP a cada um e imponha um limite de velocidade por plano — tudo a partir do RouterOS, sem RADIUS externo em implantações pequenas. A configuração é uma cadeia curta e ordenada: um pool de IP, um perfil PPP, secrets de assinante, o serviço PPPoE e o NAT. O problema mais difícil não é configurar um concentrador, mas rodar uma configuração consistente e verificável em vários deles — muitas vezes atrás de CGNAT. Este guia cobre os dois.

O Que É um Servidor PPPoE MikroTik?
Um servidor PPPoE MikroTik é um serviço do RouterOS que autentica cada assinante por Point-to-Point Protocol over Ethernet, entrega a ele um IP de um pool e aplica um perfil que controla seu gateway, DNS e limite de velocidade. É assim que a maioria dos provedores de pequeno e médio porte gerencia conexões de clientes: o cliente disca com usuário e senha, o servidor verifica a credencial e a sessão herda o plano atribuído — autenticação por usuário, atribuição de IP e controle de banda sem equipamento separado (Documentação MikroTik — PPPoE).
O PPPoE continua sendo o padrão dos provedores por causa da responsabilização. Cada assinante possui uma credencial individual, então você pode desativar uma conta por inadimplência, ver quem está online e vincular um endereço fixo ou uma velocidade a uma pessoa — nada disso a entrega por bridge ou DHCP oferece de forma limpa. Toda a configuração se reduz a uma ideia: defina o plano uma vez em um perfil e então conecte os assinantes a ele.
Passo 1 — Crie o pool de IP
Comece pelos endereços que o RouterOS emprestará aos assinantes. Um pool é um bloco nomeado — por exemplo /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — dimensionado para as sessões simultâneas que este concentrador vai carregar, com folga. Mantenha o endereço de gateway do perfil (o local-address) fora do intervalo emprestável para que ele nunca seja entregue a um cliente por acidente.
Dimensione o pool conforme o hardware — um roteador modesto lida com centenas de sessões, um equipamento classe CCR com milhares (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Para entregar IPs públicos, aponte o pool para o seu bloco roteável e pule o NAT do Passo 5.
Passo 2 — Monte o perfil PPP
O perfil PPP é onde o plano vive. Ele define o local-address (o gateway que todo assinante vê), o pool de remote-address do Passo 1, os servidores DNS e — o mais importante para um provedor — o rate-limit que limita cada sessão. Atribua o perfil a um assinante e ele herda a velocidade, então um plano “20/10” é um perfil reutilizado em milhares de contas (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).
Um detalhe pega quase todo mundo: a direção. O RouterOS lê o rate-limit do perfil como rx-rate/tx-rate do ponto de vista do servidor — o upload do assinante primeiro, o download depois, o inverso de como os clientes descrevem o plano. Um pacote “100 Mbps de descida / 30 Mbps de subida” é escrito rate-limit=30M/100M. Inverta e cada cliente recebe silenciosamente um plano trocado — exatamente o erro em escala de frota que a configuração modelada evita.
Passo 3 — Adicione os secrets de assinante
Cada assinante precisa de um “secret” — usuário, senha e o perfil que define seu plano, criado em /ppp secret. Para uma base pequena, isso é todo o banco de usuários: adicione um secret por cliente, opcionalmente fixe um remote-address para um IP estático e desative o secret para cortar o serviço. Essa é a mesma responsabilização por credencial que o User Manager da MikroTik estende para assinantes de hotspot, abordada em nosso guia sobre o gateway de hotspot 10.5.50.1 e o User Manager.
Os secrets locais param de escalar na faixa de centenas a milhares, onde editar um roteador por mudança de cliente vira o gargalo. Nesse ponto você move a autenticação para um servidor RADIUS externo, e os concentradores simplesmente perguntam ao RADIUS se um login é válido — mantendo o banco de assinantes em um só lugar.
Passo 4 — Ative o servidor PPPoE na interface de acesso
Agora ligue o serviço. Adicione um servidor PPPoE com /interface pppoe-server server, vincule-o à interface voltada para a sua rede de acesso (uma porta, VLAN ou bridge), defina seu default-profile para o perfil do Passo 2 e escolha os métodos de autenticação — pap, chap ou mschap2. O RouterOS então responde à descoberta PPPoE naquela interface e autentica qualquer cliente que disque com um secret válido.
Dois ajustes importam em escala. A opção one-session-per-host impede que um assinante abra várias sessões simultâneas, e max-mtu/max-mru devem ser definidos para que o overhead do PPPoE não fragmente o tráfego do cliente. Onde a rede de acesso é segmentada por cliente ou zona, nosso guia de configuração de bridge MikroTik cobre a base de Camada 2 sobre a qual o servidor se apoia.
Passo 5 — Adicione regras de NAT e firewall
Se você atribuiu endereços privados aos assinantes no Passo 1, o tráfego deles precisa de tradução. Adicione uma regra de masquerade na cadeia srcnat vinculada à sua interface de saída WAN para que cada sessão PPPoE alcance a internet — os mesmos fundamentos de NAT abordados em nosso guia para configurar NAT no MikroTik. Se você entregou IPs públicos, pule o masquerade e roteie o bloco.
Em seguida, proteja o concentrador. O serviço PPPoE deve ser alcançável pelos assinantes, mas as interfaces de gerência do roteador não, então adicione regras de firewall que descartem o acesso Winbox, API e WebFig vindo do lado voltado para o assinante. Um concentrador que carrega receita real de clientes é exatamente o dispositivo que você não quer alcançável a partir de uma sessão sequestrada.
Passo 6 — Gerencie e verifique a frota remotamente
Aqui está a parte que os tutoriais de roteador único pulam. Subir o PPPoE em uma caixa é fácil; rodar perfis, ajustes de MTU e regras de firewall idênticos em dezenas de concentradores — e provar que cada um autentica sessões e impõe os rate limits corretos — é o verdadeiro problema do provedor. Fica mais difícil quando um roteador de acesso está atrás de Carrier-Grade NAT sem IP público, algo cada vez mais comum à medida que operadores se apoiam em uplinks LTE e Starlink.
É aqui que a gestão centralizada justifica seu lugar: o MKController mantém cada roteador alcançável por um túnel de saída autenticado mesmo quando ele não tem endereço público — a mesma abordagem do nosso guia de acesso remoto MikroTik atrás de CGNAT — para que você audite a configuração e aplique correções em toda a frota, com telemetria que sinaliza uma caixa com sessões caindo antes de os clientes ligarem.
Dicas
- Modele o perfil, não os secrets — toda mudança de plano deve tocar um perfil, nunca milhares de contas.
- Observe a CPU do concentrador: as filas por sessão do
rate-limitse acumulam, e uma caixa sobrecarregada derruba sessões silenciosamente. - Defina
max-mtu/max-mrucom cuidado. O PPPoE adiciona 8 bytes de overhead, e a fragmentação resultante é a causa oculta da maioria dos chamados de “está lento em um site”. - Centralize a autenticação acima de algumas centenas de usuários — secrets locais espalhados por roteadores tornam-se impossíveis de auditar.
Rode toda a sua borda PPPoE em uma só tela
Um servidor PPPoE em um único MikroTik é fácil. Rodá-lo em uma frota de provedor — perfis idênticos, a direção do rate-limit certa em cada caixa, a gerência trancada e a prova de que cada concentrador autentica mesmo atrás de CGNAT sem IP público — é onde os operadores perdem tardes inteiras. Esse é o trabalho para o qual o MKController foi feito: alcançar cada roteador por um túnel de saída seguro, auditar a configuração, observar sessões ao vivo e aplicar uma correção em toda a frota de uma vez, com telemetria que sinaliza uma caixa com sessões caindo antes de um cliente sequer ligar. É assim que provedores que rodam PPPoE no MikroTik transformam uma tarefa roteador a roteador em um único plano de controle.