Sari la conținut
InstagramYouTubeFacebook

Tutorial

Server PPPoE MikroTik pentru ISP-uri

Configurează un server PPPoE MikroTik pentru ISP: pool-uri IP, profiluri PPP, secrets, rate limits și gestionarea remotă a abonaților din spatele CGNAT.

Pe scurt Un server PPPoE MikroTik permite unui ISP să autentifice abonații, să atribuie fiecăruia o adresă IP și să impună o limită de viteză pe plan — totul din RouterOS, fără RADIUS extern pentru instalări mici. Configurarea este un lanț scurt și ordonat: un pool IP, un profil PPP, secrets de abonat, serviciul PPPoE și NAT. Problema mai grea nu este să configurezi un concentrator, ci să rulezi o configurație consecventă și verificabilă pe multe dintre ele — adesea în spatele CGNAT. Acest ghid acoperă ambele.

Fluxul de configurare a serverului PPPoE MikroTik pentru un ISP: creează pool-ul IP, construiește profilul PPP, adaugă secrets de abonat, activează serverul PPPoE pe interfața de acces, adaugă reguli de NAT și firewall, apoi gestionează și verifică flota de la distanță.

Ce Este un Server PPPoE MikroTik?

Un server PPPoE MikroTik este un serviciu RouterOS care autentifică fiecare abonat prin Point-to-Point Protocol over Ethernet, îi distribuie un IP dintr-un pool și aplică un profil ce controlează gateway-ul, DNS-ul și limita de viteză. Așa gestionează majoritatea ISP-urilor mici și mijlocii conexiunile clienților: un client se conectează cu nume de utilizator și parolă, serverul verifică credențiala, iar sesiunea moștenește planul atribuit — autentificare per utilizator, atribuire de IP și control al lățimii de bandă fără echipament separat (Documentația MikroTik — PPPoE).

PPPoE rămâne standardul ISP-urilor datorită responsabilizării. Fiecare abonat deține o credențială individuală, așa că poți dezactiva un cont pentru neplată, vedea cine este online și lega o adresă fixă sau o viteză de o persoană — nimic din toate acestea nu oferă curat livrarea prin bridge sau DHCP. Întreaga configurație se reduce la o singură idee: definește planul o dată într-un profil, apoi atașează abonații la el.

Pasul 1 — Creează pool-ul IP

Începe cu adresele pe care RouterOS le va împrumuta abonaților. Un pool este un bloc cu nume — de exemplu /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — dimensionat la sesiunile simultane pe care le va purta acest concentrator, cu rezervă. Ține adresa gateway-ului profilului (adică local-address) în afara intervalului împrumutabil ca să nu fie niciodată dată unui client din greșeală.

Dimensionează pool-ul după hardware — un router modest gestionează sute de sesiuni, un echipament din clasa CCR miile (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Ca să distribui în schimb IP-uri publice, îndreaptă pool-ul spre blocul tău rutabil și sari peste NAT-ul din Pasul 5.

Pasul 2 — Construiește profilul PPP

Profilul PPP este locul unde trăiește un plan. Setează local-address (gateway-ul pe care îl vede fiecare abonat), pool-ul remote-address din Pasul 1, serverele DNS și — cel mai important pentru un ISP — rate-limit-ul care limitează fiecare sesiune. Atribuie profilul unui abonat și moștenește viteza, așa că un plan “20/10” este un singur profil reutilizat pe mii de conturi (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Un detaliu îi încurcă pe aproape toți: direcția. RouterOS citește rate-limit-ul profilului ca rx-rate/tx-rate din punctul de vedere al serverului — întâi upload-ul abonatului, apoi download-ul, invers față de cum își descriu clienții planul. Un pachet “100 Mbps download / 30 Mbps upload” se scrie rate-limit=30M/100M. Inversează-l și fiecare client primește în tăcere un plan schimbat — exact eroarea la scară de flotă pe care o previne configurația cu șablon.

Pasul 3 — Adaugă secrets de abonat

Fiecare abonat are nevoie de un “secret” — nume de utilizator, parolă și profilul care îi definește planul, creat sub /ppp secret. Pentru o bază mică, aceasta este întreaga bază de date de utilizatori: adaugă un secret per client, opțional fixează o remote-address pentru un IP static și dezactivează secret-ul ca să întrerupi serviciul. Este aceeași responsabilizare per credențială pe care User Manager-ul MikroTik o extinde pentru abonații hotspot, tratată în ghidul nostru despre gateway-ul hotspot 10.5.50.1 și User Manager.

Secrets locale încetează să scaleze în intervalul de sute spre mii, unde editarea unui router pentru fiecare schimbare de client devine gâtuirea. În acel punct muți autentificarea pe un server RADIUS extern, iar concentratoarele întreabă pur și simplu RADIUS dacă un login este valid — păstrând baza de date a abonaților într-un singur loc.

Pasul 4 — Activează serverul PPPoE pe interfața de acces

Acum pornește serviciul. Adaugă un server PPPoE cu /interface pppoe-server server, leagă-l de interfața orientată spre rețeaua ta de acces (un port, VLAN sau bridge), setează-i default-profile pe profilul din Pasul 2 și alege metodele de autentificare — pap, chap sau mschap2. RouterOS răspunde apoi la descoperirea PPPoE pe acea interfață și autentifică orice client care se conectează cu un secret valid.

Două setări contează la scară. Opțiunea one-session-per-host împiedică un abonat să deschidă mai multe sesiuni simultane, iar max-mtu/max-mru trebuie setate astfel încât overhead-ul PPPoE să nu fragmenteze traficul clientului. Acolo unde rețeaua de acces este segmentată per client sau zonă, ghidul nostru de configurare a bridge-ului MikroTik acoperă fundația de Layer 2 pe care se sprijină serverul.

Pasul 5 — Adaugă reguli de NAT și firewall

Dacă în Pasul 1 ai atribuit abonaților adrese private, traficul lor are nevoie de translatare. Adaugă o regulă de masquerade în lanțul srcnat legată de interfața ta de ieșire WAN ca fiecare sesiune PPPoE să ajungă la internet — aceleași fundamente de NAT tratate în ghidul nostru de configurare a NAT pe MikroTik. Dacă ai distribuit IP-uri publice, sari peste masquerade și rutează blocul.

Apoi protejează concentratorul. Serviciul PPPoE ar trebui să fie accesibil abonaților, dar interfețele de management ale routerului nu, așa că adaugă reguli de firewall care resping accesul Winbox, API și WebFig dinspre partea orientată spre abonat. Un concentrator care poartă venituri reale de la clienți este exact dispozitivul pe care nu vrei să fie accesibil dintr-o sesiune deturnată.

Pasul 6 — Gestionează și verifică flota de la distanță

Iată partea pe care tutorialele cu un singur router o sar. A ridica PPPoE pe o mașină este ușor; a rula profiluri, setări MTU și reguli de firewall identice pe zeci de concentratoare — și a dovedi că fiecare autentifică sesiuni și impune rate limits corecte — este adevărata problemă a ISP-ului. Devine mai grea când un router de acces stă în spatele Carrier-Grade NAT fără IP public, tot mai frecvent pe măsură ce operatorii se sprijină pe uplink-uri LTE și Starlink.

Aici managementul centralizat își câștigă locul: MKController menține fiecare router accesibil printr-un tunel de ieșire autentificat chiar și când nu are adresă publică — aceeași abordare din ghidul nostru de acces remot MikroTik în spatele CGNAT — astfel încât auditezi configurația și împingi corecții pe toată flota, cu telemetrie care semnalează o mașină cu sesiuni căzute înainte ca clienții să sune.

Sfaturi

  • Fă șablon din profil, nu din secrets — fiecare schimbare de plan ar trebui să atingă un profil, niciodată mii de conturi.
  • Urmărește CPU-ul concentratorului: cozile per sesiune din rate-limit se adună, iar o mașină supraîncărcată renunță la sesiuni în tăcere.
  • Setează max-mtu/max-mru deliberat. PPPoE adaugă 8 octeți de overhead, iar fragmentarea rezultată este cauza ascunsă a majorității tichetelor “merge încet într-un singur loc”.
  • Centralizează autentificarea peste câteva sute de utilizatori — secrets locale împrăștiate pe routere devin imposibil de auditat.

Controlează întreaga margine PPPoE de pe un singur ecran

Un server PPPoE pe un singur MikroTik este ușor. Să-l rulezi pe o flotă de ISP — profiluri identice, direcția rate-limit corectă pe fiecare mașină, managementul blindat și dovada că fiecare concentrator autentifică chiar și în spatele CGNAT fără IP public — este locul unde operatorii pierd după-amieze întregi. Aceasta este munca pentru care a fost construit MKController: să ajungi la fiecare router printr-un tunel de ieșire securizat, să auditezi configurația, să urmărești sesiuni live și să împingi o corecție pe toată flota deodată, cu telemetrie care semnalează o mașină cu sesiuni căzute înainte ca un client măcar să sune. Așa transformă ISP-urile care rulează PPPoE pe MikroTik o corvoadă router-cu-router într-un singur plan de control.

Începe perioada de probă gratuită MKController