Preskočiť na obsah
InstagramYouTubeFacebook

Tutorial

Server PPPoE MikroTik pre ISP

Ako nastaviť server PPPoE MikroTik pre ISP: IP pooly, PPP profily, secrets, rate limity a vzdialená správa účastníkov za CGNAT.

Zhrnutie Server PPPoE MikroTik umožňuje ISP overovať účastníkov, prideliť každému IP adresu a vynútiť rýchlostný limit podľa tarifu — všetko z RouterOS, bez externého RADIUS pri malých nasadeniach. Nastavenie je krátka, usporiadaná reťaz: IP pool, PPP profil, secrets účastníkov, služba PPPoE a NAT. Ťažším problémom nie je nakonfigurovať jeden koncentrátor, ale prevádzkovať konzistentnú, overiteľnú konfiguráciu na mnohých z nich — často za CGNAT. Tento sprievodca pokrýva oboje.

Postup nastavenia servera PPPoE MikroTik pre ISP: vytvorte IP pool, zostavte PPP profil, pridajte secrets účastníkov, povoľte server PPPoE na prístupovom rozhraní, pridajte pravidlá NAT a firewallu a napokon vzdialene spravujte a overujte flotilu.

Čo Je Server PPPoE MikroTik?

Server PPPoE MikroTik je služba RouterOS, ktorá overuje každého účastníka cez Point-to-Point Protocol over Ethernet, pridelí mu IP z poolu a aplikuje profil riadiaci jeho bránu, DNS a rýchlostný limit. Takto väčšina malých a stredných ISP spravuje pripojenia zákazníkov: zákazník sa pripojí používateľským menom a heslom, server overí prihlasovací údaj, a relácia zdedí priradený tarif — overovanie na používateľa, pridelenie IP a riadenie šírky pásma bez samostatného zariadenia (Dokumentácia MikroTik — PPPoE).

PPPoE zostáva štandardom ISP kvôli zodpovednosti. Každý účastník má individuálny prihlasovací údaj, takže môžete zakázať účet za neplatenie, vidieť, kto je online, a priradiť osobe pevnú adresu alebo rýchlosť — nič z toho doručenie cez bridge ani DHCP čisto neposkytuje. Celá konfigurácia sa redukuje na jednu myšlienku: definujte tarif raz v profile a potom k nemu pripojte účastníkov.

Krok 1 — Vytvorte IP pool

Začnite adresami, ktoré bude RouterOS účastníkom požičiavať. Pool je pomenovaný blok — napríklad /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — dimenzovaný na súbežné relácie, ktoré tento koncentrátor ponesie, s rezervou. Držte adresu brány profilu (teda local-address) mimo požičateľný rozsah, aby nebola nikdy omylom pridelená klientovi.

Dimenzujte pool podľa hardvéru — skromný router zvládne stovky relácií, zariadenie triedy CCR tisíce (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Ak chcete namiesto toho rozdávať verejné IP, nasmerujte pool na svoj smerovateľný blok a NAT v Kroku 5 preskočte.

Krok 2 — Zostavte PPP profil

PPP profil je miesto, kde tarif žije. Nastavuje local-address (bránu, ktorú vidí každý účastník), pool remote-address z Kroku 1, servery DNS a — pre ISP najdôležitejšie — rate-limit, ktorý obmedzuje každú reláciu. Priraďte profil účastníkovi a zdedí rýchlosť, takže tarif „20/10“ je jeden profil znova použitý na tisícoch účtov (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Jeden detail nachytá takmer každého: smer. RouterOS číta rate-limit profilu ako rx-rate/tx-rate z pohľadu servera — najprv upload účastníka, potom download, opačne, než ako zákazníci opisujú svoj tarif. Balík „100 Mbps sťahovanie / 30 Mbps odosielanie“ sa zapíše rate-limit=30M/100M. Prehoďte to a každý zákazník ticho dostane prehodený tarif — presne tú chybu v mierke flotily, ktorej šablónová konfigurácia predchádza.

Krok 3 — Pridajte secrets účastníkov

Každý účastník potrebuje „secret“ — používateľské meno, heslo a profil, ktorý definuje jeho tarif, vytvorený pod /ppp secret. Pre malú základňu je to celá databáza používateľov: pridajte secret na zákazníka, voliteľne pripnite pevnú remote-address pre statickú IP a vypnite secret, aby ste prerušili službu. Je to tá istá zodpovednosť na prihlasovací údaj, ktorú User Manager MikroTik rozširuje na účastníkov hotspotu, opísaná v našom sprievodcovi o bráne hotspotu 10.5.50.1 a User Manageri.

Lokálne secrets prestávajú škálovať v rozsahu stoviek až tisícov, kde sa editácia jedného routeru na každú zmenu zákazníka stáva úzkym hrdlom. V tom bode presuniete overovanie na externý server RADIUS, a koncentrátory sa jednoducho pýtajú RADIUS, či je prihlásenie platné — databáza účastníkov zostáva na jednom mieste.

Krok 4 — Povoľte server PPPoE na prístupovom rozhraní

Teraz zapnite službu. Pridajte server PPPoE pomocou /interface pppoe-server server, naviažte ho na rozhranie obrátené k vašej prístupovej sieti (port, VLAN alebo bridge), nastavte jeho default-profile na profil z Kroku 2 a vyberte metódy overovania — pap, chap alebo mschap2. RouterOS potom odpovedá na PPPoE discovery na tomto rozhraní a overuje každého klienta, ktorý sa pripojí s platným secret.

Dve nastavenia sú v mierke dôležité. Voľba one-session-per-host bráni účastníkovi otvoriť viac súbežných relácií, a max-mtu/max-mru by mali byť nastavené tak, aby réžia PPPoE nefragmentovala prevádzku zákazníka. Tam, kde je prístupová sieť segmentovaná podľa zákazníka alebo zóny, náš sprievodca konfiguráciou bridge MikroTik pokrýva základ Vrstvy 2, na ktorý server nadväzuje.

Krok 5 — Pridajte pravidlá NAT a firewallu

Ak ste účastníkom v Kroku 1 pridelili privátne adresy, ich prevádzka potrebuje preklad. Pridajte pravidlo masquerade v reťazci srcnat naviazané na vaše výstupné rozhranie WAN, aby každá relácia PPPoE dosiahla internet — rovnaké základy NAT opísané v našom sprievodcovi konfiguráciou NAT na MikroTik. Ak ste rozdali verejné IP, masquerade preskočte a blok smerujte.

Potom chráňte koncentrátor. Služba PPPoE by mala byť dosiahnuteľná pre účastníkov, ale správne rozhrania routeru nie, takže pridajte pravidlá firewallu, ktoré zahadzujú prístup Winbox, API a WebFig zo strany obrátenej k účastníkovi. Koncentrátor nesúci reálne príjmy od zákazníkov je presne to zariadenie, ktoré nechcete dosiahnuteľné z unesenej relácie.

Krok 6 — Vzdialene spravujte a overujte flotilu

Tu je časť, ktorú návody o jednom routeri preskakujú. Postaviť PPPoE na jednom stroji je ľahké; prevádzkovať zhodné profily, nastavenia MTU a pravidlá firewallu na desiatkach koncentrátorov — a dokázať, že každý overuje relácie a vynucuje správne rate limity — je skutočný problém ISP. Komplikuje sa to, keď prístupový router sedí za Carrier-Grade NAT bez verejnej IP, čo je čoraz bežnejšie, ako sa operátori opierajú o uplinky LTE a Starlink.

Tu si centralizovaná správa zaslúži svoje miesto: MKController udržiava každý router dosiahnuteľný cez overený odchádzajúci tunel, aj keď nemá verejnú adresu — rovnaký prístup ako v našom sprievodcovi vzdialeným prístupom MikroTik za CGNAT — takže auditujete konfiguráciu a vytláčate opravy na celú flotilu, s telemetriou, ktorá označí stroj so spadnutými reláciami skôr, než zákazníci zavolajú.

Tipy

  • Šablónujte profil, nie secrets — každá zmena tarifu by sa mala dotknúť jedného profilu, nikdy tisícov účtov.
  • Sledujte CPU koncentrátora: rady na reláciu z rate-limit sa sčítavajú, a preťažený stroj ticho zahadzuje relácie.
  • Nastavujte max-mtu/max-mru uvážlivo. PPPoE pridáva 8 bajtov réžie, a výsledná fragmentácia je skrytá príčina väčšiny tiketov „na jednej lokalite je to pomalé“.
  • Centralizujte overovanie nad niekoľko sto používateľov — lokálne secrets roztrúsené po routeroch sa stanú nemožné auditovať.

Riaďte celý svoj okraj PPPoE z jednej obrazovky

Server PPPoE na jednom MikroTik je ľahký. Prevádzkovať ho na flotile ISP — zhodné profily, správny smer rate-limit na každom stroji, zamknutá správa a dôkaz, že každý koncentrátor overuje aj za CGNAT bez verejnej IP — je miesto, kde operátori strácajú celé popoludnia. To je práca, pre ktorú bol MKController postavený: dosiahnuť na každý router cez zabezpečený odchádzajúci tunel, auditovať konfiguráciu, sledovať živé relácie a vytlačiť opravu na celú flotilu naraz, s telemetriou, ktorá označí stroj so spadnutými reláciami skôr, než zákazník vôbec zavolá. Tak ISP prevádzkujúce PPPoE na MikroTik menia drinu router po routeri na jedinú riadiacu rovinu.

Spustite bezplatnú skúšobnú verziu MKController