Skip to content
InstagramYouTubeFacebook

Tutorial

Strežnik PPPoE MikroTik za ISP

Kako nastaviti strežnik PPPoE MikroTik za ISP: bazeni IP, profili PPP, secrets, rate limiti in oddaljeno upravljanje naročnikov za CGNAT.

Povzetek Strežnik PPPoE MikroTik omogoča ISP-ju, da overi naročnike, vsakemu dodeli naslov IP in uveljavi omejitev hitrosti po paketu — vse iz RouterOS, brez zunanjega RADIUS pri majhnih namestitvah. Nastavitev je kratka, urejena veriga: bazen IP, profil PPP, secrets naročnikov, storitev PPPoE in NAT. Težji problem ni nastaviti enega koncentratorja, temveč zagnati dosledno, preverljivo konfiguracijo na mnogih — pogosto za CGNAT. Ta vodnik pokriva oboje.

Potek nastavitve strežnika PPPoE MikroTik za ISP: ustvarite bazen IP, sestavite profil PPP, dodajte secrets naročnikov, omogočite strežnik PPPoE na dostopnem vmesniku, dodajte pravila NAT in požarnega zidu ter nazadnje oddaljeno upravljajte in preverjajte floto.

Kaj Je Strežnik PPPoE MikroTik?

Strežnik PPPoE MikroTik je storitev RouterOS, ki overi vsakega naročnika prek Point-to-Point Protocol over Ethernet, mu dodeli IP iz bazena in uporabi profil, ki nadzoruje njegov prehod, DNS in omejitev hitrosti. Tako večina majhnih in srednjih ISP upravlja povezave strank: stranka se poveže z uporabniškim imenom in geslom, strežnik preveri poverilnico, in seja podeduje dodeljeni paket — overjanje na uporabnika, dodelitev IP in nadzor pasovne širine brez ločene opreme (Dokumentacija MikroTik — PPPoE).

PPPoE ostaja standard ISP zaradi odgovornosti. Vsak naročnik ima individualno poverilnico, zato lahko onemogočite račun zaradi neplačila, vidite, kdo je na spletu, in osebi povežete stalni naslov ali hitrost — nič od tega dostava prek bridge ali DHCP ne ponudi čisto. Celotna konfiguracija se zmanjša na eno idejo: paket določite enkrat v profilu in nato nanj pripnite naročnike.

Korak 1 — Ustvarite bazen IP

Začnite z naslovi, ki jih bo RouterOS posojal naročnikom. Bazen je poimenovan blok — na primer /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — prilagojen sočasnim sejam, ki jih bo nosil ta koncentrator, z rezervo. Naslov prehoda profila (torej local-address) imejte zunaj posojljivega obsega, da nikoli ni pomotoma dodeljen odjemalcu.

Bazen prilagodite strojni opremi — skromen usmerjevalnik zmore stotine sej, naprava razreda CCR tisoče (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Za deljenje javnih IP namesto tega usmerite bazen na svoj usmerljivi blok in preskočite NAT v Koraku 5.

Korak 2 — Sestavite profil PPP

Profil PPP je mesto, kjer paket živi. Nastavi local-address (prehod, ki ga vidi vsak naročnik), bazen remote-address iz Koraka 1, strežnike DNS in — najpomembneje za ISP — rate-limit, ki omejuje vsako sejo. Dodelite profil naročniku in podeduje hitrost, tako da je paket „20/10“ en profil, ponovno uporabljen na tisočih računov (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

En podrobnost ujame skoraj vse: smer. RouterOS bere rate-limit profila kot rx-rate/tx-rate z vidika strežnika — najprej nalaganje naročnika, nato prenos, obratno od tega, kako stranke opisujejo svoj paket. Paket „100 Mbps navzdol / 30 Mbps navzgor“ se zapiše rate-limit=30M/100M. Zamenjajte ga in vsaka stranka tiho dobi zamenjan paket — natanko tisto napako v obsegu flote, ki jo predloga konfiguracije prepreči.

Korak 3 — Dodajte secrets naročnikov

Vsak naročnik potrebuje „secret“ — uporabniško ime, geslo in profil, ki določa njegov paket, ustvarjen pod /ppp secret. Za majhno bazo je to celotna podatkovna baza uporabnikov: dodajte secret na stranko, po želji pripnite stalni remote-address za statični IP in onemogočite secret, da prekinete storitev. To je ista odgovornost na poverilnico, ki jo User Manager MikroTik razširi na naročnike hotspota, obravnavana v našem vodniku o prehodu hotspota 10.5.50.1 in User Managerju.

Lokalni secrets nehajo skalirati v obsegu od stotin do tisočev, kjer urejanje enega usmerjevalnika ob vsaki spremembi stranke postane ozko grlo. Na tej točki premaknete overjanje na zunanji strežnik RADIUS, in koncentratorji preprosto vprašajo RADIUS, ali je prijava veljavna — podatkovna baza naročnikov ostane na enem mestu.

Korak 4 — Omogočite strežnik PPPoE na dostopnem vmesniku

Zdaj vključite storitev. Dodajte strežnik PPPoE z /interface pppoe-server server, ga povežite z vmesnikom, obrnjenim k vašemu dostopovnemu omrežju (vrata, VLAN ali bridge), nastavite njegov default-profile na profil iz Koraka 2 in izberite metode overjanja — pap, chap ali mschap2. RouterOS nato odgovori na odkrivanje PPPoE na tem vmesniku in overi vsakega odjemalca, ki se poveže z veljavnim secret.

Dve nastavitvi sta pri obsegu pomembni. Možnost one-session-per-host prepreči naročniku, da odpre več sočasnih sej, in max-mtu/max-mru je treba nastaviti tako, da režija PPPoE ne fragmentira prometa stranke. Kjer je dostopovno omrežje segmentirano po stranki ali coni, naš vodnik za konfiguracijo bridge MikroTik pokriva temelj Plasti 2, na katerega se strežnik navezuje.

Korak 5 — Dodajte pravila NAT in požarnega zidu

Če ste naročnikom v Koraku 1 dodelili zasebne naslove, njihov promet potrebuje prevajanje. Dodajte pravilo masquerade v verigi srcnat, povezano z vašim izhodnim vmesnikom WAN, da vsaka seja PPPoE doseže internet — iste temelje NAT, obravnavane v našem vodniku za konfiguracijo NAT na MikroTik. Če ste razdelili javne IP, preskočite masquerade in usmerite blok.

Nato zaščitite koncentrator. Storitev PPPoE naj bo dosegljiva naročnikom, upravljalski vmesniki usmerjevalnika pa ne, zato dodajte pravila požarnega zidu, ki opustijo dostop Winbox, API in WebFig s strani, obrnjene k naročniku. Koncentrator, ki nosi resnične prihodke od strank, je natanko naprava, ki je ne želite dosegljive iz ugrabljene seje.

Korak 6 — Oddaljeno upravljajte in preverjajte floto

Tu je del, ki ga vodniki o enem usmerjevalniku preskočijo. Postaviti PPPoE na enem stroju je preprosto; zagnati enake profile, nastavitve MTU in pravila požarnega zidu na desetinah koncentratorjev — in dokazati, da vsak overi seje in uveljavi pravilne rate limite — je pravi problem ISP. Postane težje, ko dostopni usmerjevalnik sedi za Carrier-Grade NAT brez javnega IP, kar je vse pogostejše, ko se operaterji opirajo na povezave LTE in Starlink.

Tu si centralizirano upravljanje prisluži svoje mesto: MKController ohranja vsak usmerjevalnik dosegljiv prek overjenega izhodnega tunela, tudi ko nima javnega naslova — isti pristop kot v našem vodniku o oddaljenem dostopu MikroTik za CGNAT — tako revidirate konfiguracijo in potiskate popravke na celotno floto, s telemetrijo, ki označi stroj s prekinjenimi sejami, preden stranke pokličejo.

Nasveti

  • Predloga naj velja za profil, ne za secrets — vsaka sprememba paketa naj se dotakne enega profila, nikoli tisočev računov.
  • Spremljajte CPU koncentratorja: čakalne vrste na sejo iz rate-limit se seštevajo, in preobremenjen stroj tiho opušča seje.
  • max-mtu/max-mru nastavite premišljeno. PPPoE doda 8 bajtov režije, in nastala fragmentacija je skriti vzrok večine prijav „na eni lokaciji je počasno“.
  • Centralizirajte overjanje nad nekaj sto uporabniki — lokalni secrets, raztreseni po usmerjevalnikih, postanejo nemogoči za revizijo.

Upravljajte celoten rob PPPoE z enega zaslona

Strežnik PPPoE na enem MikroTik je preprost. Zagnati ga na floti ISP — enaki profili, pravilna smer rate-limit na vsakem stroju, zaklenjeno upravljanje in dokaz, da vsak koncentrator overi tudi za CGNAT brez javnega IP — je tam, kjer operaterji izgubijo cela popoldneva. To je delo, za katero je bil MKController zgrajen: doseči vsak usmerjevalnik prek varnega izhodnega tunela, revidirati konfiguracijo, opazovati seje v živo in potisniti popravek na celotno floto naenkrat, s telemetrijo, ki označi stroj s prekinjenimi sejami, preden stranka sploh pokliče. Tako ISP, ki poganjajo PPPoE na MikroTik, spremenijo opravilo usmerjevalnik za usmerjevalnikom v eno samo nadzorno ravnino.

Začnite brezplačno preskusno različico MKController