Tutorial
PPPoE server MikroTik za ISP
Kako da podesite PPPoE server MikroTik za ISP: IP pulovi, PPP profili, secrets, rate limiti i daljinsko upravljanje pretplatnicima iza CGNAT-a.
Sažetak PPPoE server MikroTik omogućava ISP-u da autentifikuje pretplatnike, svakome dodeli IP adresu i nametne ograničenje brzine po paketu — sve iz RouterOS-a, bez spoljnog RADIUS-a za male implementacije. Podešavanje je kratak, uređen lanac: IP pul, PPP profil, secrets pretplatnika, PPPoE usluga i NAT. Teži problem nije konfigurisati jedan koncentrator, već pokrenuti doslednu, proverljivu konfiguraciju na mnogima — često iza CGNAT-a. Ovaj vodič pokriva oba.

Šta Je PPPoE Server MikroTik?
PPPoE server MikroTik je usluga RouterOS-a koja autentifikuje svakog pretplatnika preko Point-to-Point Protocol over Ethernet, dodeljuje mu IP iz pula i primenjuje profil koji upravlja njegovim gejtvejom, DNS-om i ograničenjem brzine. Tako većina malih i srednjih ISP-ova upravlja vezama klijenata: klijent se povezuje korisničkim imenom i lozinkom, server proverava akreditiv, a sesija nasleđuje dodeljeni paket — autentifikacija po korisniku, dodela IP-a i kontrola propusnog opsega bez zasebne opreme (Dokumentacija MikroTik — PPPoE).
PPPoE ostaje standard ISP-ova zbog odgovornosti. Svaki pretplatnik ima individualni akreditiv, pa možete onemogućiti nalog zbog neplaćanja, videti ko je na mreži i vezati fiksnu adresu ili brzinu uz osobu — ništa od toga isporuka putem bridža ili DHCP-a ne pruža čisto. Cela konfiguracija svodi se na jednu ideju: definišite paket jednom u profilu, a zatim na njega zakačite pretplatnike.
Korak 1 — Napravite IP pul
Počnite sa adresama koje će RouterOS pozajmljivati pretplatnicima. Pul je imenovani blok — na primer /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — dimenzionisan prema istovremenim sesijama koje će ovaj koncentrator nositi, sa rezervom. Adresu gejtveja profila (dakle local-address) držite van pozajmivog opsega kako nikad ne bi slučajno bila dodeljena klijentu.
Dimenzionišite pul prema hardveru — skroman ruter podnosi stotine sesija, uređaj klase CCR hiljade (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Da biste umesto toga delili javne IP-ove, usmerite pul na svoj usmerivi blok i preskočite NAT u Koraku 5.
Korak 2 — Izgradite PPP profil
PPP profil je mesto gde paket živi. Postavlja local-address (gejtvej koji vidi svaki pretplatnik), pul remote-address iz Koraka 1, DNS servere i — najvažnije za ISP — rate-limit koji ograničava svaku sesiju. Dodelite profil pretplatniku i nasledi brzinu, pa je paket „20/10“ jedan profil ponovo upotrebljen na hiljadama naloga (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).
Jedan detalj zavara skoro svakoga: smer. RouterOS čita rate-limit profila kao rx-rate/tx-rate iz perspektive servera — prvo slanje pretplatnika, zatim preuzimanje, obrnuto od toga kako klijenti opisuju svoj paket. Paket „100 Mbps nadole / 30 Mbps nagore“ piše se rate-limit=30M/100M. Zamenite to i svaki klijent tiho dobija zamenjen paket — upravo onu grešku na nivou flote koju šablon konfiguracije sprečava.
Korak 3 — Dodajte secrets pretplatnika
Svakom pretplatniku treba „secret“ — korisničko ime, lozinka i profil koji definiše njegov paket, napravljen pod /ppp secret. Za malu bazu to je cela baza korisnika: dodajte secret po klijentu, po želji zakačite fiksnu remote-address za statičku IP i onemogućite secret da prekinete uslugu. To je ista odgovornost po akreditivu koju User Manager MikroTika proširuje na pretplatnike hotspota, obrađena u našem vodiču o gejtveju hotspota 10.5.50.1 i User Manageru.
Lokalni secrets prestaju da skaliraju u opsegu od stotina do hiljada, gde uređivanje jednog rutera po svakoj promeni klijenta postaje usko grlo. U toj tački premeštate autentifikaciju na spoljni RADIUS server, a koncentratori jednostavno pitaju RADIUS da li je prijava važeća — baza pretplatnika ostaje na jednom mestu.
Korak 4 — Omogućite PPPoE server na pristupnom interfejsu
Sada uključite uslugu. Dodajte PPPoE server sa /interface pppoe-server server, povežite ga sa interfejsom okrenutim vašoj pristupnoj mreži (port, VLAN ili bridge), postavite njegov default-profile na profil iz Koraka 2 i izaberite metode autentifikacije — pap, chap ili mschap2. RouterOS tada odgovara na PPPoE otkrivanje na tom interfejsu i autentifikuje svakog klijenta koji se povezuje sa važećim secret.
Dve postavke su bitne pri skaliranju. Opcija one-session-per-host sprečava pretplatnika da otvori više istovremenih sesija, a max-mtu/max-mru treba postaviti tako da režija PPPoE ne fragmentira saobraćaj klijenta. Gde je pristupna mreža segmentirana po klijentu ili zoni, naš vodič za konfiguraciju bridža MikroTik pokriva temelj Sloja 2 na koji se server naslanja.
Korak 5 — Dodajte pravila NAT-a i zaštitnog zida
Ako ste pretplatnicima u Koraku 1 dodelili privatne adrese, njihovom saobraćaju treba prevod. Dodajte pravilo masquerade u lancu srcnat povezano sa vašim izlaznim WAN interfejsom kako bi svaka PPPoE sesija dosegla internet — iste temelje NAT-a obrađene u našem vodiču za konfiguraciju NAT-a na MikroTiku. Ako ste podelili javne IP-ove, preskočite masquerade i usmerite blok.
Zatim zaštitite koncentrator. PPPoE usluga treba da bude dostupna pretplatnicima, ali upravljački interfejsi rutera ne, pa dodajte pravila zaštitnog zida koja odbacuju Winbox, API i WebFig pristup sa strane okrenute pretplatniku. Koncentrator koji nosi stvaran prihod od klijenata upravo je uređaj koji ne želite dostupnim iz otete sesije.
Korak 6 — Daljinski upravljajte i proveravajte flotu
Evo dela koji vodiči o jednom ruteru preskaču. Postaviti PPPoE na jednom uređaju je lako; pokrenuti identične profile, postavke MTU-a i pravila zaštitnog zida na desetinama koncentratora — i dokazati da svaki autentifikuje sesije i sprovodi ispravne rate limite — pravi je problem ISP-a. Postaje teže kad pristupni ruter stoji iza Carrier-Grade NAT-a bez javne IP, što je sve češće kako se operatori oslanjaju na LTE i Starlink uplinkove.
Tu centralizovano upravljanje zaslužuje svoje mesto: MKController održava svaki ruter dostupnim preko autentifikovanog izlaznog tunela čak i kad nema javnu adresu — isti pristup kao u našem vodiču o daljinskom pristupu MikroTik iza CGNAT-a — pa revidirate konfiguraciju i gurate ispravke na celu flotu, sa telemetrijom koja označava uređaj sa prekinutim sesijama pre nego što klijenti pozovu.
Saveti
- Šablon napravite za profil, ne za secrets — svaka promena paketa treba da dodirne jedan profil, nikad hiljade naloga.
- Pratite CPU koncentratora: redovi po sesiji iz
rate-limitse sabiraju, a preopterećen uređaj tiho odbacuje sesije. max-mtu/max-mrupostavljajte promišljeno. PPPoE dodaje 8 bajtova režije, a nastala fragmentacija je skriveni uzrok većine prijava „sporo je na jednoj lokaciji“.- Centralizujte autentifikaciju iznad nekoliko stotina korisnika — lokalni secrets razbacani po ruterima postaju nemogući za reviziju.
Upravljajte celom svojom PPPoE ivicom sa jednog ekrana
PPPoE server na jednom MikroTiku je lak. Pokrenuti ga na floti ISP-a — identični profili, ispravan smer rate-limit na svakom uređaju, zaključano upravljanje i dokaz da svaki koncentrator autentifikuje čak i iza CGNAT-a bez javne IP — mesto je gde operatori gube čitava popodneva. To je posao za koji je MKController izgrađen: dosegnuti svaki ruter preko bezbednog izlaznog tunela, revidirati konfiguraciju, posmatrati sesije uživo i gurnuti ispravku na celu flotu odjednom, sa telemetrijom koja označava uređaj sa prekinutim sesijama pre nego što klijent uopšte pozove. Tako ISP-ovi koji pokreću PPPoE na MikroTiku pretvaraju mukotrpan posao ruter po ruter u jednu upravljačku ravan.