Skip to content
InstagramYouTubeFacebook

Tutorial

เซิร์ฟเวอร์ PPPoE MikroTik สำหรับ ISP

วิธีตั้งค่าเซิร์ฟเวอร์ PPPoE MikroTik สำหรับ ISP: พูล IP, โปรไฟล์ PPP, secrets, rate limit และการจัดการสมาชิกจากระยะไกลหลัง CGNAT

สรุป เซิร์ฟเวอร์ PPPoE MikroTik ช่วยให้ ISP ยืนยันตัวตนสมาชิก กำหนดที่อยู่ IP ให้แต่ละราย และบังคับใช้ขีดจำกัดความเร็วตามแพ็กเกจ ทั้งหมดจาก RouterOS โดยไม่ต้องใช้ RADIUS ภายนอกสำหรับการติดตั้งขนาดเล็ก การตั้งค่าเป็นห่วงโซ่สั้นๆ ที่เรียงลำดับ: พูล IP, โปรไฟล์ PPP, secrets ของสมาชิก, บริการ PPPoE และ NAT ปัญหาที่ยากกว่าไม่ใช่การตั้งค่าคอนเซนเทรเตอร์เครื่องเดียว แต่คือการรันการกำหนดค่าที่สอดคล้องและตรวจสอบได้บนหลายเครื่อง ซึ่งมักอยู่หลัง CGNAT คู่มือนี้ครอบคลุมทั้งสองอย่าง

ขั้นตอนการตั้งค่าเซิร์ฟเวอร์ PPPoE MikroTik สำหรับ ISP: สร้างพูล IP, สร้างโปรไฟล์ PPP, เพิ่ม secrets ของสมาชิก, เปิดใช้เซิร์ฟเวอร์ PPPoE บนอินเทอร์เฟซการเข้าถึง, เพิ่มกฎ NAT และไฟร์วอลล์ แล้วจัดการและตรวจสอบฟลีตจากระยะไกล

เซิร์ฟเวอร์ PPPoE MikroTik คืออะไร?

เซิร์ฟเวอร์ PPPoE MikroTik คือบริการ RouterOS ที่ยืนยันตัวตนสมาชิกแต่ละรายผ่าน Point-to-Point Protocol over Ethernet มอบ IP จากพูลให้พวกเขา และใช้โปรไฟล์ที่ควบคุมเกตเวย์ DNS และขีดจำกัดความเร็วของพวกเขา นี่คือวิธีที่ ISP ขนาดเล็กถึงกลางส่วนใหญ่จัดการการเชื่อมต่อของลูกค้า: ลูกค้าเชื่อมต่อด้วยชื่อผู้ใช้และรหัสผ่าน เซิร์ฟเวอร์ตรวจสอบข้อมูลรับรอง และเซสชันสืบทอดแพ็กเกจที่กำหนด — การยืนยันตัวตนต่อผู้ใช้ การกำหนด IP และการควบคุมแบนด์วิดท์โดยไม่ต้องมีอุปกรณ์แยก (เอกสาร MikroTik — PPPoE)

PPPoE ยังคงเป็นมาตรฐานของ ISP เพราะความรับผิดชอบที่ตรวจสอบได้ สมาชิกแต่ละรายถือข้อมูลรับรองเฉพาะตัว คุณจึงสามารถปิดบัญชีเมื่อไม่ชำระเงิน เห็นว่าใครออนไลน์อยู่ และผูกที่อยู่คงที่หรือความเร็วกับบุคคล — ไม่มีสิ่งใดที่การส่งแบบ bridge หรือ DHCP มอบให้ได้อย่างสะอาด การกำหนดค่าทั้งหมดสรุปลงเหลือแนวคิดเดียว: กำหนดแพ็กเกจครั้งเดียวในโปรไฟล์ แล้วผูกสมาชิกเข้ากับมัน

ขั้นตอนที่ 1 — สร้างพูล IP

เริ่มจากที่อยู่ที่ RouterOS จะให้สมาชิกยืม พูลคือบล็อกที่มีชื่อ — เช่น /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — ปรับขนาดตามเซสชันพร้อมกันที่คอนเซนเทรเตอร์นี้จะรับ โดยเผื่อไว้ ให้ที่อยู่เกตเวย์ของโปรไฟล์ (คือ local-address) อยู่นอกช่วงที่ให้ยืม เพื่อไม่ให้ถูกมอบให้ไคลเอนต์โดยบังเอิญ

ปรับขนาดพูลตามฮาร์ดแวร์ — เราเตอร์ระดับธรรมดารับได้หลายร้อยเซสชัน อุปกรณ์ระดับ CCR รับได้หลักพัน (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments) หากต้องการแจก IP สาธารณะแทน ให้ชี้พูลไปที่บล็อกที่กำหนดเส้นทางได้ของคุณ และข้าม NAT ในขั้นตอนที่ 5

ขั้นตอนที่ 2 — สร้างโปรไฟล์ PPP

โปรไฟล์ PPP คือที่ที่แพ็กเกจอาศัยอยู่ มันตั้งค่า local-address (เกตเวย์ที่สมาชิกทุกคนเห็น), พูล remote-address จากขั้นตอนที่ 1, เซิร์ฟเวอร์ DNS และ — สำคัญที่สุดสำหรับ ISP — rate-limit ที่จำกัดทุกเซสชัน กำหนดโปรไฟล์ให้สมาชิกแล้วพวกเขาสืบทอดความเร็ว ดังนั้นแพ็กเกจ “20/10” คือโปรไฟล์เดียวที่นำกลับมาใช้ซ้ำบนบัญชีนับพัน (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide)

รายละเอียดหนึ่งทำให้เกือบทุกคนสะดุด: ทิศทาง RouterOS อ่าน rate-limit ของโปรไฟล์เป็น rx-rate/tx-rate จากมุมมองของเซิร์ฟเวอร์อัปโหลด ของสมาชิกก่อน ดาวน์โหลด ทีหลัง ซึ่งตรงข้ามกับวิธีที่ลูกค้าอธิบายแพ็กเกจของตน แพ็กเกจ “ดาวน์ 100 Mbps / อัป 30 Mbps” เขียนเป็น rate-limit=30M/100M สลับมันแล้วลูกค้าทุกรายจะได้รับแพ็กเกจที่สลับกันอย่างเงียบๆ — คือข้อผิดพลาดระดับฟลีตที่การกำหนดค่าด้วยเทมเพลตป้องกันได้พอดี

ขั้นตอนที่ 3 — เพิ่ม secrets ของสมาชิก

สมาชิกแต่ละรายต้องมี “secret” — ชื่อผู้ใช้ รหัสผ่าน และโปรไฟล์ที่กำหนดแพ็กเกจของพวกเขา สร้างภายใต้ /ppp secret สำหรับฐานเล็ก นี่คือฐานข้อมูลผู้ใช้ทั้งหมด: เพิ่ม secret ต่อลูกค้าหนึ่งราย เลือกตรึง remote-address คงที่สำหรับ IP แบบสแตติก และปิดใช้ secret เพื่อตัดบริการ นี่คือความรับผิดชอบต่อข้อมูลรับรองแบบเดียวกันที่ User Manager ของ MikroTik ขยายให้สมาชิกฮอตสปอต กล่าวถึงในคู่มือของเราเกี่ยวกับ เกตเวย์ฮอตสปอต 10.5.50.1 และ User Manager

secrets ภายในหยุดขยายตัวในช่วงหลักร้อยถึงหลักพัน ที่ซึ่งการแก้ไขเราเตอร์ทีละเครื่องต่อการเปลี่ยนแปลงของลูกค้ากลายเป็นคอขวด ณ จุดนั้นคุณย้ายการยืนยันตัวตนไปยังเซิร์ฟเวอร์ RADIUS ภายนอก และคอนเซนเทรเตอร์เพียงถาม RADIUS ว่าการเข้าสู่ระบบถูกต้องหรือไม่ — โดยเก็บฐานข้อมูลสมาชิกไว้ที่เดียว

ขั้นตอนที่ 4 — เปิดใช้เซิร์ฟเวอร์ PPPoE บนอินเทอร์เฟซการเข้าถึง

ตอนนี้เปิดบริการ เพิ่มเซิร์ฟเวอร์ PPPoE ด้วย /interface pppoe-server server ผูกเข้ากับอินเทอร์เฟซที่หันไปทางเครือข่ายการเข้าถึงของคุณ (พอร์ต VLAN หรือ bridge) ตั้ง default-profile ของมันเป็นโปรไฟล์จากขั้นตอนที่ 2 และเลือกวิธีการยืนยันตัวตน — pap, chap หรือ mschap2 จากนั้น RouterOS จะตอบสนองต่อการค้นพบ PPPoE บนอินเทอร์เฟซนั้นและยืนยันตัวตนไคลเอนต์ทุกตัวที่เชื่อมต่อด้วย secret ที่ถูกต้อง

สองการตั้งค่ามีความสำคัญในระดับใหญ่ ตัวเลือก one-session-per-host ป้องกันไม่ให้สมาชิกเปิดหลายเซสชันพร้อมกัน และควรตั้ง max-mtu/max-mru เพื่อไม่ให้โอเวอร์เฮดของ PPPoE แตกแฟรกเมนต์ทราฟฟิกของลูกค้า ที่ซึ่งเครือข่ายการเข้าถึงถูกแบ่งส่วนตามลูกค้าหรือโซน คู่มือการกำหนดค่า bridge MikroTik ของเราครอบคลุมพื้นฐานเลเยอร์ 2 ที่เซิร์ฟเวอร์ต่อยอด

ขั้นตอนที่ 5 — เพิ่มกฎ NAT และไฟร์วอลล์

หากคุณกำหนดที่อยู่ส่วนตัวให้สมาชิกในขั้นตอนที่ 1 ทราฟฟิกของพวกเขาต้องการการแปล เพิ่มกฎ masquerade ในเชน srcnat ที่ผูกกับอินเทอร์เฟซขาออก WAN ของคุณ เพื่อให้ทุกเซสชัน PPPoE เข้าถึงอินเทอร์เน็ต — พื้นฐาน NAT เดียวกันที่กล่าวถึงใน คู่มือการกำหนดค่า NAT บน MikroTik ของเรา หากคุณแจก IP สาธารณะ ให้ข้าม masquerade และกำหนดเส้นทางบล็อก

จากนั้นปกป้องคอนเซนเทรเตอร์ บริการ PPPoE ควรเข้าถึงได้โดยสมาชิก แต่อินเทอร์เฟซการจัดการของเราเตอร์ไม่ควร ดังนั้นเพิ่มกฎไฟร์วอลล์ที่ทิ้งการเข้าถึง Winbox, API และ WebFig จากฝั่งที่หันไปทางสมาชิก คอนเซนเทรเตอร์ที่แบกรายได้จริงจากลูกค้าคืออุปกรณ์ที่คุณไม่อยากให้เข้าถึงได้จากเซสชันที่ถูกยึดพอดี

ขั้นตอนที่ 6 — จัดการและตรวจสอบฟลีตจากระยะไกล

นี่คือส่วนที่บทเรียนเราเตอร์เครื่องเดียวข้ามไป การตั้ง PPPoE บนเครื่องเดียวนั้นง่าย การรันโปรไฟล์ การตั้งค่า MTU และกฎไฟร์วอลล์ที่เหมือนกันบนคอนเซนเทรเตอร์หลายสิบเครื่อง — และ พิสูจน์ ว่าแต่ละเครื่องยืนยันตัวตนเซสชันและบังคับใช้ rate limit ที่ถูกต้อง — คือปัญหา ISP ที่แท้จริง มันยากขึ้นเมื่อเราเตอร์การเข้าถึงอยู่หลัง Carrier-Grade NAT โดยไม่มี IP สาธารณะ ซึ่งพบบ่อยขึ้นเรื่อยๆ เมื่อผู้ให้บริการพึ่งพาอัปลิงก์ LTE และ Starlink

นี่คือที่ที่การจัดการแบบรวมศูนย์พิสูจน์คุณค่าของมัน: MKController ทำให้เราเตอร์ทุกตัวเข้าถึงได้ผ่านอุโมงค์ขาออกที่ยืนยันตัวตนแล้ว แม้เมื่อมันไม่มีที่อยู่สาธารณะ — แนวทางเดียวกันในคู่มือ การเข้าถึงระยะไกล MikroTik หลัง CGNAT ของเรา — เพื่อให้คุณตรวจสอบการกำหนดค่าและผลักการแก้ไขทั่วทั้งฟลีต ด้วยเทเลเมทรีที่ทำเครื่องหมายเครื่องที่เซสชันหลุดก่อนที่ลูกค้าจะโทรมา

เคล็ดลับ

  • ทำเทมเพลตให้โปรไฟล์ ไม่ใช่ secrets — การเปลี่ยนแพ็กเกจทุกครั้งควรแตะโปรไฟล์เดียว ไม่ใช่บัญชีนับพัน
  • จับตา CPU ของคอนเซนเทรเตอร์: คิวต่อเซสชันจาก rate-limit สะสมขึ้นเรื่อยๆ และเครื่องที่โหลดเกินจะปล่อยเซสชันหลุดอย่างเงียบๆ
  • ตั้งค่า max-mtu/max-mru อย่างจงใจ PPPoE เพิ่มโอเวอร์เฮด 8 ไบต์ และการแตกแฟรกเมนต์ที่เกิดขึ้นคือสาเหตุที่ซ่อนอยู่ของเคส “ช้าเฉพาะที่เดียว” ส่วนใหญ่
  • รวมศูนย์การยืนยันตัวตนเมื่อเกินไม่กี่ร้อยผู้ใช้ — secrets ภายในที่กระจัดกระจายตามเราเตอร์จะกลายเป็นสิ่งที่ตรวจสอบไม่ได้

ควบคุมขอบ PPPoE ทั้งหมดของคุณจากหน้าจอเดียว

เซิร์ฟเวอร์ PPPoE บน MikroTik เครื่องเดียวนั้นง่าย การรันมันทั่วทั้งฟลีตของ ISP — โปรไฟล์ที่เหมือนกัน ทิศทาง rate-limit ที่ถูกต้องบนทุกเครื่อง การจัดการที่ล็อกไว้ และหลักฐานว่าทุกคอนเซนเทรเตอร์ยืนยันตัวตนแม้อยู่หลัง CGNAT โดยไม่มี IP สาธารณะ — คือที่ที่ผู้ให้บริการเสียเวลาทั้งบ่าย นั่นคืองานที่ MKController ถูกสร้างมาเพื่อ: เข้าถึงเราเตอร์ทุกตัวผ่านอุโมงค์ขาออกที่ปลอดภัย ตรวจสอบการกำหนดค่า เฝ้าดูเซสชันแบบสด และผลักการแก้ไขทั่วทั้งฟลีตในครั้งเดียว ด้วยเทเลเมทรีที่ทำเครื่องหมายเครื่องที่เซสชันหลุดก่อนที่ลูกค้าจะโทรมาด้วยซ้ำ นี่คือวิธีที่ ISP ที่รัน PPPoE บน MikroTik เปลี่ยนงานน่าเบื่อทีละเราเตอร์ให้เป็นระนาบควบคุมเดียว

เริ่มทดลองใช้ MKController ฟรี