Bỏ qua nội dung
InstagramYouTubeFacebook

Tutorial

Máy chủ PPPoE MikroTik cho ISP

Cách thiết lập máy chủ PPPoE MikroTik cho ISP: pool IP, profile PPP, secrets, rate limit và quản lý thuê bao từ xa phía sau CGNAT.

Tóm tắt Máy chủ PPPoE MikroTik cho phép ISP xác thực thuê bao, cấp cho mỗi người một địa chỉ IP và áp đặt giới hạn tốc độ theo gói — tất cả từ RouterOS, không cần RADIUS bên ngoài cho các triển khai nhỏ. Việc thiết lập là một chuỗi ngắn, có thứ tự: một pool IP, một profile PPP, secrets thuê bao, dịch vụ PPPoE và NAT. Vấn đề khó hơn không phải là cấu hình một bộ tập trung, mà là chạy một cấu hình nhất quán, có thể kiểm chứng trên nhiều bộ — thường là phía sau CGNAT. Hướng dẫn này bao gồm cả hai.

Luồng thiết lập máy chủ PPPoE MikroTik cho ISP: tạo pool IP, dựng profile PPP, thêm secrets thuê bao, bật máy chủ PPPoE trên giao diện truy cập, thêm quy tắc NAT và tường lửa, rồi quản lý và kiểm chứng đội thiết bị từ xa.

Máy Chủ PPPoE MikroTik Là Gì?

Máy chủ PPPoE MikroTik là một dịch vụ RouterOS xác thực mỗi thuê bao qua Point-to-Point Protocol over Ethernet, cấp cho họ một IP từ pool và áp dụng một profile kiểm soát gateway, DNS và giới hạn tốc độ của họ. Đó là cách hầu hết các ISP nhỏ và vừa quản lý kết nối khách hàng: khách hàng quay số bằng tên người dùng và mật khẩu, máy chủ kiểm tra thông tin xác thực, và phiên kế thừa gói được gán — xác thực theo người dùng, cấp IP và kiểm soát băng thông mà không cần thiết bị riêng (Tài liệu MikroTik — PPPoE).

PPPoE vẫn là tiêu chuẩn của ISP nhờ tính chịu trách nhiệm. Mỗi thuê bao có một thông tin xác thực riêng, nên bạn có thể vô hiệu hóa tài khoản vì không thanh toán, xem ai đang trực tuyến và gắn một địa chỉ cố định hay tốc độ vào một người — không điều nào trong số đó được phân phối bridge hay DHCP cung cấp một cách gọn gàng. Toàn bộ cấu hình rút gọn thành một ý tưởng: định nghĩa gói một lần trong một profile, rồi gắn thuê bao vào nó.

Bước 1 — Tạo pool IP

Bắt đầu với các địa chỉ mà RouterOS sẽ cho thuê bao mượn. Pool là một khối được đặt tên — ví dụ /ip pool add name=pppoe-pool ranges=10.20.0.2-10.20.255.254 — định kích thước theo các phiên đồng thời mà bộ tập trung này sẽ gánh, có dự phòng. Giữ địa chỉ gateway của profile (tức local-address) nằm ngoài dải có thể cho mượn để nó không bao giờ vô tình được cấp cho một máy khách.

Định kích thước pool theo phần cứng — một router khiêm tốn xử lý hàng trăm phiên, một thiết bị hạng CCR xử lý hàng nghìn (Tech@Layer-x — PPPoE Server on MikroTik for ISP Deployments). Để thay vào đó cấp IP công cộng, hướng pool tới khối có thể định tuyến của bạn và bỏ qua NAT ở Bước 5.

Bước 2 — Dựng profile PPP

Profile PPP là nơi một gói tồn tại. Nó đặt local-address (gateway mà mỗi thuê bao thấy), pool remote-address từ Bước 1, các máy chủ DNS và — quan trọng nhất với một ISP — rate-limit giới hạn mỗi phiên. Gán profile cho một thuê bao và họ kế thừa tốc độ, nên một gói “20/10” là một profile được tái sử dụng trên hàng nghìn tài khoản (madankc.com.np — MikroTik PPPoE Server Complete Setup Guide).

Một chi tiết làm gần như mọi người vấp ngã: hướng. RouterOS đọc rate-limit của profile là rx-rate/tx-rate từ góc nhìn của máy chủtải lên của thuê bao trước, tải xuống sau, ngược với cách khách hàng mô tả gói của họ. Một gói “100 Mbps xuống / 30 Mbps lên” được viết rate-limit=30M/100M. Đảo ngược nó và mỗi khách hàng âm thầm nhận một gói bị hoán đổi — chính xác là lỗi quy mô toàn đội mà cấu hình theo mẫu ngăn chặn.

Bước 3 — Thêm secrets thuê bao

Mỗi thuê bao cần một “secret” — tên người dùng, mật khẩu và profile định nghĩa gói của họ, tạo dưới /ppp secret. Với một cơ sở nhỏ, đây là toàn bộ cơ sở dữ liệu người dùng: thêm một secret cho mỗi khách hàng, tùy chọn ghim một remote-address cố định cho IP tĩnh, và vô hiệu hóa secret để cắt dịch vụ. Đây là cùng tính chịu trách nhiệm theo thông tin xác thực mà User Manager của MikroTik mở rộng cho thuê bao hotspot, được đề cập trong hướng dẫn của chúng tôi về gateway hotspot 10.5.50.1 và User Manager.

Secrets cục bộ ngừng mở rộng trong khoảng hàng trăm đến hàng nghìn, nơi chỉnh sửa một router cho mỗi thay đổi của khách hàng trở thành nút thắt cổ chai. Tại điểm đó bạn chuyển xác thực sang một máy chủ RADIUS bên ngoài, và các bộ tập trung chỉ đơn giản hỏi RADIUS xem một lần đăng nhập có hợp lệ không — giữ cơ sở dữ liệu thuê bao ở một nơi.

Bước 4 — Bật máy chủ PPPoE trên giao diện truy cập

Bây giờ bật dịch vụ. Thêm một máy chủ PPPoE với /interface pppoe-server server, gắn nó vào giao diện hướng về mạng truy cập của bạn (một cổng, VLAN hoặc bridge), đặt default-profile của nó thành profile từ Bước 2, và chọn các phương thức xác thực — pap, chap hoặc mschap2. RouterOS sau đó trả lời khám phá PPPoE trên giao diện đó và xác thực mọi máy khách quay số với một secret hợp lệ.

Hai cài đặt quan trọng ở quy mô lớn. Tùy chọn one-session-per-host ngăn một thuê bao mở nhiều phiên đồng thời, và max-mtu/max-mru nên được đặt sao cho chi phí PPPoE không phân mảnh lưu lượng khách hàng. Nơi mạng truy cập được phân đoạn theo khách hàng hoặc khu vực, hướng dẫn cấu hình bridge MikroTik của chúng tôi bao gồm nền tảng Lớp 2 mà máy chủ dựa trên đó.

Bước 5 — Thêm quy tắc NAT và tường lửa

Nếu bạn đã gán địa chỉ riêng cho thuê bao ở Bước 1, lưu lượng của họ cần được dịch. Thêm một quy tắc masquerade trong chuỗi srcnat gắn với giao diện ra WAN của bạn để mỗi phiên PPPoE đến được internet — cùng nền tảng NAT được đề cập trong hướng dẫn cấu hình NAT trên MikroTik của chúng tôi. Nếu bạn đã cấp IP công cộng, bỏ qua masquerade và định tuyến khối.

Sau đó bảo vệ bộ tập trung. Dịch vụ PPPoE nên truy cập được bởi thuê bao, nhưng các giao diện quản trị của router thì không, vì vậy hãy thêm quy tắc tường lửa loại bỏ truy cập Winbox, API và WebFig từ phía hướng về thuê bao. Một bộ tập trung mang doanh thu thực từ khách hàng chính là thiết bị bạn không muốn truy cập được từ một phiên bị chiếm đoạt.

Bước 6 — Quản lý và kiểm chứng đội thiết bị từ xa

Đây là phần mà các hướng dẫn một-router bỏ qua. Dựng PPPoE trên một máy thì dễ; chạy các profile, cài đặt MTU và quy tắc tường lửa giống hệt nhau trên hàng chục bộ tập trung — và chứng minh rằng mỗi bộ xác thực các phiên và thực thi đúng rate limit — mới là vấn đề thực sự của ISP. Nó khó hơn khi một router truy cập nằm sau Carrier-Grade NAT không có IP công cộng, ngày càng phổ biến khi các nhà mạng dựa vào uplink LTE và Starlink.

Đây là nơi quản lý tập trung khẳng định vị trí của nó: MKController giữ mỗi router truy cập được qua một đường hầm đi ra đã xác thực ngay cả khi nó không có địa chỉ công cộng — cùng cách tiếp cận trong hướng dẫn truy cập từ xa MikroTik phía sau CGNAT của chúng tôi — để bạn kiểm tra cấu hình và đẩy bản sửa lỗi cho toàn đội, với phép đo từ xa đánh dấu một máy có phiên rớt trước khi khách hàng gọi.

Mẹo

  • Lập mẫu cho profile, không phải cho secrets — mỗi thay đổi gói nên chạm vào một profile, không bao giờ chạm hàng nghìn tài khoản.
  • Theo dõi CPU của bộ tập trung: các hàng đợi theo phiên từ rate-limit cộng dồn, và một máy quá tải âm thầm rớt các phiên.
  • Đặt max-mtu/max-mru một cách có chủ đích. PPPoE thêm 8 byte chi phí, và sự phân mảnh phát sinh là nguyên nhân ẩn của hầu hết các phiếu “một địa điểm bị chậm”.
  • Tập trung hóa xác thực vượt quá vài trăm người dùng — secrets cục bộ rải rác trên các router trở nên không thể kiểm toán.

Điều khiển toàn bộ rìa PPPoE của bạn từ một màn hình

Một máy chủ PPPoE trên một MikroTik thì dễ. Chạy nó trên cả một đội ISP — profile giống hệt nhau, hướng rate-limit đúng trên mọi máy, quản trị bị khóa và bằng chứng rằng mỗi bộ tập trung xác thực ngay cả phía sau CGNAT không có IP công cộng — là nơi các nhà mạng mất cả buổi chiều. Đó là công việc mà MKController được tạo ra: vươn tới mọi router qua một đường hầm đi ra an toàn, kiểm tra cấu hình, theo dõi các phiên trực tiếp và đẩy một bản sửa lỗi cho toàn đội cùng lúc, với phép đo từ xa đánh dấu một máy có phiên rớt trước khi một khách hàng kịp gọi. Đó là cách các ISP chạy PPPoE trên MikroTik biến công việc cực nhọc từng router thành một mặt phẳng điều khiển duy nhất.

Bắt đầu dùng thử MKController miễn phí