PPP/PPPoE: profili, segreti e server — guida pratica
Imposta un server PPPoE su RouterOS v7 con profili differenziati per banda, pool IP e DNS. Ricetta end-to-end per attivare un cliente FWA.
Il protocollo PPPoE (Point-to-Point Protocol over Ethernet) è lo standard de-facto per autenticare e gestire le sessioni dei clienti nei WISP italiani. RouterOS v7 include un server PPPoE maturo, con profili configurabili per banda, pool IP, DNS e timeout.
1. Creare i profili PPP (/ppp/profile)
I profili definiscono i parametri applicati a ogni sessione. Si consiglia almeno un profilo per classe di offerta commerciale (es. 30/10 Mbps, 100/20 Mbps).
# Pool indirizzi clienti (creare prima il pool) /ip/pool add name=pool-clienti ranges=10.10.0.2-10.10.9.254 # Profilo PIANO-BASE: 30 Mbps download / 10 Mbps upload /ppp/profile add \ name=piano-base \ local-address=10.10.0.1 \ remote-address=pool-clienti \ rate-limit=10M/30M \ dns-server=8.8.8.8,1.1.1.1 \ session-timeout=0 \ idle-timeout=15m \ only-one=yes # Profilo PIANO-PRO: 100 Mbps simmetrico, burst 150M per 10s /ppp/profile add \ name=piano-pro \ local-address=10.10.0.1 \ remote-address=pool-clienti \ rate-limit=100M/100M 150M/150M 100M/100M 10 1000000/1000000 \ dns-server=8.8.8.8,1.1.1.1 \ session-timeout=0 \ idle-timeout=30m \ only-one=yes
rx-rate/tx-rate [rx-burst/tx-burst rx-thresh/tx-thresh burst-time rx-limit/tx-limit]. Il parametro only-one=yes impedisce sessioni doppie sullo stesso username — fondamentale per prevenire abusi.2. Aggiungere segreti PPP (/ppp/secret)
Ogni cliente ha un segreto (utente+password). Il parametro service=pppoe limita l'accesso al solo protocollo PPPoE, aumentando la sicurezza.
# Utente con profilo base, IP statico opzionale /ppp/secret add \ name=mario.rossi \ password=Str0ngP4ss! \ profile=piano-base \ service=pppoe \ comment="Mario Rossi - Via Roma 1 - tel 3331234567" # Utente con IP statico assegnato (override del pool) /ppp/secret add \ name=azienda.srl \ password=AzPass2024 \ profile=piano-pro \ service=pppoe \ remote-address=10.10.100.5 \ comment="Azienda SRL - IP fisso"
3. Attivare il server PPPoE (/interface/pppoe-server/server)
# 'ether2' è l'interfaccia verso lo switch di accesso /interface/pppoe-server/server add \ name=pppoe-srv1 \ interface=ether2 \ service-name=internet \ default-profile=piano-base \ authentication=mschap2 \ max-sessions=500 \ enabled=yes # Verificare le sessioni attive /ppp/active/print
authentication=mschap2 (MS-CHAPv2) — è l'unico che protegge la password in transito. Evitare PAP in produzione: trasmette le credenziali in chiaro.4. Ricetta onboarding cliente FWA end-to-end
- Creare il profilo corretto (
/ppp/profile add ...) - Aggiungere il segreto con username univoco (
/ppp/secret add ...) - Configurare il CPE/ONU lato cliente con username, password e service-name
- Verificare la sessione con
/ppp/active/print - Controllare l'IP assegnato e il traffico con
/ip/address/printe/interface/print stats - Registrare il cliente nel gestionale WISP Manager con l'username PPPoE
5. Parametri del profilo PPP più usati nei WISP
| Parametro | A cosa serve | Valore tipico WISP |
|---|---|---|
| local-address | IP del router lato sessione (gateway del cliente) | IP singolo dedicato (es. 10.10.0.1) |
| remote-address | IP/pool assegnato al cliente | nome del pool (es. pool-clienti) |
| rate-limit | Limite di banda della sessione (rx/tx + burst) | 10M/30M (download 30, upload 10) |
| only-one | Vieta sessioni doppie sullo stesso username | yes (anti-condivisione) |
| session-timeout | Durata massima sessione | 0 (illimitata per FWA fisso) |
| idle-timeout | Disconnette dopo inattività | 0 o disattivato per CPE always-on |
| dns-server | DNS pushati al cliente | i DNS del WISP o pubblici |
| address-list | Aggiunge l'IP a una address-list al login | clienti-attivi (per QoS/firewall) |
| incoming/outgoing-filter | Chain firewall applicata alla sessione | vuoto o filtro anti-abuso |
address-list del profilo è una leva potentissima: ogni cliente connesso finisce automaticamente in una address-list dinamica, riusabile poi in firewall e QoS senza dover elencare gli IP a mano. È anche la base della strategia di sospensione "morbida" (cambio profilo verso un profilo a banda zero/walled garden).6. Troubleshooting PPPoE rapido
- Il cliente non si autentica → controllare service-name lato CPE, metodo di autenticazione (deve coincidere con
authentication=mschap2) e password - Sessione su, ma niente Internet → verificare NAT (masquerade), DNS pushati e rotta di default
- Disconnessioni cicliche → spesso un
only-one=yescon due dispositivi che condividono lo stesso username, oppure problemi sul layer fisico/radio /ppp/active/printnon mostra la sessione → il discovery PPPoE (PADI/PADO) non arriva: controllare il path L2 (bridge/VLAN) tra cliente e server- Banda errata → un attributo RADIUS (
Mikrotik-Rate-Limit) sta sovrascrivendo il profilo locale: verificare con/ppp/active/print detail
# Dettaglio di una sessione (rate-limit effettivo, IP, uptime, caller-id) /ppp/active/print detail where name=mario.rossi # Forzare la disconnessione di una sessione (es. cliente da resettare) /ppp/active/remove [find name=mario.rossi] # Log degli eventi PPPoE (utile in fase di attivazione) /log/print where topics~"ppp"
Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS