Utenti, RADIUS, IoT e containerBase

PPP/PPPoE: profili, segreti e server — guida pratica

Imposta un server PPPoE su RouterOS v7 con profili differenziati per banda, pool IP e DNS. Ricetta end-to-end per attivare un cliente FWA.

Il protocollo PPPoE (Point-to-Point Protocol over Ethernet) è lo standard de-facto per autenticare e gestire le sessioni dei clienti nei WISP italiani. RouterOS v7 include un server PPPoE maturo, con profili configurabili per banda, pool IP, DNS e timeout.

1. Creare i profili PPP (/ppp/profile)

I profili definiscono i parametri applicati a ogni sessione. Si consiglia almeno un profilo per classe di offerta commerciale (es. 30/10 Mbps, 100/20 Mbps).

Creare profili per piano base e piano pro

# Pool indirizzi clienti (creare prima il pool)
/ip/pool add name=pool-clienti ranges=10.10.0.2-10.10.9.254

# Profilo PIANO-BASE: 30 Mbps download / 10 Mbps upload
/ppp/profile add \
  name=piano-base \
  local-address=10.10.0.1 \
  remote-address=pool-clienti \
  rate-limit=10M/30M \
  dns-server=8.8.8.8,1.1.1.1 \
  session-timeout=0 \
  idle-timeout=15m \
  only-one=yes

# Profilo PIANO-PRO: 100 Mbps simmetrico, burst 150M per 10s
/ppp/profile add \
  name=piano-pro \
  local-address=10.10.0.1 \
  remote-address=pool-clienti \
  rate-limit=100M/100M 150M/150M 100M/100M 10 1000000/1000000 \
  dns-server=8.8.8.8,1.1.1.1 \
  session-timeout=0 \
  idle-timeout=30m \
  only-one=yes

Il formato rate-limit è: rx-rate/tx-rate [rx-burst/tx-burst rx-thresh/tx-thresh burst-time rx-limit/tx-limit]. Il parametro only-one=yes impedisce sessioni doppie sullo stesso username — fondamentale per prevenire abusi.

2. Aggiungere segreti PPP (/ppp/secret)

Ogni cliente ha un segreto (utente+password). Il parametro service=pppoe limita l'accesso al solo protocollo PPPoE, aumentando la sicurezza.

Creare un segreto per cliente

# Utente con profilo base, IP statico opzionale
/ppp/secret add \
  name=mario.rossi \
  password=Str0ngP4ss! \
  profile=piano-base \
  service=pppoe \
  comment="Mario Rossi - Via Roma 1 - tel 3331234567"

# Utente con IP statico assegnato (override del pool)
/ppp/secret add \
  name=azienda.srl \
  password=AzPass2024 \
  profile=piano-pro \
  service=pppoe \
  remote-address=10.10.100.5 \
  comment="Azienda SRL - IP fisso"

3. Attivare il server PPPoE (/interface/pppoe-server/server)

Aggiungere il server PPPoE sull'interfaccia di accesso

# 'ether2' è l'interfaccia verso lo switch di accesso
/interface/pppoe-server/server add \
  name=pppoe-srv1 \
  interface=ether2 \
  service-name=internet \
  default-profile=piano-base \
  authentication=mschap2 \
  max-sessions=500 \
  enabled=yes

# Verificare le sessioni attive
/ppp/active/print

Usare sempre authentication=mschap2 (MS-CHAPv2) — è l'unico che protegge la password in transito. Evitare PAP in produzione: trasmette le credenziali in chiaro.

4. Ricetta onboarding cliente FWA end-to-end

Creare il profilo corretto (/ppp/profile add ...)
Aggiungere il segreto con username univoco (/ppp/secret add ...)
Configurare il CPE/ONU lato cliente con username, password e service-name
Verificare la sessione con /ppp/active/print
Controllare l'IP assegnato e il traffico con /ip/address/print e /interface/print stats
Registrare il cliente nel gestionale WISP Manager con l'username PPPoE

PPPoEppp profileppp secretrate-limitFWAonboarding clientelocal-addressremote-addresssession-timeoutPPP server

Continua con

PPP AAA: autenticazione e accounting via RADIUS RADIUS: configurazione client, attributi e RadSec Hotspot e Captive Portal: setup, profili e bypass User Manager v7: RADIUS interno per PPP e Hotspot

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS