WispOSWispOS
Guida MikroTik
Utenti, RADIUS, IoT e containerIntermedio

PPP AAA: autenticazione e accounting via RADIUS

Delega l'autenticazione PPPoE a un server RADIUS esterno o al User Manager locale. Configura accounting e aggiornamenti intermedi per tracciare le sessioni.

Con pochi clienti, i segreti locali (/ppp/secret) bastano. Ma in un WISP con decine o centinaia di utenti, è essenziale centralizzare l'autenticazione su un server RADIUS: velocizza gli aggiornamenti dei profili, semplifica la gestione e abilita l'accounting dettagliato.

1. Abilitare RADIUS per PPP

Configurazione minima /ppp/aaa
# Attiva autenticazione e accounting RADIUS per PPP
/ppp/aaa set \
  use-radius=yes \
  accounting=yes \
  interim-update=5m

# Aggiungere il server RADIUS (deve essere già configurato in /radius)
/radius add \
  service=ppp \
  address=10.0.0.10 \
  secret=S3gr3t0WISP \
  authentication-port=1812 \
  accounting-port=1813 \
  timeout=3000 \
  src-address=10.0.0.1

# Verificare lo stato del server RADIUS
/radius/monitor 0
Il parametro interim-update=5m fa sì che RouterOS invii un pacchetto Accounting-Request (Interim-Update) ogni 5 minuti. Questo permette al server RADIUS di tracciare il consumo in tempo reale — indispensabile per piani con limite mensile di traffico.

2. Attributi RADIUS per PPP

Il server RADIUS può restituire attributi nell'Access-Accept che sovrascrivono i valori del profilo locale. Questa è la tecnica per assegnare banda e IP direttamente dal RADIUS, senza modificare RouterOS.

  • Framed-IP-Address (tipo 8): assegna un IP statico alla sessione, ha priorità sul pool del profilo
  • Framed-Pool (tipo 88): indica il nome del pool IP da cui prelevare l'indirizzo
  • Mikrotik-Rate-Limit (vendor 14988, tipo 8): formato rx/tx es. 10M/30M, override del rate-limit del profilo
  • Session-Timeout (tipo 27): durata massima della sessione in secondi
  • Idle-Timeout (tipo 28): secondi di inattività prima della disconnessione
  • Port-Limit (tipo 62): numero massimo di sessioni simultanee per quell'utente
  • Filter-Id (tipo 11): nome di una chain firewall da applicare alla sessione

3. Fallback locale

Con use-radius=yes, RouterOS tenta prima il RADIUS. Se il server non risponde entro il timeout, prova con i segreti locali (/ppp/secret). Questo garantisce continuità di servizio anche in caso di guasto del RADIUS.

Monitorare le statistiche RADIUS
# Output: pending, requests, accepts, rejects, resends, timeouts
/radius/monitor 0

# Vedere le sessioni PPPoE attive con profilo applicato
/ppp/active/print detail
Se il contatore bad-replies sale, il shared secret è sbagliato oppure c'è un disallineamento nei metodi di autenticazione (CHAP vs MS-CHAPv2). Con PAP il server accetta ma il router rifiuta se il metodo non corrisponde.
PPP AAAppp aaa use-radiusaccountinginterim-updateRADIUS PPPautenticazione centralizzataMikrotik-Rate-LimitFramed-IP-Address

Continua con

PPP/PPPoE: profili, segreti e server — guida praticaRADIUS: configurazione client, attributi e RadSecHotspot e Captive Portal: setup, profili e bypassUser Manager v7: RADIUS interno per PPP e Hotspot

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS