Найти в Дзене
EJR_SECURITY
21 подписчик

Настройка MikroTik как PPPoE-клиента

Партнёрская публикация
4
1 мин
pgsql КопироватьРедактировать /interface pppoe-client add interface=ether1 name=pppoe-out user="ISPuser" password="ISPpass" \ service-name="" add-default-route=yes use-peer-dns=yes keepalive-timeout=10 Реддит+8help.mikrotik.com+8help.mikrotik.com+8 Если провайдер использует VLAN, создайте виртуальный интерфейс: go КопироватьРедактировать /interface vlan add name=vlan40 interface=ether1 vlan-id=40 /interface pppoe-client add interface=vlan40 name=ppp0 ... VyOS Forums+6MikroTik community forum+6help.mikrotik.com+6 Чтобы клиенты имели выход в интернет: csharp КопироватьРедактировать /ip firewall nat add chain=srcnat out-interface=pppoe-out action=masquerade Или для сервера: csharp КопироватьРедактировать /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade Ограничиваем доступ к RouterOS со стороны WAN: pgsql КопироватьРедактировать /ip firewall filter add chain=input connection-state=established,related action=accept /ip firewall filter add chain=input conne
Оглавление

📥 Настройка MikroTik как PPPoE-клиента

1. Подключение к провайдеру

pgsql

КопироватьРедактировать

/interface pppoe-client add interface=ether1 name=pppoe-out user="ISPuser" password="ISPpass" \

service-name="" add-default-route=yes use-peer-dns=yes keepalive-timeout=10

Реддит+8help.mikrotik.com+8help.mikrotik.com+8

2. Возможные параметры:

  • interface=ether1 — порт, соединенный с модемом/ONT.
  • add-default-route=yes — автоматически добавляет маршрут по умолчанию.
  • use-peer-dns=yes — DNS от провайдера.
  • keepalive-timeout=10 — период тикеров для поддержания сессии.

3. Настройка VLAN (если требуется)

Если провайдер использует VLAN, создайте виртуальный интерфейс:

go

КопироватьРедактировать

/interface vlan add name=vlan40 interface=ether1 vlan-id=40

/interface pppoe-client add interface=vlan40 name=ppp0 ...

VyOS Forums+6MikroTik community forum+6help.mikrotik.com+6

🛡️ Часть 3. Базовая защита и NAT

1. NAT

Чтобы клиенты имели выход в интернет:

csharp

КопироватьРедактировать

/ip firewall nat add chain=srcnat out-interface=pppoe-out action=masquerade

Или для сервера:

csharp

КопироватьРедактировать

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

2. Фаерволл

Ограничиваем доступ к RouterOS со стороны WAN:

pgsql

КопироватьРедактировать

/ip firewall filter add chain=input connection-state=established,related action=accept

/ip firewall filter add chain=input connection-state=invalid action=drop

/ip firewall filter add chain=input in-interface=ether1 protocol=icmp action=accept

/ip firewall filter add chain=input in-interface=ether1 protocol=tcp port=8291,22 action=accept

/ip firewall filter add chain=input in-interface=ether1 action=drop

VISP+7help.mikrotik.com+7MikroTik community forum+7

💡 Часть 4. Рекомендации и доработка

  • Используйте one-session-per-host=yes для защиты от повторных подключений.
  • Устанавливайте оптимальные MTU (1492) и MRRU для стабильности.
  • Включите use-peer-dns=yes при отсутствии внешних DNS.
  • Для корпоративных сценариев используйте PPP‑профили с ограничениями скорости.
  • После настройки регистрации подключений включите ведение логов и мониторинг в WinBox/WebFig → PPP.

✅ Итоги

РежимОсновные командыЧто делаетСерверpool → profile → secret → serverВыдаем IP, управляем доступом и профилямиКлиентpppoe-clientПодключаемся к провайдеруЗащитаfirewall + NATМаскируем трафик, защищаем RouterOS