Hướng dẫn cấu hình PPPoE server trên router MikroTik

PPPoE – Point-to-Point Protocol over Ethernet, giao thức điểm-điểm qua Ethernet trong mạng viễn thông. Các nhà cung cấp Internet chỉ định cho mỗi thuê bao của họ một tên người dùng và mật khẩu PPPoE duy nhất. Họ sử dụng giao thức mạng này để quản lý phân bổ địa chỉ IP và theo dõi việc sử dụng dữ liệu của mỗi khách hàng. Router MikroTik có thể đóng vai trò là một PPPoE server với nhiều tùy biến và sự ổn định tuyệt vời.

Tình huống

Công ty A có 2 đường FTTH 100Mbps, được nhân đôi tốc độ. Sau khi cấu hình load balancing cộng băng thông trên MikroTik, tổng băng thông lên tới 400Mbps. Công ty A muốn chia sẻ Internet cho công ty B ở phòng bên cạnh, nhưng cần phải giới hạn băng thông cho công ty B là 50Mbps.

Quản trị mạng công ty A sẽ cấu hình PPPoE server trên router MikroTik để cấp Internet cho công ty B. Với mô hình này, công ty A chính là một ISP.

Cấu hình PPPoE server trên router MikroTik

Thêm PPPoE server

Đầu tiên cần tạo một PPPoE server ở PPP →  PPPoE Servers. Với Service Name đặt tên tùy ý, Interface chọn cổng (hoặc cổng thuộc bridge) sang router ở công ty B:

 

Thêm PPPoE server.

 

Tạo pool

Ta tạo dải IP để cấp cho router công ty B từ IP → Pool. Với các ISP như VNPT, Viettel,… dải IP này sẽ là IP public:

 

Tạo pool.

 

Cấu hình profile

Trong tab Profiles thêm profile mới, điền Local Address (hoặc chọn pool đã tạo trước đó, giống như Remote Address):

 

Cấu hình profile.

 

Tạo user

Tiếp theo trong tab Secrets, ta tạo user (tài khoản, mật khẩu quay số PPPoE). Với Name và Password đặt tùy ý, Service chọn pppoe, Profile chọn profile tương ứng đã tạo trước đó:

 

Tạo tài khoản.

 

Giới hạn băng thông

Để giới hạn băng thông ta vào Queues → Simple Queues và tạo một queue mới như hình. Với target là dải IP đã tạo pool trước đó để cấp cho các user PPPoE:

 

Giới hạn băng thông.

 

Kiểm tra

Ta vào speedtest để kiểm tra lại tốc độ, thấy đã đúng như giới hạn 50Mbps:

 

Speedtest.

 

Kiểm tra trạng thái WAN trong router TP-Link thấy đã kết nối PPPoE (trạng thái connected) và đã nhận được IP từ pool đã tạo:

 

Kiểm tra trên router.

11 bước cấu hình router MikroTik mới

MikroTik là dòng router đến từ Latvia với hiệu năng mạnh mẽ, được tin dùng trong nhiều doanh nghiệp. Khác với dòng router Draytek, MikroTik có phần cấu hình khá phức tạp. Tuy nhiên chỉ cần chút thời gian làm quen, ta sẽ thật sự ngạc nhiên với nhiều tính năng hay ho mà router này mang lại. Viettelco sau đây hướng dẫn 11 bước cấu hình router MikroTik mới để từ LAN có thể ra được Internet.

11 bước cấu hình router MikroTik mới

1. Đặt mật khẩu phức tạp cho admin

Đây là bước quan trọng cần làm khi lần đầu cấu hình router MikroTik. Mặc định tài khoản admin không có mật khẩu. Để thay đổi mật khẩu ta vào System → Password hoặc System → Users, nhấn chuột phải vào user và chọn Password:

 

Thay đổi mật khẩu.

 

Mật khẩu cần đặt phức tạp với tối thiểu 8 ký tự, có chữ hoa, thường, số và ký tự đặc biệt để đảm bảo bảo mật.

2. Tắt các dịch vụ không cần thiết

Để tránh bị các tool quét, dò tự động trên mạng tấn công brute force, ta cần tắt bớt các dịch vụ trong IP → Services và chỉ để lại mỗi winbox. Ngoài ra có thể tự đổi cổng (port) nhưng không khuyến cáo:

 

Tắt các dịch vụ.

 

Tấn công brute force.

 

3. Thêm bridge, gán port vào bridge

Ta thêm bridge trong tab Bridge → Bridge, Ports. Bridge trong MikroTik  là nhóm các cổng chung một dải mạng, chịu sự quản lý chung về mặt chính sách. Có thể hình dung bridge như là một “switch ảo”.

 

Bridge.

 

4. Chỉnh lại IP router phù hợp

Ta xóa địa chỉ mặc định 192.168.88.1/24 và thêm địa chỉ mới vào, gán interface tương ứng (ở đây là interface bridge). Truy cập IP → Addresses để thực hiện:

 

Đặt địa chỉ IP.

 

Lưu ý nên đặt IP router và dải cấp tránh các dải thông dụng như 192.168.0.0/24, 192.168.1.0/24 và 192.168.100.0/24.

5.Thêm pool cấp DHCP

Thêm dải IP cấp cho các máy tính trong LAN (bridge) ở IP → Pool:

 

Đặt dải IP cần cấp.

 

6. Tạo DHCP Server

Tiếp theo ở IP → DHCP Server ta tạo DHCP server mới. Đặt tên tùy ý, chọn interface cần cấp DHCP (ở đây là interface bridge), chọn pool đã tạo trước đó:

 

DHCP server.

 

7. Điền network

Điền network trong IP → DHCP Server, tab Networks:

 

Điền network.

 

8. Đặt DNS server

Đặt DNS cho router ở IP → DNS (thường đặt theo DNS Google hoặc Cloudflare):

 

DNS.

 

9. Kiểm tra DHCP

Tắt đi bật lại card mạng máy tính và xem lại đã nhận được IP từ MikroTik chưa. Nếu chưa thì kiểm tra lại các cấu hình phần IP address, pool, DHCP server,….

10. Thêm WAN

WAN có thể có các hình thức như PPPoE, nhận IP động từ router khác, đặt IP tĩnh:

– PPPoE: Interface → PPPoE Client hoặc PPP → PPPoE Client. Chọn Interface, nhập tài khoản mật khẩu trong tab Dial Out.

 

Quay số PPPoE.

 

– Nhận IP động: IP → DHCP Client.

– Đặt IP tĩnh: IP → Addresses và đặt IP, gán interface. Sau đó thêm route trong IP → Routes

11. NAT để ra ngoài Internet

MikroTik cần NAT để ra ngoài Internet. Từ IP → Firewall, trong tab NAT thêm rule mới với Chain là srcnat, Out. Interface là interface wan, Action chọn masquerade. Với kiểu PPPoE thì ta chọn interface PPPoE, ví dụ như pppoe-out1, còn với kiểu khác thì chọn interface tương ứng, ví dụ ether1, ether2,….

 

NAT để ra Internet.

Ngoài ra còn có thể cấu hình nhanh trong tab Quick Set. Tuy nhiên cần cấu hình theo 11 bước như trên để nắm rõ cách cấu hình, xử lý sự cố khi cần thiết.

Chúc các bạn thành công!

 

Hướng dẫn cấu hình cộng băng thông router MikroTik

MikroTik là thương hiệu router đến từ Latvia. Sản phẩm được tin dùng trong nhiều doanh nghiệp tại Việt Nam, trên toàn thế giới và thậm chí ở các data center. Ngoài phần cấu hình khá khó khi mới làm quen, router MikroTik là sự lựa chọn tuyệt vời với nhiều tính năng cao cấp, tùy chỉnh phong phú, giá cả phải chăng,… “Cộng băng thông” là một trong số đó, ta có thể cộng không giới hạn các đường WAN miễn sao đủ cổng (interface).

Cân bằng tải và dự phòng trong MikroTik

MikroTik hỗ trợ cân bằng tải nhiều đường WAN dựa trên tính năng gọi là “PCC – Per Connection Classifier”. Tức là khi gói tin đi từ bên trong Local ra Internet thì nó sẽ được NAT ra toàn bộ các IP WAN, đồng thời chia đều các gói tin ra theo các đường WAN để cùng lúc đi ra ngoài.

Cân bằng tải MikroTik.

Khi chia ra như vậy thì sẽ phải thực hiện việc “mark” (đánh dấu) kết nối và đường đi gói tin hợp lý để gói tin nào đi ra ngoài đường WAN nào với IP Local nào thì khi quay lại nó sẽ phải đi vào đúng nơi nó đi ra. Song song là việc kết hợp thêm “PCC”, sau đó chỉnh lại Routes để đặt đường đi và cài đặt độ ưu tiên khi Failover.

Thực hiện việc cấu hình Firewall / Mangle để đánh dấu gói tin và “PCC” trước. Đánh dấu kết nối đi từ bên trong Local ra ngoài qua WAN, đồng thời mở “PCC” đi ra ngoài theo nhiều đường. Công thức của PCC rất đơn giản, sử dụng thuật toán băm theo tỷ lệ. Ví dụ 2 đường WAN thì sẽ là:

  • WAN1: 2/0
  • WAN2: 2/1

Với 3 Đường WAN:

  • WAN1: 3/0
  • WAN2: 3/1
  • WAN3: 3/2

Cấu hình cộng băng thông

Cấu hình

Giả sử cần cấu hình cân bằng tải kiểu “cộng băng thông” và dự phòng (failover) 2 đường WAN. Khi đó ta sẽ cấu hình 4 nhóm sau trong terminal:

/ ip firewall mangle

add chain=prerouting dst-address=192.168.88.0/24  action=accept in-interface=BridgeLAN

Nhóm 1:

add chain=prerouting in-interface=pppoe-out1 connection-mark=no-mark action=mark-connection  new-connection-mark=danhdauVNPT1

add chain=prerouting in-interface=pppoe-out2 connection-mark=no-mark action=mark-connection new-connection-mark=danhdauVNPT2

Nhóm 2:

add chain=prerouting in-interface=BridgeLAN connection-mark=no-mark dst-address-type=!local per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=danhdauVNPT1

add chain=prerouting in-interface=BridgeLAN connection-mark=no-mark dst-address-type=!local  per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=danhdauVNPT2

Nhóm 3:

add chain=prerouting connection-mark=danhdauVNPT1 in-interface=BridgeLAN action=mark-routing new-routing-mark=diraVNPT1

add chain=prerouting connection-mark=danhdauVNPT2 in-interface=BridgeLAN action=mark-routing new-routing-mark=diraVNPT2

Nhóm 4:

add chain=output connection-mark=danhdauVNPT1 action=mark-routing new-routing-mark=diraVNPT1

add chain=output connection-mark=danhdauVNPT2 action=mark-routing new-routing-mark=diraVNPT2

Với nhóm 1 và 2 sẽ thực hiện đánh dấu gói tin đi vào/ra cổng WAN và interface LAN để thực hiện định tuyến phù hợp trong các nhóm 3 và 4. Phần tô đậm sẽ là tùy chỉnh phù hợp với từng cấu hình và cách đặt tên ở mỗi router MikroTik khác nhau.

Cấu hình bằng giao diện.

Ta cũng có thể cấu hình thông qua giao diện, tuy nhiên không nhanh và dễ kiểm soát bằng cấu hình thông qua dòng lệnh.

Sau đó tùy chỉnh định tuyến với việc đầu tiên là bỏ Add Default Route ở các WAN và thêm vào bảng định tuyến. Cấu hình thêm failover để dự phòng khi một trong hai đường WAN down:

/ ip route

add check-gateway=ping distance=1 gateway=pppoe-out1 routing-mark=diraVNPT1
add check-gateway=ping distance=1 gateway=pppoe-out2 routing-mark=diraVNPT2
add check-gateway=ping distance=1 gateway=pppoe-out1
add check-gateway=ping distance=2 gateway=pppoe-out2

Lưu ý

Lưu ý, khi cấu hình cân bằng tải kiểu “cộng băng thông” với MikroTik, một số trang thanh toán trực tuyến sẽ không cho phép thao tác trên đó vì chúng chỉ chấp nhận 1 IP WAN trong suốt quá trình giao dịch. Để sửa lỗi này, ta có thể định tuyến các máy tính cần sử dụng dịch vụ trên theo đường WAN cụ thể, hoặc đơn giản là loại bỏ các máy này ra khỏi cân bằng tải.

Đầu tiên trong IP → Firewall → Address Lists ta thêm IP các máy tính cần loại ra khỏi cân bằng tải và đặt tên, ví dụ “IP Ke Toan”. Sau đó trong Mangle Rule, ta thêm vào rule như hình sau và kéo lên vị trí trên cùng:

Loại ra khỏi cân bằng tải.