Configuración de un Concentrador PPPoE en MikroTik: Guía Completa

En la actualidad, la gestión eficiente de clientes y la seguridad de la red son pilares fundamentales para cualquier proveedor de servicios de Internet (ISP). Si bien el Hotspot ofrece una solución para el control de acceso, presenta vulnerabilidades como la clonación de MAC, especialmente cuando las redes se dejan abiertas por motivos de publicidad o marketing a la espera de un portal cautivo. En contraste, el protocolo PPPoE (Point-to-Point Protocol over Ethernet) emerge como una alternativa robusta y segura para autenticar y gestionar las conexiones de los usuarios, sin la necesidad de recurrir a un Hotspot.

El PPPoE es un protocolo de red que facilita la conexión de un cliente a un servidor de acceso a Internet a través de una conexión Ethernet. El término "Client" en PPPoE se refiere al dispositivo o computador configurado para conectarse a la red utilizando este protocolo. Un cliente PPPoE se autentica típicamente ante el servidor PPPoE del proveedor de servicios de Internet mediante credenciales como un nombre de usuario y contraseña. Para que estos dispositivos puedan acceder a Internet, es esencial configurar el NAT en la interfaz PPPoE Client. La configuración de un cliente PPPoE en MikroTik es un proceso directo que se detalla a lo largo de este artículo.

Este artículo se adentra en la configuración de un servidor PPPoE en MikroTik, un proceso que resulta ser sencillo y seguro, especialmente cuando el objetivo es controlar las conexiones de los clientes mediante un usuario y contraseña. Esta metodología es ampliamente adoptada por las redes WISP (Wireless ISP) y también es aplicable en redes Ethernet convencionales. A continuación, se guiará al lector a través de los pasos necesarios para configurar un servidor PPPoE en equipos MikroTik y en los equipos clientes de manera rápida y efectiva.

¿Qué es un Servidor PPPoE?

Un servidor PPPoE es un componente esencial en la infraestructura de red de muchos proveedores de servicios de Internet. Su función principal es actuar como un punto centralizado de autenticación y gestión de usuarios. Cuando un cliente intenta conectarse a Internet, el servidor PPPoE verifica sus credenciales (nombre de usuario y contraseña) y, una vez autenticado, le asigna una dirección IP y configura los parámetros necesarios para la navegación. Esto permite a los ISP tener un control granular sobre quién accede a su red, garantizando la seguridad y la correcta asignación de recursos.

El PPPoE (Point-to-Point Protocol over Ethernet) es un protocolo de red que encapsula tramas PPP (Protocolo Punto a Punto) dentro de tramas Ethernet. Esto permite aprovechar las funcionalidades del protocolo PPP, como la autenticación, el cifrado, la gestión de sesiones y la compresión de datos, sobre una infraestructura de red Ethernet. En esencia, el PPPoE crea una conexión "serial" virtual entre dos puertos Ethernet, permitiendo la transferencia de paquetes IP con las características de seguridad y control de PPP.

Esta capacidad de implementar una capa IP sobre una conexión Ethernet, combinada con las características de software del protocolo PPP, hace que el PPPoE sea ideal para escenarios donde se requiere autenticación para el acceso a Internet. Permite el uso de software tradicional basado en PPP para manejar conexiones que, de otro modo, solo serían compatibles con líneas seriales. Además, las direcciones IP se asignan dinámicamente solo cuando la conexión PPPoE se establece, lo que facilita la reutilización de direcciones IP.

En resumen, un servidor PPPoE sirve como un mecanismo fundamental para la autenticación de clientes, proporcionando una capa adicional de seguridad y control sobre el acceso a Internet. Es un componente clave para los ISP que buscan ofrecer servicios de banda ancha fiables y seguros.

Elementos Utilizados en la Configuración

Para llevar a cabo la configuración de un servidor PPPoE en MikroTik, se requerirán los siguientes elementos:

• Router MikroTik con RouterOS: El corazón de nuestra configuración. Se utilizará un router MikroTik que ejecute RouterOS. La versión específica del sistema operativo puede influir en la disponibilidad de ciertas características o en la interfaz de configuración, pero los principios generales se mantienen. En este tutorial, se hace referencia a RouterOS 6.36 como ejemplo, pero los pasos son adaptables a versiones más recientes.
• Equipo Cliente: Un dispositivo que actuará como cliente PPPoE. En el ejemplo proporcionado, se utiliza un equipo con sistema operativo Windows XP. Sin embargo, cualquier dispositivo capaz de configurar una conexión PPPoE cliente (otros sistemas Windows, macOS, Linux, o incluso otros routers MikroTik configurados como cliente) puede ser utilizado.
• WinBox: Una utilidad gráfica para la administración de routers MikroTik. WinBox simplifica enormemente el proceso de configuración al proporcionar una interfaz visual intuitiva, permitiendo realizar la mayoría de las configuraciones de forma gráfica en lugar de depender exclusivamente de la línea de comandos.

Estos elementos, combinados con la información detallada en los siguientes apartados, permitirán configurar un servidor PPPoE funcional y seguro.

Esquema de Red PPPoE

El esquema de red para una configuración básica de servidor PPPoE con MikroTik es relativamente sencillo. Se centra en la interacción entre el router MikroTik, que actúa como servidor, y los dispositivos clientes que se conectarán a él.

En este esquema, tendremos un router MikroTik configurado como el servidor PPPoE. Este router será el encargado de autenticar a todos los usuarios de la red LAN y de validar sus credenciales para permitirles el acceso a Internet. El uso de PPPoE es una práctica común entre los ISP para autenticar a sus clientes y habilitar la navegación. Si bien en algunos escenarios la autenticación puede realizarse en un router adicional en la casa del usuario, es perfectamente factible y eficiente realizarla directamente desde el equipo central del proveedor.

El equipo cliente, en este ejemplo, se representa como un dispositivo con sistema operativo Windows XP. Este cliente se configurará para establecer una conexión PPPoE con el router MikroTik, utilizando un nombre de usuario y contraseña específicos.

La dirección IP del router MikroTik para la red LAN será 10.10.10.1/24. Esta subred será la que utilizarán los clientes PPPoE una vez autenticados. La interfaz WAN del MikroTik, conectada a Internet, tendrá una IP como 172.26.1.10/24 (esta es una IP de ejemplo y dependerá de la configuración de la red del proveedor de Internet).

El direccionamiento IP se gestionará de la siguiente manera:

• Servidor PPPoE (MikroTik): 10.10.10.1 (IP de la interfaz LAN)
• Clientes PPPoE: Se les asignarán direcciones IP dinámicas dentro del rango 10.10.10.10 a 10.10.10.254 a través de un pool de direcciones configurado en el servidor PPPoE.
• Interfaz WAN: Una dirección IP proporcionada por el ISP (ej. 172.26.1.10/24) y la puerta de enlace predeterminada del ISP (ej. 172.26.1.1).

Este esquema básico asegura que el router MikroTik centralice la autenticación y gestione el acceso a Internet para todos los clientes conectados a través de PPPoE.

Configuración Básica del Router MikroTik

La configuración del router MikroTik se realizará principalmente a través de WinBox, una herramienta gráfica que facilita la gestión del dispositivo. Aunque la configuración por comandos es igualmente viable, la interfaz visual ofrece una experiencia más accesible para muchos usuarios.

Direcciones IP

Es crucial verificar la configuración de las direcciones IP en el router MikroTik. En la imagen de ejemplo, se observa que la dirección IP asignada a la interfaz de red local (LAN) es 10.10.10.1/24. Para la interfaz conectada a Internet (WAN), se utiliza la dirección 172.26.1.10/24. Estas direcciones son fundamentales para la correcta comunicación dentro de la red y hacia Internet.

Servidores DNS

Los servidores DNS (Domain Name System) son necesarios para que el router pueda resolver nombres de dominio a direcciones IP. En la siguiente captura de pantalla, se muestran los servidores DNS configurados en el MikroTik para su propio uso. Es común utilizar los servidores DNS de Google (8.8.8.8 y 8.8.4.4) o los proporcionados por el ISP.

Rutas de Red

Las rutas de red determinan cómo el router dirige el tráfico de datos. En la configuración de MikroTik, se pueden observar varias rutas:

• Una ruta dinámica para el segmento de la LAN (10.10.10.0/24), indicando que esta red está directamente conectada.
• Una ruta para el segmento de la WAN (172.26.1.0/24), que también suele ser una red conectada.
• Una ruta estática que define la puerta de enlace por defecto (default route) hacia Internet. En este caso, la puerta de enlace es 172.26.1.1. Esta ruta es esencial para que el tráfico destinado a redes externas sea enviado correctamente al siguiente salto en la red del ISP.

Esta configuración básica asegura que el router MikroTik tenga una conectividad IP funcional y sepa cómo enrutar el tráfico hacia y desde Internet. Los siguientes pasos se centrarán en la implementación del servicio PPPoE en sí.

Configuración del Servicio PPPoE en MikroTik

La configuración del servicio PPPoE en MikroTik implica varios pasos clave para definir cómo se gestionarán las conexiones de los clientes, incluyendo la asignación de direcciones IP y la autenticación.

Creación de un Pool de Direcciones IP

Los clientes del servicio PPPoE obtendrán una dirección IP y otra configuración de red de forma automática. Por lo tanto, el primer paso es crear un Pool de direcciones IP que se asignará a cada cliente PPPoE.

1. Navegue a IP > Pool.
2. Haga clic en el botón "+" para añadir un nuevo pool.
3. En el campo Name, asigne un nombre descriptivo, por ejemplo, pppoe_pool.
4. En el campo Addresses, defina el rango de direcciones IP que se distribuirán a los clientes. Para este ejemplo, se utilizará el rango 10.10.10.10-10.10.10.254. Este rango excluye la IP del router (10.10.10.1) y deja espacio para otras posibles asignaciones.

Creación del Nuevo Servicio PPPoE

Una vez definido el pool de direcciones, se debe crear el servicio PPPoE en sí.

1. Vaya a PPP > PPPoE Servers.

2. Haga clic en el botón "+" para añadir un nuevo servicio PPPoE.

3. En la ventana que aparece, configure los siguientes parámetros:

   • Service Name: Asigne un nombre al servicio, por ejemplo, pppoe_service.
   • Interface: Seleccione la interfaz de red donde el servidor PPPoE escuchará las solicitudes de conexión de los clientes. Basado en el esquema de red, esta será la interfaz de la LAN, típicamente ether2.
   • Default Profile: Seleccione el perfil de usuario que se aplicará a los clientes que se conecten a este servicio. Inicialmente, puede dejar el perfil default o crear uno nuevo más adelante.
   • Max MTU / Max MRU: Estos valores se refieren al Maximum Transmission Unit y Maximum Receive Unit. Generalmente, se pueden dejar en sus valores predeterminados (ej. 1500) o ajustarlos según las necesidades de la red. Para PPPoE, a menudo se recomienda un valor ligeramente inferior, como 1480, para acomodar las cabeceras del protocolo.
   • Keepalive Timeout: Define el intervalo de tiempo para enviar paquetes keepalive. Un valor común es 10 segundos.
   • Service Type: Seleccione pppoe.

4. Haga clic en Apply y luego en OK.

Configuración de Perfiles de Usuario

Los perfiles de usuario permiten aplicar configuraciones específicas a grupos de clientes PPPoE, como la asignación de direcciones IP, servidores DNS y, crucialmente, límites de ancho de banda.

1. Vaya a PPP > Profiles.

2. Haga clic en el botón "+" para añadir un nuevo perfil.

3. En la pestaña General:

   • Name: Asigne un nombre al perfil, por ejemplo, perfil_basico.
   • Local Address: Ingrese la dirección IP del servidor PPPoE en la red LAN, que es 10.10.10.1. Esta será la dirección IP del "gateway" para los clientes de este perfil.
   • Remote Address: Seleccione el pool de direcciones IP que se asignará a los clientes. En nuestro caso, será el pool que creamos anteriormente, pppoe_pool.

4. En la pestaña Protocols:

   • Use Encryption: Puede habilitar el cifrado si es necesario, aunque para PPPoE no siempre es la opción principal.
   • Use IPsec: Si utiliza IPsec para seguridad adicional.
   • DNS Servers: Ingrese las direcciones de los servidores DNS que se entregarán a los clientes. Por ejemplo, 8.8.8.8 y 8.8.4.4.

5. En la pestaña Limits (si desea aplicar límites de ancho de banda):

   • Rate Limit (rx/tx): Aquí se configuran los límites de velocidad de descarga (rx) y subida (tx). Por ejemplo, para un perfil básico de 2 Mbps de descarga y 1 Mbps de subida, se ingresaría 2M/1M. Es importante notar que el formato es descarga/subida.
   • Only One: Si habilita esta opción, el cliente solo podrá tener una conexión activa a la vez, evitando que se conecte desde múltiples dispositivos con la misma cuenta.

6. Haga clic en Apply y luego en OK.

Repita estos pasos para crear los perfiles adicionales que necesite, ajustando los límites de ancho de banda según los diferentes planes de servicio ofrecidos (ej. Standar: 5M/1M, Intermedio: 10M/2M, Superior: 20M/2M, Flash: 50M/5M).

Creación de Usuarios (Secrets)

Ahora, se deben crear los usuarios que se autenticarán en el servidor PPPoE. Cada usuario se asociará a un perfil específico.

1. Vaya a PPP > Secrets.

2. Haga clic en el botón "+" para añadir un nuevo usuario.

3. Configure los siguientes campos:

   • Name: El nombre de usuario que el cliente utilizará para conectarse. Se recomienda un formato que permita la identificación del cliente, como nombre.apellido o cliente_id.
   • Password: La contraseña para este usuario.
   • Service: Seleccione pppoe.
   • Profile: Elija el perfil de usuario que se aplicará a esta cuenta (ej. perfil_basico).
   • Local Address / Remote Address: Si se dejó en blanco en el perfil, se pueden especificar aquí. Sin embargo, es más común gestionarlos a través del perfil y el pool.

4. Haga clic en Apply y luego en OK.

Repita este proceso para crear todos los usuarios necesarios, asignando a cada uno el perfil de servicio correspondiente.

Comprobación de Conectividad

Antes de configurar el cliente, es buena práctica verificar que el servidor PPPoE en el MikroTik tenga acceso a Internet. Esto se puede hacer fácilmente mediante un ping a una dirección IP pública o un nombre de dominio.

1. Abra una nueva terminal en WinBox (New Terminal).
2. Ejecute el comando ping google.com o ping 8.8.8.8.

Si el ping es exitoso, significa que el router MikroTik está conectado a Internet y puede enrutar el tráfico.

Configuración de NAT (Network Address Translation)

Dado que el servidor PPPoE utiliza un segmento de red diferente (ej. 10.10.10.0/24) al de la interfaz WAN, es necesario configurar una regla de NAT para permitir que los clientes PPPoE accedan a Internet. La mejor forma de lograr esto es mediante una regla de srcnat (source NAT).

1. Vaya a IP > Firewall > NAT.

2. Haga clic en el botón "+" para añadir una nueva regla.

3. En la pestaña General:

   • Chain: Seleccione srcnat.
   • Src. Address: Ingrese la subred de los clientes PPPoE, que es 10.10.10.0/24.
   • Out. Interface: Seleccione la interfaz por donde sale el tráfico hacia Internet, que es la interfaz WAN (ej. ether1).

4. Vaya a la pestaña Action:

   • Action: Seleccione masquerade. Esta acción se encarga de enmascarar la dirección IP privada de los clientes con la dirección IP pública de la interfaz WAN del router, permitiendo así la salida a Internet.

5. Haga clic en Apply y luego en OK.

Con estos pasos, el servidor PPPoE en el MikroTik estará configurado y listo para aceptar conexiones de clientes.

Configuración del Cliente PPPoE (Ejemplo Windows XP)

Una vez que el servidor PPPoE está configurado en el MikroTik, es necesario configurar los dispositivos cliente para que puedan conectarse. A continuación, se detalla el proceso para un equipo con Windows XP.

Para que los dispositivos accedan a Internet, se debe configurar el NAT en la interfaz PPPoE Client. La configuración de PPPoE Client en MikroTik es un proceso sencillo que puede ser completado siguiendo las etapas descritas en este artículo.

Creación de una Nueva Conexión

1. En el escritorio de Windows XP, haga doble clic en "Mi PC" o vaya a Inicio > Panel de control > Conexiones de red.
2. Haga clic en "Crear una nueva conexión".

Selección del Tipo de Conexión

1. En el asistente, seleccione "Conectarse a Internet" y haga clic en "Siguiente".

Método de Conexión

1. Seleccione "Configurar mi conexión manualmente" y haga clic en "Siguiente".

Tipo de Conexión de Banda Ancha

1. Seleccione "Conectarse usando una conexión de banda ancha que necesita un nombre de usuario y contraseña". Este es el tipo de conexión que corresponde a PPPoE. Haga clic en "Siguiente".

Nombre de la Conexión

1. Introduzca un nombre descriptivo para la conexión, por ejemplo, "Mi ISP PPPoE". Este es solo un nombre local para identificar la conexión. Haga clic en "Siguiente".

Nombre de Usuario y Contraseña

1. Este es el paso crucial. Introduzca el nombre de usuario y la contraseña que fueron creados en la sección "Secrets" del servidor MikroTik.
2. Haga clic en "Siguiente".

Finalización

1. Haga clic en "Finalizar" para crear la conexión.

Conexión PPPoE

Para conectarse utilizando la configuración PPPoE recién creada:

1. En el escritorio, debería aparecer un nuevo icono con el nombre que le dio a la conexión (ej. "Mi ISP PPPoE"). Haga doble clic en él.
2. Si marcó la opción de crear acceso directo durante el asistente, podrá encontrar el icono para iniciar la conexión.
3. Se le pedirá nuevamente el nombre de usuario y la contraseña (si no los guardó previamente).
4. Una vez que la conexión se establezca correctamente, el dispositivo cliente tendrá acceso a Internet, con las limitaciones de ancho de banda y los parámetros de red definidos en el perfil PPPoE correspondiente en el MikroTik.

Consideraciones Adicionales y Buenas Prácticas

La configuración de un servidor PPPoE en MikroTik, especialmente en entornos de ISP, puede volverse más compleja y robusta con la implementación de ciertas características y buenas prácticas.

Separación de Funciones: Router de Borde y BNG (Broadband Network Gateway)

En escenarios de alta densidad de clientes, es recomendable separar las funciones del router de borde (Edge Router) y el concentrador PPPoE (BNG o BRAS - Broadband Remote Access Server).

• Router de Borde (R1): Se encarga de la conexión principal a Internet, el NAT de salida, el filtrado básico y el rastreo de conexiones.
• BNG (R2): Actúa como el concentrador PPPoE, responsable de la autenticación de los clientes, la asignación de IPs, la gestión de perfiles y la aplicación de políticas de ancho de banda.

Esta separación previene que un único dispositivo se sobrecargue. Un error común en proveedores es realizar NAT en el mismo router que autentica PPPoE, lo que puede generar un alto uso de CPU y fallos cuando hay muchas desconexiones simultáneas (por ejemplo, tras cortes de fibra).

Configuración del Router de Borde (R1)

Si se opta por la separación, el router de borde necesitará una configuración básica:

• Endereçamento e Internet: Configurar un DHCP Client o IP estático en la interfaz de entrada de Internet (ether1).
• NAT de Salida: Crear una regla de srcnat para enmascarar el tráfico de la red interna hacia Internet.
  • Chain: srcnat
  • Out. Interface: [Interfaz WAN]
  • Action: masquerade

Opciones Avanzadas de PPPoE

• MAX MTU y MAX MRU: Estos valores son importantes para optimizar el rendimiento y evitar fragmentación de paquetes. Para PPPoE, se suele recomendar un MTU de 1480 o 1492 para acomodar las cabeceras PPPoE y PPP.
• MRRU (Maximum Receive Unit): Si bien no es un parámetro directo en la configuración de MikroTik para PPPoE, el concepto se relaciona con la unidad de recepción máxima. El ajuste de MTU y MRU es crucial.
• Keepalive Timeout: Un valor adecuado (ej. 10 segundos) asegura que las sesiones inactivas se cierren correctamente, liberando recursos.

Gestión de Ancho de Banda con QoS (Quality of Service)

Además de los límites de velocidad definidos en los perfiles PPPoE, MikroTik ofrece herramientas más avanzadas de QoS para priorizar tráfico o implementar políticas de ancho de banda más complejas. Esto puede ser útil para garantizar la calidad de servicio para aplicaciones críticas.

Seguridad Adicional

• Firewall: Implementar reglas de firewall robustas para proteger el router y la red de accesos no autorizados.
• Cifrado: Si bien PPPoE no cifra el tráfico de datos por sí mismo, se puede combinar con otros protocolos como L2TP/IPsec o VPNs para asegurar la confidencialidad.

Monitoreo y Administración

• SNMP: Configurar SNMP para monitorear el rendimiento del router y las conexiones PPPoE desde un sistema de gestión centralizado.
• Logging: Habilitar logs para registrar eventos importantes, como intentos de conexión fallidos o desconexiones.
• MKController: Herramientas como MKController pueden simplificar la gestión de múltiples dispositivos MikroTik, incluyendo la administración de clientes PPPoE y la monitorización de la red.

Conexión PPPoE Client en Otros Dispositivos

• Linux: La configuración se realiza típicamente con el paquete pppoeconf o rp-pppoe.
• macOS: Se configura a través de las Preferencias del Sistema > Red > Añadir (+) > PPPoE.
• Otros Routers MikroTik: Un router MikroTik puede actuar como cliente PPPoE para conectarse a un servidor PPPoE externo, configurando la interfaz WAN como cliente PPPoE.

La configuración de un servidor PPPoE en MikroTik ofrece una solución escalable y segura para la gestión de acceso a Internet, permitiendo a los ISP controlar eficazmente sus redes y ofrecer servicios de alta calidad a sus clientes.

tags: #concentrador #pppoe #mikrotik