Как настроить mikrotik на pppoe соединение

Введение

Роутеры Mikrotik routerboard достаточно давно появились на рынке, но так до сих пор и не завоевали большую популярность. Хотя свою нишу заняли. Лично я считаю, что это отличный роутер для дома, по надежности у него нет конкурентов. Это действительно маршрутизатор, который можно один раз настроить и забыть. Лично мне еще ни разу не попадалось устройство, которое бы приходилось принудительно перезагружать, чтобы вывести его из комы, как это часто бывает с другими бюджетными железками.

Распространение среди домашних пользователей сдерживает в первую очередь сложность настройки. И хотя более ли менее продвинутому пользователю может показаться, что ничего тут сложного нет. Но на самом деле есть. И я часто сталкивался с просьбами настроить роутер дома для раздачи интернета по wifi, так как купившие по чьей-нибудь рекомендации пользователи сами не могли полностью настроить нужный функционал, хотя инструкций в интернете хватает.

Этот пробел я хочу восполнить и написать подробную пошаговую инструкцию по настройке микротика с нуля для чайников на примере самой подходящей для дома модели RB951G-2HnD. У меня давно подготовлена личная шпаргалка в виде текстового файла. По ней я буквально за 10 минут настраиваю роутер и отдаю пользователю. То есть реально ничего сложного нет, если знаешь, что делаешь. На основе этой шпаргалки я и напишу материал.

Возможно опытному пользователю нечего будет тут почерпнуть, а может быть я сам что-то делаю не совсем правильно или не оптимально. Прошу сделать подсказку или замечание в комментарии, если это действительно так. Я пишу статьи в том числе и для того, чтобы самому научиться чему-то новому. Как гласит одна восточная мудрость — чтобы получить новые знания, нужно поделиться теми, что есть у тебя с другими. Именно этим я и занимаюсь на страницах данного сайта.

Далее предлагаю краткий список того, что мы будем делать в статье, чтобы вы понимали, о чем пойдет речь.

Краткий список действий

Необходимое время: 2 часа.

Настройка роутера Mikrotik.

1. Сброс настроек роутера.

   Я предлагаю начать настраивать микротик с нуля, без заводских настроек. Это позволяет лучше понять и разобраться в принципах работы устройства.

2. Обновление прошивки.

   Рассказываю, как скачать и залить самую свежую прошивку на микротик.

3. Объединение портов в бридж.

   Так как мы разбираем базовую настройку микротика, все порты вместе с wifi будут объединены в единый сетевой бридж, чтобы подключенные к ним устройства могли взаимодействовать друг с другом.

4. Настройка ip адреса.

   В качестве примера покажу, как настроить статический ip адрес в роутере. Это не такая тривиальная и очевидная задача, как в некоторых домашних устройствах.

5. Подключение интернета.

   Показываю, что нужно сделать, чтобы заработал интернет на самом роутере.

6. Настройка dhcp сервера.

   Настраиваю dhcp сервер на микротике, чтобы он раздавал сетевые настройки для всех устройств локальной сети.

7. Настройка NAT.

   Обязательная настройка для того, чтобы интернет заработал у подключенных к mikrotik устройств.

8. Настройка Wifi.

   Показываю базовую настройку wifi в микротике. Только минимально необходимые настройки, чтобы можно было подключаться и выходить в интернет по wifi.

9. Смена пароля администратора.

   Показываю, как задать или изменить пароль доступа к роутеру.

10. Настройка времени.

    Необязательная настройка. С неправильным временем тоже все будет работать, но когда оно установлено правильно и синхронизируется, удобнее и практичнее.

Properties

Sub-menu:

Настройка автоматического переключения каналов

Для того, чтобы микротик понимал, с какого интерфейса трафик ушёл и на какой пришёл, нам нужно промаркировать его. Так же нам это нужно, чтобы скрипт понимал из-под какого интерфейса есть доступ в интернет, а из-под какого нет. Ранее я это описывал как делать в Winbox (вставить ссылку на dual wan), здесь, я сделаю упор на CLI.

Создаём правило маркировки для ISP1

/ip firewall mangle add action=mark-connection chain=prerouting comment=out-in-ISP1 in-interface=\ ether1 new-connection-mark=from-ISP1-WAN passthrough=yes add action=mark-routing chain=prerouting connection-mark=from-ISP1-WAN \ new-routing-mark=to-ISP1-MR passthrough=yes add action=mark-routing chain=output connection-mark=from-ISP1-WAN \ new-routing-mark=to-ISP1-MR passthrough=yes add action=mark-routing chain=output new-routing-mark=to-ISP1-MR passthrough=\ yes src-address=192.168.10.254

Создаём правило маркировки для ISP2

/ip firewall mangle add action=mark-connection chain=prerouting comment=out-in-ISP2 in-interface=\ lte1 new-connection-mark=from-ISP2-WAN passthrough=yes add action=mark-routing chain=prerouting connection-mark=from-ISP2-WAN \ new-routing-mark=to-ISP2-MR passthrough=yes add action=mark-routing chain=output connection-mark=from-ISP2-WAN \ new-routing-mark=to-ISP2-MR passthrough=yes add action=mark-routing chain=output new-routing-mark=to-ISP2-MR passthrough=\ yes src-address=192.168.254.2

Направляем трафик по таблицам

/ip route rule add src-address=192.168.10.254/32 table=table-ISP1 add src-address=192.168.254.2/32 table=table-ISP2 add dst-address=192.168.200.0/24 table=main add routing-mark=to-ISP1-MR table=table-ISP1 add routing-mark=to-ISP2-MR table=table-ISP2

Маршруты по умолчанию в новых таблицах

/ip route add distance=10 gateway=192.168.10.1 routing-mark=table-ISP1 add distance=10 gateway=192.168.254.1 routing-mark=table-ISP2

Картина должна выглядеть следующим образом

Автоматическое переключение WAN каналов

Заключительный этап, это настройка скрипта переключения каналов. Ранее я рассказывал более подробно, как он работает. Нам нужно сказать скрипту следующее (в номерах строк):

• Интерфейсы, 2 и 4;
• Что пингуем, 6;
• Глобально задаём поиск по комментариям, 23-24;
• Переключение на основной, 28-29;
• Переключение на резервный, 35-36.

Т.е. мы регулируем переключение метриками в таблице main, плюс попутно чистим все соединения Connection Tracker.

#Main interface name
:global MainIf ether1
#Failover interface name
:global RsrvIf lte1
:local PingCount 1
:local PingTargets {77.88.8.8; 8.8.8.8}
:local host
:local MainIfInetOk false
:local RsrvIfInetOk false
:local MainPings 0
:local RsrvPings 0
foreach host in=$PingTargets do={
:local res 
:set MainPings ($MainPings + $res)
:local res 
:set RsrvPings ($RsrvPings + $res)
:delay 1
}
:set MainIfInetOk ($MainPings >= 1)
:set RsrvIfInetOk ($RsrvPings >= 1)
:put "MainIfInetOk=$MainIfInetOk"
:put "RsrvIfInetOk=$RsrvIfInetOk"
:local MainGWDistance  distance]
:local RsrvGWDistance  distance]
:put "MainGWDistance=$MainGWDistance"
:put "RsrvGWDistance=$RsrvGWDistance"
if ($MainIfInetOk && ($MainGWDistance >= $RsrvGWDistance)) do={
/ip route set  distance=10
/ip route set  distance=20
:put "switched to MAIN internet connection"
/log info "switched to MAIN internet connection"
/ip firewall connection remove 
}
if (!$MainIfInetOk && $RsrvIfInetOk && ($MainGWDistance <= $RsrvGWDistance)) do={
/ip route set  distance=20
/ip route set  distance=10
:put "switched to RESERVE internet connection"
/log info "switched to RESERVE internet connection"
/ip firewall connection remove 
}

Проверяем все ещё раз и создаём скрипт в system.
Проверим, что покажет нам запуск скрипта.
Интернет отсутствует за lte1. Причина – я забыл вставить сим-карту :). Исправляемся.
Теперь на своём домашнем Mikrotik, который выступает провайдером, заблокируем ICMP и посмотрим, как произойдёт переключение каналов.
Как мы видим, метрика на резервном маршруте изменилась. Засовываем команду запуска скрипта в планировщик и живём счастливо.

На этом настройка резервного канала 4G с автопереключением на Микротик закончена. Вы можете спокойно отключать один из каналов и у вас все прекрасно будет работать. Единственная рекомендация, интервал запуска скрипта в планировщике не делать менее 15 сек. Т.к. из-за таймаутов по беспроводке, скрипт может запуститься, не успев отработать.

Базовая конфигурация маршрутизатора

Она включает в себя назначение IP-адресов и включение NAT для доступа к интернету. Настройка состоит из 4 шагов:

1. Назначение адресов WAN и LAN.
2. Конфигурация шлюза.
3. Конфигурация NAT.
4. Конфигурация DNS.

Среди указанных 4 шагов первые три являются обязательными для доступа к интернету, а 4-й является необязательным, но многие пользователи его применяют для улучшения конфигурации.

Настройка роутера Mikrotik в соответствии с указанными этапами выполняется в виде простой схемы офисной сети, где три пользователя подключены к роутеру через сетевой коммутатор, а один интерфейс маршрутизатора подключен к интернету.

MikroTik RouterBoard 1100 AHX2WAN:

1. IP: 172.22.3.99/25 (предоставлен ISP).
2. Шлюз: 172.22.3.1 (предоставляется ISP).
3. Открытый DNS: 8.8.8.8 и 8.8.4.4.
4. Сеть LAN IP: 192.168.10.0/24.

Простая офисная сеть:

• Первый интерфейс (ether1-порт) подключен к провайдеру, и этот интерфейс является WAN-портом.
• Устанавливаем WAN IP (предоставляемый провайдером) в интерфейсе.
• Второй интерфейс (ether2 port) — это LAN. Пользователи этой сети подключаются к устройству через коммутатор для доступа к интернету.

На практике сеть может быть не такой простой, возможно, придется создавать большую сеть, где могут быть сотни или даже тысячи пользователей. Но базовая конфигурация одинакова для всех подобных схем.

Двухсторонняя точка доступа hAP ac lite

Mikrotik RB952Ui-5ac2nD hAP ac lite — это двухконкурентное устройство доступа, обеспечивающее одновременное покрытие Wi-Fi для 2,5 ГГц и 5,0 ГГц. Блок имеет 650-мегагерцевый процессор с 64-мегабайтной оперативкой, 5 портами до 100 Мбит. RB952Ui-5ac2nD международный. Он поддерживает 2413-2484 МГц и 5155 МГц — 5873 МГц.

Содержание поставки: RB952Ui-5ac2nD 24V адаптер питания 1,2A.

Работа и тестирование проводились с использованием испытательного устройства Xena Networks (XenaBay) и выполняются в соответствии с RFC2544 (Xena2544). Максимальная мощность достигается без превышения центрального процессора, благодаря использованию программного обеспечения. Настройки роутера Mikrotik rb952ui 5ac2nd по базовой конфигурации недостаточно для поддержания реальной сети.

Если необходимо поддерживать офисную сеть, лучше использовать сервер DHCP. Управление DHCP-сервером с помощью сервера Radius обеспечит более быстрое и интеллектуальное решение. Опять же, если нужно поддерживать сеть интернет-провайдера, PPPoE Server — лучшее решение. Сервер PPPoE с сервером Radius также может предоставить предоплаченную биллинговую систему. Если планируется поддерживать сеть отелей, аэропортов, железных дорог, ресторанов или любую интернет-сеть с Wi-Fi-решением, Hotspot Server — лучший выбор.

Настроив роутер Mikrotik hap lite с использованием Radius Server с Hotspot, можно управлять пропускной способностью, а также лимитом данных с предоплаченной биллинговой системой. Кроме того, если использовать решение для управления пропускной способностью с помощью MikroTik Router, Bandwidth Management с Simple Queue будет довольно полезным. Но лучше управлять пропускной способностью ISP с помощью PCQ.

Quick Setup Guide

RouterOS has a built in command that lets you easily set up a DHCP server. Let’s say we want to configure DHCP server on ether1 interface to lease addresses from 192.168.0.2 to 192.168.0.254 which belong to the 192.168.0.0/24 network. The gateway and DNS server is 192.168.0.1.

From menu run setup command and follow instructions:

 ip dhcp-server> setup
Select interface to run DHCP server on

dhcp server interface: ether1
Select network for DHCP addresses

dhcp address space: 192.168.0.0/24
Select gateway for given network

gateway for dhcp network: 192.168.0.1
Select pool of ip addresses given out by DHCP server

addresses to give out: 192.168.0.2-192.168.0.254
Select DNS servers

dns servers: 192.168.0.1
Select lease time

lease time: 3d
 ip dhcp-server>
      

The wizard has made the following configuration based on the answers above:

 ip dhcp-server> print
Flags: X - disabled, I - invalid
  #   NAME            INTERFACE RELAY           ADDRESS-POOL LEASE-TIME ADD-ARP
  0   dhcp1           ether1    0.0.0.0         dhcp_pool1   3d         no

 ip dhcp-server> network print
  # ADDRESS            GATEWAY         DNS-SERVER      WINS-SERVER     DOMAIN
  0 192.168.0.0/24        192.168.0.1        192.168.0.1

 ip dhcp-server> /ip pool print
  # NAME                                        RANGES
  0 dhcp_pool1                                  192.168.0.2-192.168.0.254

 ip dhcp-server>

Capsman vs Mesh

Есть похожая технология, в том числе у Микротик — Mesh. Я ее использовал для организации единой wifi сети еще до появления Capsman. Работала она на первый взгляд не хуже, хотя дальше тестовых настроек и простых эксплуатаций из двух точек у меня дело не заходило. Попробую разобраться, в чем их отличие.

Mesh сеть — это распределенная одноранговая сеть, где все узлы сети равны, то есть это технология децентрализованной сети. Уже видно различие, так как в Capsman присутствует контроллер, используется централизованное управление точками. Причем отличие это принципиальное и самое главное. Наличие контроллера упрощает управление и конфигурирование. Очевидно, что из одного места это делать проще. Но в то же время контроллер является единой точкой отказа, хотя его и можно зарезервировать.

В Mikrotik настройка Capsman реализована очень просто и удобно, что я продемонстрирую далее на примерах. Для меня это очевидный плюс. Настраивается все буквально за 10 минут и работает надежно. Возможно, у вас что-то и не получится в первый раз, но если освоитесь, то проблем не будет. Сразу могу сказать, что вы не получите полноценный бесшовный роуминг, как может вам пообещать какое-то описание. Переподключение клиентов от точки к точки происходит, что приводит к задержке соединения на 1-2 секунды. Имейте это ввиду.

Собственно, простота и удобство настройки capsman меня сразу же подкупили. С тех пор, как я познакомился с ним, всегда использую для построения распределенных wifi сетей. Про mesh больше не вспоминал. Если я правильно понимаю, основное преимущество mesh — высокая отказоустойчивость, когда все точки равнозначны. Но чтобы эту отказоустойчивость получить, нужны множественные связи между точками. А чаще всего сеть строится в топологии звезда, когда все зависимые точки связываются с одним или двумя контроллерами, но не между собой. Это сильно упрощает монтаж и настройку.

Выбор режима работы

В разделе Configuration необходимо выбрать режим работы беспроводной точки MikroTik.

Режим Router — используют, когда Wi-Fi точку подключают напрямую к кабелю провайдера. В этом случае вам нужно скрыть клиентов, которые подключаются к Wi-Fi точке в отдельную подсеть. Иначе потребовалось бы заключать договор с провайдером на подключение каждого клиента к интернету. В этом режиме интернет-провайдер не видит абонентов, находящихся за беспроводной точкой. Wi-Fi точка играет роль интернет шлюза для клиентов.

Режим Bridge — используют, когда Wi-Fi точку подключают к роутеру. В этом режиме роутер раздает автоматические сетевые настройки клиентам, подключающимся к Wi-Fi точке. При этом абоненты, подключенные к роутеру по кабелю и к беспроводной точке, находятся в одной подсети и могут передавать данные друг другу.

Привязка MAC-адреса Mikrotik у провайдера

Если Вы меняете роутер на Микротик, то скорей всего знаете что у Вашего провайдера есть привязка по MAC-адресу, в этом случае нужно изменить MAC-адрес того порта Микротика куда подключается провайдера на MAC-адрес старого роутера, сделать это можно только из консоли, следующей командой:

/interface ethernet set WAN1 mac-address=00:00:00:00:00:00  — вместо нулей надо вписать MAC-адрес зарезервированный у провайдера, узнать его можно зайдя в веб-интерфейс старого роутера, в техподдержке своего провайдера или поискать наклейку на корпусе устройства.

Если, после выполнения команды MAC-адрес сменился на указанный Вами значит все ок:

Подключение к устройству

Для настройки будем использовать программу WinBox, которая разработана специалистами Mikrotik для удобства настройки продуктов Mikrotik. Для настройки, так же, можно использовать Web-интерфейс, то есть настраивать устройство через браузер, а, так же, через командную строку, заходя на устройство через Telnet или его защищенную версию SSH.
Программу WinBox скачиваем о официального сайта Mikrotik: https://mikrotik.com/download
В этом же разделе мы будем скачивать последнюю версию программного обеспечения (прошивку).
Подключаем роутер к нашей рабочей станции кабелем Ethernet. Поскольку маршрутизатор из коробки уже имеет какую-то первоначальную настройку, рекомендуется подключаться в любой порт, кроме первого.
После загрузки, маршрутизатор отобразится во вкладке Neibhors в программе WinBox.
Первоначальная настройка через WinBox хороша тем, что нам не обязательно знать какие IP-адреса прописаны на маршрутизаторе и будут ли они доступны с адресов, прописанных на нашей сетевой карте.
WinBox позволяет использовать протоколы MAC-Telnet и MAC-Winbox. Подключение происходит не с IP-адреса на IP-адрес, а с MAC-адреса на MAC-адрес.
Нажимаем на MAC-адрес нашего маршрутизатора, он копируется в поле «Connect To», вводим Login и Password и нажимаем кнопку Connect.
По умолчанию у Mikrotik Login: admin, Password: `пустое поле`, то есть без пароля.

Если с роутером не производилось никаких действий по настройке, при первичном подключении через WinBox, он сообщит о неких уже произведенных на заводе предустановках. Не будем разбираться подходят они нам или нет и просто их сбрасываем.

Быстрая настройка MikroTik Home AP

Режим Quick Set Home AP является самый распространённым режимом мастера настройки MikroTik. Именно Home AP произведёт конфигурирование устройства в качестве роутера(маршрутизатора). Первый порт роутера MikroTik будет принимать подключение от интернет провайдера, остальные порты будет являться LAN, а WiFi модуль обеспечит доступ к локальной сети и интернета для беспроводных устройств.

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Поддержка настройки Quick Set Home AP в MikroTik

1. Задать имя WiFi сети(SSID), параметр Network Name;
2. Указать пароль WiFi, параметр WiFi Password;
3. Выбрать тип интернет соединения, параметр Address Acquisition;
4. Установить MAC адрес для порта провайдера, параметр MAC Address;
5. Присвоить IP адрес типа LAN для роутера, параметр IP Address;
6. Указать маску подсети для LAN порта роутера, параметр Netmask;
7. Определить настройки DHCP сервера, параметр DHCP Server;
8. Установить параметр NAT.
9. Обновить прошивку роутера, кнопка Check For Updates;
10. Указать пароль администратора для роутера, кнопка Password.

Настройка роутера для «Ростелекома»

Наладка для работы с «Ростелеком» и PPPoe:

1. Входим в устройство через Winbox, указываем айпи и логин: Admin.
2. Соединяемся. Переключаемся на интерфейс и устанавливаем PPPoe-клиент.
3. Осуществляем регулирование MTU/MRU, в окне интерфейса определяем необходимый порт интернет-провайдера.
4. Открываем вкладку Dial Out и заполняем сведения «Ростелекома»: имя и пароль.
5. Устанавливаем статус: connected.
6. Переходим к настройке Firewal и добавляем условие (плюс) в Chain.
7. Устанавливаем input и соединение PPPoe.
8. Настройка роутера Mikrotik для «Ростелекома» продолжается, далее открываем окно Action и устанавливаем drop и нажимаем «Готово».
9. Во вкладке «Фривол» находим NAT кликнуть (плюс) и устанавливаем «Готово».
10. Следуем в «Экшион» и устанавливаем Masquerade. Далее кликнуть «Готово».
11. В устройстве теперь определился ай-пи автоматически.
12. Настраиваем DHCP-сервер, прописываем статику из его подсети.

Быстрая настройка MikroTik CPE

Режим Quick Set CPE предназначен для быстрой настройки MikroTik в качестве репитера(усилителя) WiFi . Радиомодуль WiFi будет подключаться к существующему WiFi и передать сигнал дальше

В режиме работы репитера(усилителя) WiFi важно правильно расположить MikroTik, т.к. недостаточный уровень сигнала между основным передатчиком и репитером(усилителем) будет отражаться на скорости WiFi клиентов, которые использует репитер(усилитель)MikroTik как точку доступа

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Поддержка настройки Quick Set CPE

1. Выбрать точку доступа, к которой будет происходить подключение;
2. Указать пароль WiFi, параметр WiFi Password;
3. Нажать кнопку Connect;
4. Выбрать режим работы, параметр Mode;
5. Присвоить IP адрес типа LAN, параметр IP Address;
6. Указать маску подсети для LAN порта, параметр Netmask;
7. Объединить все порты в Bridge, параметр Bridge All LAN Ports;
8. Обновить прошивку, кнопка Check For Updates;
9. Указать пароль администратора, кнопка Password.

Подключение маршрутизатора и основные способы его настройки

Подключение маршрутизаторов Mikrotik к устройству, с которого будет производиться настройка, осуществляется стандартно. Кабель от провайдера следует подключить к первому порту маршрутизатора, а через какой-либо из остальных портов соединить его с компьютером или ноутбуком. Настройку можно осуществлять и через Wi-Fi. Точка доступа активируется одновременно с включением устройства и полностью открыта. Само собой разумеется, что компьютер должен находиться в одном адресном пространстве с роутером или иметь сетевые настройки, предусматривающие автоматическое получение IP-адреса и адреса DNS-сервера.

Проделав эти нехитрые манипуляции, необходимо сделать следующее:

1. Запустить браузер и в его адресной строке ввести
2. В открывшемся окне выбрать способ настройки роутера, щелкнув по нужной иконке мышкой.

Последний пункт требует более детальных пояснений. Как видно из скриншота, роутер Микротик можно настроить тремя способами:

• Winbox — специальная утилита для настройки устройств Mikrotik. За иконкой скрывается ссылка на ее скачивание. Данную утилиту можно скачать и с сайта производителя;
• Webfig — настойка роутера в браузере. Данная возможность появилась сравнительно недавно. Веб-интерфейс Webfig очень похож на Winbox, но разработчики уверяют, что его возможности шире;
• Telnet — настройка через командную строку. Такой способ подходит для продвинутых юзеров и более подробно в статье рассматриваться не будет.

В настоящее время разработчики делают основной упор на интерфейс Webfig, предлагающийся пользователю по умолчанию. Поэтому в более поздних версиях RouterOS стартовое окно может выглядеть вот так:
А так как в заводских настройках для входа в веб-интерфейс роутера пароля нет, то при первом подключении пользователь может быть сразу перенаправлен на страницу настроек Webfig. Однако большинство специалистов до сих пор продолжают работать с Winbox и считают ее самым удобным способом настройки устройств Микротик. Поэтому все дальнейшие примеры будут основаны на интерфейсе данной утилиты.

RADIUS Client

This sub-menu allows to add/remove RADIUS clients.

Note: The order of added items in this list is significant.

Properties

Note: Microsoft Windows clients send their usernames in form domain\username

Note: When RADIUS server is authenticating user with CHAP, MS-CHAPv1, MS-CHAPv2, it is not using shared secret, secret is used only in authentication reply, and router is verifying it. So if you have wrong shared secret, RADIUS server will accept request, but router won’t accept reply. You can see that with /radius monitor command, «bad-replies» number should increase whenever somebody tries to connect.

Example

To setup a RADIUS Client for HotSpot and PPP services that will authenticate against a RADIUS Server (10.0.0.3), you need to do the following:

 > /radius add service=hotspot,ppp address=10.0.0.3 secret=ex
 > /radius print
Flags: X - disabled
  #   SERVICE         CALLED-ID     DOMAIN        ADDRESS         SECRET
  0   ppp,hotspot                                 10.0.0.3        ex

To setup a RADIUS Client with RadSec, you need to do the following:

 > /radius add service=hotspot,ppp address=10.0.0.3 secret=radsec protocol=radsec certificate=client.crt
 > /radius print
Flags: X - disabled
  #   SERVICE         CALLED-ID     DOMAIN        ADDRESS         SECRET
  0   ppp,hotspot                                 10.0.0.3        radsec

Note: Make sure the specified certificate is trusted.

To view RADIUS Client statistics, you need to do the following:

 > /radius monitor 0
             pending: 0
            requests: 10
             accepts: 4
             rejects: 1
             resends: 15
            timeouts: 5
         bad-replies: 0
    last-request-rtt: 0s

Make sure you enable RADIUS authentication for the desired services:

/ppp aaa set use-radius=yes
/ip hotspot profile set default use-radius=yes