Diman89

Бриджем переводите их в их админке

На той же вики микротика есть статья по балансировке нагрузки

гарантированный канал обычно имеют юр.лица, подключенные проводом

сравните текстовый конфиг из бэкапа и текстовый косячный

у меня VPN настроен для себя (телефон/планшет) + коллега с работы, которого я к локальным ресурсам не пускаю. у него тоже 3G с серой динамикой
суммарно так:

/ppp secret
add name=* password=* profile=pptp_vpn_profile service=pptp
add name=* password=* profile=pptp_vpn_profile service=pptp
add name=* password=* profile=zats service=pptp local-address=192.168.3.1 remote-address=192.168.3.222
/ip firewall nat
add action=masquerade chain=srcnat comment=zats_nat log-prefix=NAT_zats out-interface=PPTP_zats
add action=dst-nat chain=dstnat comment=port_forwarding_fot_zats dst-port=61000-61010 protocol=tcp to-addresses=192.168.3.222 to-ports=61000-61010

PPTP_zats не динамический, 192.168.3.0/24 используется только для VPN (у него локалка 192.168.1.0/24, у меня - 192.168.0.0/24)

да, можно. при наличии нескольких сетевых карт на ПК достаточно RouterOS

насколько помню, эти скрипты постоянно писали во внутреннюю память файлы/логи? не проще ли использовать встроенный ip/cloud? при функционале "из коробки" флэш целее будет

forummikrotik.ru/viewtopic.php?f=13&t=5180

0) у вас sip - это отдельный 3й пров, или один из первых двух дополнительно sip отдает? ISPы отмаркированы (резерв/балансировка)?
1) почему у вас на картинке eth9 - это in, а не out интерфейс?
2) сделали mark-routing, а mark-packet на основании mark-routing?
3) сделано ли:
- добавить 1.1.1.2 на eth9
- добавить маршрут 1.1.1.2/24 (или какую вам маску выдал sip-пров?) через 1.1.1.1
- добавить маршрут 10.0.0.2/? через 1.1.1.2 с нужной маркировкой

Почему маркируете в input/output? Там ж routing должен быть?

Принтер и mikrotik?

аналогичные записи в логах и на работе, и дома постоянно, только на батарейку никак не влияет. тоже везде iOS+Android. Стал замечать после появления iOS

А откатиться на, скажем, 6.12 пробовали? Вроде как в новых что-то поломанным было?

сделал:
на первом микротике (который сервер)

/routing ospf network
add area=backbone network=192.168.1.0/24
add area=backbone network=192.168.5.0/24

на втором микротике (который клиент)

/routing ospf network
add area=backbone network=192.168.0.1/24
add area=backbone network=192.168.5.0/24

бестолку :)

маршруты добавил на сервере и клиенте - бестолку
методом тыка нашел такую багу/фичу: на клиенте в IP/ARP добавляю руками mac+ip машины с другой подсети - пинги появляются, шара с нее открывается, все как надо; если на сервере добавлю руками на клиентскую машину - не работает
но ведь не правильно, что руками добавлять надо?
может быть, дело в разных версиях ROS? на сервере 5,25, на клиенте 6,9

Зачем Вам НАТ между сетями? специально или просто так?)

я же написал, что не знаю как правильно. предыдущие правила вы видите в printе, для каждого интерфейса - свое, тут сделал по аналогии

Настройки впн самого?

На сервере:

ppp profile print 
Flags: * - default 
 0 * name="default" bridge=bridge-local use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=default only-one=default 
     change-tcp-mss=yes 

 1 * name="default-encryption" use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=yes only-one=default 
     change-tcp-mss=yes 

ppp secret print     
Flags: X - disabled 
 #   NAME       SERVICE CALLER-ID      PASSWORD      PROFILE      REMOTE-ADDRESS 
 0   tun1       pptp                   tun1          default      192.168.5.2

На клиенте - не понял как скопировать конфиг, на словах:
PPTP-Client, login+pass из сервера, profile=default, use default route=no, allow=pap, chap, mschap1, mschap2; local address=192.168.5.1

а "участники" где?

Не понял вопроса - вывод какой команды предоставить?

С клиента:

ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; allow internet for bridge_lan+bridge_guest
     chain=srcnat action=masquerade out-interface=mts_ipv4 
 1   chain=srcnat action=masquerade out-interface=mts_ipv6 
 2   chain=srcnat action=masquerade out-interface=vpn_comodo 
 3   chain=srcnat action=masquerade out-interface=vpn_work 

interface bridge print  
Flags: X - disabled, R - running 
 1  R name="bridge_local" mtu=1500 l2mtu=1598 arp=proxy-arp 
      mac-address=D4:CA:6D:CC:B9:FF protocol-mode=rstp priority=0x8000 
      auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m 

ppp profile print 
Flags: * - default 
 0 * name="default" remote-ipv6-prefix-pool=(unknown) bridge=bridge_local 
     use-ipv6=yes use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=default only-one=default 
     change-tcp-mss=yes address-list=""

С сервера:

ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; Added by webbox
     chain=srcnat action=masquerade out-interface=pppoe_domru 
 1   chain=srcnat action=masquerade out-interface=pppoe_rtcom 
 2   chain=srcnat action=masquerade out-interface=pptp-tunnel

interface bridge print  
Flags: X - disabled, R - running 
 0  R name="bridge-local" mtu=1500 l2mtu=1598 arp=proxy-arp 
      mac-address=D4:CA:6D:BA:BE:F8 protocol-mode=none priority=0x8000 
      auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m 

ppp profile print 
Flags: * - default 
 0 * name="default" bridge=bridge-local use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=default only-one=default 
     change-tcp-mss=yes

Купить лицензию и собрать на PC не вариант?

ip firewall add chain=forward dst-address=!< IP нужного ресурса> src-address=<IP ограничиваемого юзера> action=drop

Если для всех юзеров - составьте address-list'ы и указывайте src-address-list вместо src-address, если нет привязки IP-MAC - можно src-mac-address указать