Если на резервном не должно быть сколько-нибудь трафика (кроме служебного и "шума") - то нужно использовать бэкап-комьюнити. Они есть не у всех операторов, например, у ВымпелКом - это 3216:5870 (см. whois as3216):
remarks: 3216:58xx Set local preference to xx, where...
remarks: ...xx=70 - the lowest value used in the network (BACKUP)
Если достаточно снизить долю трафика в резервном, то используйте препенды.
В зависимости от того, какие сервисы были включены (IP - Service), на каких портах, и какие есть еще запрещающие правила файерволов, можно попробовать SSH (TCP 22), TELNET (23), MAC Telnet (через Winbox по MAC-адресу или с другого MikroTik через Tool - Mac telnet), HTTP/HTTPS.
Это мультикаст трафик ТВ Ростелеком.
Вполне возможно, что даже не кодированный.
Подключитесь ноутбуком с VLC и посмотрите.
Лучше в техподдержку Ростелеком сказать что-то вроде "получаю большое количество multicast-трафика, хотя не пользуюсь услугами ТВ, прошу проверить корректность работы IGMP на оборудовании доступа". Возможно, кто-то на 2-ом уровне поддержки обратит внимание на Ваш ТТ и исправит проблему.
Замкнуть L3 маршрутизацию внутренней сети на L3-коммутатор - хорошая мысль. На коммутаторе сегментировать сеть по L2-сегментам, на каждый сегмент выделить по IP-сети. Можно сделать DHCP Relay на коммутаторе, а DHCP сервером будет Микротик.
Там же на коммутаторе можно настроить ACL по запрету трафика между сегментами, например, к сегменту с сетевыми принтерами доступ должен быть у всех, а к сегменту с камерами и Скуд - только у безопасников и сетевиков.
Вот только нужно правильно выбирать коммутатор. Cisco SF - это все-таки серия Small Business, не такая надежная как Catalyst-ы.
Может быть не совсем применимо к описанному случаю, но рекомендую начинать готовиться к блокировкам любых VPN на ТСПУ. Ищите обходные пути, разрабатывайте запасные сценарии работы...
У Вас есть потрясающая возможность снять на Mikrotik PCAP-дамп трафика с телефона, и выявить все причины происходящих проблем.
Предположу, что на Mikrotik может залипать NAT-трансляция: старая трансляция висит и мешает новой работать. Как вариант найти старую прибить. Искать по порту (5060 или какой там у Вас) или по IP-адресу облачной АТС.
У меня было правило: если на Mikrotik не работает нормально SIP, нужно включить/выключить на нем SIP ALG. В подавляющем большинстве случаев помогало.
Мегафон достаточно закрытая в плане трассировок и маршрутной информации (Looking glass, BGP community) компания. Возможно, тем самым они скрывают "особенности" работы их сети.
Сделайте файл Supout.rif сразу после ребута зависшего микротика.
Потом прочитайте его содержимое в личном кабинете на mikrotik.com.
Может быть там будет что-то полезное.
Возможно, что RouterBoard (конкретно ваша модель) во время перезагрузки становится простым свичом.
Столкнулся с этим на RB1100AHx2. Он двумя портами уходит в один коммутатор. Во время перезагрузки запетлевал одним VLAN-ом, коммутатор петлю не поймал (причину не помню).
Задал вопрос "знатоку" микротиков Saab95 на forum.nag.ru, ответа не получил.
Думаю, Вам стоит проверить эту версию экспериментом.
Такое разделение чревато. Если разделять по портам удаленного сервера, то запрос на 80ый порт может придти с одного IP (через первый канал), а на 443 - с другого (второй канал). Если брать локальные порты - аналогично, с одного локального ПК может быть установлено две TCP-сессии с одним и тем же сервером, но с разных адресов. Что-то может пойти не так, особенно, если cookie на сайте привязываются к IP-адресам.
Альтернативные варианты - разделить "весь интернет" (0.0.0.0/0) на две почти равные части - 0.0.0.0/1 и 128.0.0.0/1, и смаршрутизировать их через разных провайдеров.
А в чем проблема?
У вас EoIP включен в какой-то Bridge? Тогда в этом Bridge нужно включить файрвол (Bridge - Settings - Use IP Firewall), а затем на Bridge - Filters добавить запрещающие правила для MAC-протокола IP, Protocol UDP, Dst. port 67.
Подключите выделенный ноутбук проводом в локальную сеть и запустите wireshark на нем на сколько-нибудь длительный период. Возможно, в сети есть широковещательный флуд, в wireshark вы его сможете увидеть.
При 50ти внутренних клиентах целесообразно сегментировать сеть, как проводную (по этажам, офисам, отделам, etc), так и wifi (гостевой, для личных устройств, для служебного использования).
Самый правильный способ - потребовать провайдера отключить этот функционал.
Отвечая на ваш вопрос - через /tool fetch можно отправить в том числе и POST запрос с произвольными полями. Если форма статическая (без капчи, галочек и прочего) - то проблемы нет.
Другое дело - распознать перенаправление. Тут, пожалуй, придется поэкспериментировать - посмотреть как сделана переадресация на страницу кэптив портала и подогнать логику под нее.
Добавить на DLINK используемые VLAN и прописать их на портах в сторону Mikrotik-ов в режиме "tagged".
Либо все порты DLINK в сторону Mikrotik настроить в режим TRUNK (не уверен, что в DGS-1100 есть этот режим).