HawK

Нужно создать отдельный бридж, добавить в него порт провайдера и VirtualAP. Настройки IP этого бриджа нужно сделать такими же как и на порту провайдера.

https://mum.mikrotik.com/presentations/RU16/presen...

Развертывание единого Hotspot через Mesh на базе о...

В общем случае, вам нужно определить ип-адрес шлюза и маршруты, которые выдаются dhcp-сервером провайдера. Сделать это проще всего на пк с windows, подключенному непосредственно в сеть провайдера. Затем добавляете dhcp-клиента в микротике, указав параметр Add Default Route=no и прописываете в маршрутах то, что должно выдаваться dhcp-сервером, указав в качестве шлюза ип-адрес, а не интерфейс. Убедитесь, что адрес pptp-сервера совпадает с добавленными маршрутами, если нет - добавьте маршрут к pptp-серверу, также указав в качестве шлюза ип-адрес, получаемый по dhcp.

Как говорится, на вкус и цвет товарищей нет. За много лет перепробовал, наверное, все возможные варианты, в итоге как-то само собой получилось что везде l2tp.
Если нужно зашифровать туннель - замечательное руководство по настройке L2TP + IPsec на сайте Кирилла Васильева.
Если между офисами нужен L2 - предпочтительней настроить VPLS поверх туннеля.

Возможно поможет, отключить auto negotiation и принудительно установить скорость 100M, но как сказано выше - надо проверить линию, лучше разобраться с причинами, а не со следствиями.

Для блокировки определенных доменных имен можно указать в ip/dns/static соответствующий домен в поле Name, а в поле Address подменить ип-адрес, например на 127.0.0.1.
Конкретно в вашем случае, в поле Regexp нужно указать doubleclick.net, для блокировки доменного имени и всех его поддоменов.
Если же целью является блокировка всей рекламы, а также других нежелательных компонентов в сети, например телеметрии Microsoft, сбора статистики Google, Yandex и т.д. - для Mikrotik существует решение на https://stopad.cgood.ru/, с помощью которого можно сгенерировать скрипт, автоматически добавляющий нужные записи в ip/dns/static.

При использовании клиентом MS-CHAP v.2 однозначно - никак. Там реализована двусторонняя проверка подлинности, как раз для таких случаев, чтобы нельзя было определить пароль, подменив сервер.

Release 6.39 2017-04-28
What's new in 6.39 (2017-Apr-27 10:06):
...
!) ppp - implemented internal algorithm for "change-mss", no mangle rules necessary;
...

Если в таблице mangle создаются динамические правила - обновите версию Router OS.

Пропишите нужные ddns имена в address-list, и создайте правило в цепочке input, запрещающее tcp-подключения на порт 1723, кроме соответствующего адрес-листа.

EoIP-интерфейс обычно добавляется в bridge, для организации L2-доступа между удаленными сетями, если это ваш случай - настраивается два DHCP-сервера на обоих роутерах, в качестве интерфейса DHCP нужно указать ваш bridge-интерфейс. DHCP network должна быть единой на обоих роутерах, а вот диапазоны (pool) выдачи адресов должны быть непересекающимися, входящие в обозначенную подсеть. Также нужно создать правило, блокирующее DHCP-запросы между удаленными сетями, например так:
/interface bribge filter
add action=drop chain=forward comment="Drop DHCP requests over EoIP bridge" disabled=no in-interface=eoip-tunnel1 ip-protocol=udp mac-protocol=ip src-port=68

Если хотите повесить ип-адреса провайдера на сетевые интерфейсы ПК - вам нужен не маршрутизатор, а коммутатор и настраивать надо не микротик, а сетевые интерфейсы ПК. Объединив на микротике порты в bridge можно достичь тех же результатов, что и при использовании коммутатора.

Идентифицировать, маркировать и маршрутизировать трафик к заблокированным сайтам через дополнительные соединения - это костыль, в большинстве случаев попытки локальных операторов связи нарушить работу российского сегмента глобальной сети нейтрализуются гораздо проще и эффективнее.. Для винды существует замечательная программа GoodbyeDPI, устанавливаете как службу и забываете о блокировках.

Технические специалисты большинства провайдеров - люди умеющие мыслить системно, их мировоззренческая грамотность на порядок выше чем у их руководителей и госрыл. У них есть понимание того, что какие-либо ограничения в отдельно взятом государстве не только противоречит самой сути интернета, как надгосударственного явления, но и практически невозможно и бессмысленно, поэтому требование госорганов по блокировке выполняются лишь формально, в той степени, чтобы блокировки гарантированно работали в отношении тех, кто инициирует подобные блокировки)
Не пытались разобраться с механизмом работы блокировок у вашего провайдера? Обычно решается с помощью указания любого публичного dns-сервера вместо провайдерского. Как нейтрализовать блокировки ростелекома можно найти здесь. В случае других провайдеров нужно провести анализ трафика и настроить MikroTik соответствующим образом. А вообще, если провайдер блокирует "наглухо", стоит задуматься, почему этот провайдер осуществляет блокировку в большей степени, чем этого требует Роскомпозор и обрекает своих абонентов на дополнительные расходы и трудности, связанные с vpn и пр.

Безусловно, можно скачать выгрузки реестра, например здесь, обработать их, скормить в address-list, маркировать трафик и направлять его через VPN, но MikroTik позволяет сделать все гораздо проще и красивее. Подробнее об этом - здесь.
В случаях других провайдеров - нужно анализировать работу блокировок и создавать соответствующие правила. В принципе, согласно рекомендациям размещенных на сайте Роскомпозора, достаточно, чтобы блокировки работали для стандартной автоматической настройки абонентского оборудования при подключении к сети оператора. Самый простой способ блокировки, удовлетворяющий этим требованиям - подмена ип-адресов запрещенных ресурсов в ответах от DNS-сервера провайдера на ип-адрес заглушки. В этом случае, вы просто прописываете любой публичный днс-сервер (например, 8.8.8.8) в настройках сетевого интерфейса и все.
Если же ваш провайдер использует более изощренные способы блокировок - стоит задуматься о том, почему этот провайдер ограничивает своих пользователей в большей степени, чем того требует Роскомпозор. В случае с Ростелекомом все предельно просто - это аффилированная с государством структура, но даже там используют способ блокировки, для обхода которой необходимо чуть-чуть больше знаний о сетях, чем у пресловутого премьер-министра)

Очень похоже на то, что скрипты в /ppp profile отрабатывают только при переключениях состояний ppp-интерфейса disable/enable, а переключения состояний running/not running не запускают скрипты. Можно добавить ваш скрипт в /system script и назначить выполнение с нужным интервалом в /system scheduler.

В MikroTik hAP отсутствует встроенный динамик. Скорее всего, неверно указана модель роутера, либо аппаратная неисправность.

В RouterOS очень просто и гибко настраивается маршрутизация, помимо таблиц маршрутизации (Routes) есть правила маршрутизации (Rules), которые позволяют вертеть трафиком как угодно, а в сочетании с /ip firewall mangle можно маркировать трафик по всевозможным признакам для последующей маршрутизации.