Valentin Barbolin

/ip firewall filter
add chain=forward src-address=178.10.10.90 dst-address=10.88.88.100 action=accept comment="Allow 178.10.10.90 to 10.88.88.100"
add chain=forward src-address=178.10.10.90 dst-address=10.88.88.0/24 action=drop comment="Drop rest of 10.88.88.0/24 for 178.10.10.90"
add chain=forward src-address=178.10.10.0/24 dst-address=10.88.88.0/24 action=accept

Надо помнить что правила имеет приоритет, и если правило выполняется, то последующие игнорируются.

Pref. Source – задается IP адрес, от которого будет отправлен пакет.

Advanced-> Dst.Address List: gpt

Ты не можеш заблокировать ресурс который находиться за CDN используя подход блокировки по dst.address.

В твоем случае единственный способ это блокировать по DNS. Чтобы люди не обходили DNS блокировки так же надо заблокировать DOH.

## Включаем DNS на микротике
/ip dns
set allow-remote-requests=yes


## Создаем записи для gpt домена
/ip dns static
add name="openai.com" address=127.0.0.1
add name="chat.openai.com" address=127.0.0.1
add name="platform.openai.com" address=127.0.0.1
add name="auth0.openai.com" address=127.0.0.1
add name="cdn.openai.com" address=127.0.0.1
add name="api.openai.com" address=127.0.0.1
add name="status.openai.com" address=127.0.0.1
add name="auth.openai.com" address=127.0.0.1
add name="help.openai.com" address=127.0.0.1
add name="chatgpt.com" address=127.0.0.1
add name="sora.com" address=127.0.0.1
add name="android.chat.openai.com" address=127.0.0.1
add name="operator.chatgpt.com" address=127.0.0.1
add name="ab.chatgpt.com" address=127.0.0.1


## Перехватываем запросы DNS от клиентов
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53 comment="Redirect all DNS to MikroTik"
add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53 comment="Redirect TCP DNS to MikroTik"


## Создаем записи для популярных DOH доменов
/ip dns static
add name="dns.google" address=127.0.0.1
add name="cloudflare-dns.com" address=127.0.0.1
add name="mozilla.cloudflare-dns.com" address=127.0.0.1
add name="dns.quad9.net" address=127.0.0.1
add name="doh.opendns.com" address=127.0.0.1
add name="dns.adguard.com" address=127.0.0.1

## Создаем адрес лист с популярными DOH доменами
/ip firewall address-list
add list=doh-block address=1.1.1.1 comment="Cloudflare"
add list=doh-block address=1.0.0.1
add list=doh-block address=8.8.8.8 comment="Google"
add list=doh-block address=8.8.4.4
add list=doh-block address=9.9.9.9 comment="Quad9"
add list=doh-block address=149.112.112.112
add list=doh-block address=94.140.14.14 comment="AdGuard"
add list=doh-block address=94.140.15.15

## Блокируем DOH по dst address
/ip firewall filter
add action=drop chain=forward dst-address-list=doh-block protocol=tcp dst-port=443 comment="Block DoH Providers"

## Блокируем DOH по SNI, не идеально но пуcть будет
/ip firewall layer7-protocol
add name=doh-https pattern="(dns\\.google|cloudflare-dns\\.com|dns\\.adguard\\.com|doh\\.opendns\\.com)"

/ip firewall filter
add action=drop chain=forward layer7-protocol=doh-https protocol=tcp dst-port=443 comment="Drop DoH via L7"

### Настройка MikroTik1

# Создание нового моста
/interface bridge
add name=bridge1 protocol-mode=none

# Добавление портов в новый мост
/interface bridge port
add bridge=bridge1 interface=ether1 # порт интернет
add bridge=bridge1 interface=ether2 # порт ПК

# Настройка VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2

# Активация VLAN фильтрации
/interface bridge
set bridge1 vlan-filtering=yes

# Установка PVID для access порта
/interface bridge port
set [find interface=ether2] pvid=100

### Настройка MikroTik2

# Создание нового моста
/interface bridge
add name=bridge1 protocol-mode=none

# Добавление портов в новый мост
/interface bridge port
add bridge=bridge1 interface=ether1 # порт интернет
add bridge=bridge1 interface=ether2 # порт ПК

# Настройка VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2

# Активация VLAN фильтрации
/interface bridge
set bridge1 vlan-filtering=yes

# Установка PVID для access порта
/interface bridge port
set [find interface=ether2] pvid=100


Так же надо перенести IP адрес интернет подключения с ether1 на bridge1 и добавить bridge1 
в интерфейс список WAN. В моем примере vlan 100, у тебя должен быть другой. 
В процессе у тебя может отвалится интернет, так что буть акуратнее и используй safe mode.

есть в локалке некоторое количество айпишников

Если DHCP то добавить в резервацию что бы адреса не менялись.

Создаем address-list из потерпевших

/ip firewall address-list
add list=allowed_ips address=192.168.1.100
add list=allowed_ips address=192.168.1.101

Добавляем правила в firewall

# Allow access to 1.1.1.1 for addresses in the 'allowed_ips' list
/ip firewall filter
add action=accept chain=forward src-address-list=allowed_ips dst-address=1.1.1.1 protocol=tcp comment="Allow access to 1.1.1.1"

# Block all other internet access for addresses in the 'allowed_ips' list
add action=drop chain=forward src-address-list=allowed_ips comment="Block all other access"

В новых шаблонах для zabbix уже реализована фильтрация в discovery ruls через макросы. Заходим в нужный discovery ruls -> filter и смотрим какие фильтры используются, можем так же выполнить Test этого rule что бы посмотреть какие значения какой переменной соответствуют.

Например на уровне хоста можно переопределить макрос (НЕ НА УРОВНЕ ТЕМПЛЕЙТА!!!!)
{$NET.IF.IFNAME.MATCHES} = ether1

если надо два интерфейсайса
{$NET.IF.IFNAME.MATCHES} = ether1|ether2

Не такой уж он и слабый для NAT, большенство домашних роутеров имеют схожие характеристики. С минимальным набором правил с NAT он справиться, а вот на VPN умрет. Хотя все таки это просчет, банально hap ac2 будет в разы лучше в качестве NAT, при это он стоит копейки. Я бы все таки продавил доп закупку.

Использовать виртуальный роутер это как стрелять себе в ногу, он обязательно в какой-то момент не запустится и удаленно этот вопрос решить не получиться.

Если сотрудников не много (до20). Как бы я сделал
Настроил бы на нем NAT с минимальными правилами и fasttrack, а если мне нужен VPN то поднял бы виртуалку и пробросил на нее нужные порты.

Если в микротик ничего не менялось, то скорее всего ограничение в firewall на стороне windows 10.

Deman1, Как уже написал Артем Кайбагоров, надо:

1. Cоздать еще один бридж (bridge-WAN)
2. Добавить ether1 в этот бридж
/interface/bridge/port/ add bridge=bridge-wan interface=ether1 pvid=10
/interface/bridge/vlan/ add bridge=bridge-wan tagged=ether3 untagged=ether1 vlan-ids=10
3. Переназначить с ether1 ip адрес на bridge-WAN
4. Включить фильтрацию
/interface/bridge/set bridge-wan vlan-filtering=yes

В таком случае трафик входящий в 1 порт будет тегом отдаваться на 3ем порту.
Потом в настройках proxmox -> ВМ -> network interface, указываем использовать 10 vlan.

IPsec может работать в туннельном и транспортном режиме, ты включил туннельный режим. При использовании gre не надо отдельно настраивать IPsec , достаточно в gre поставить галочку IPsec и задать пароль, правила IPsec создадутся динамически.

https://itblog.webdigg.org/695-how-to-import-ip-ad...

/import file-name=spamhaus.rsc;