korsar182

/ip firewall filter
add action=drop chain=forward dst-address-list=MY_ADDESS_LISt ipsec-policy=out,non

Используйте L2 vpn, например EoIP либо настройте в DHCP сервер WINS.

На сервере:

/ip ipsec mode-config
add address-pool=pool1 name=cfg1 split-include=192.168.63.0/24
/ip pool
add name=pool1 ranges=192.168.63.1-192.168.63.10
/ip address
add address=192.168.63.254/24 interface=bridge1 network=192.168.63.0
/ip ipsec identity
add generate-policy=port-strict mode-config=cfg1 peer=peer1 secret=123
/ip ipsec peer
add exchange-mode=ike2 name=peer1 passive=yes

Адрес сервера - 192.168.63.254

Но так никто не делает, используйте либо маршрутизацию на основе политик или транспортный режим с l2tp.

Используйте System - SNTP Client.

Вроде они вывели в прод

Кто Вам такое сказал? До прода ROS 7 еще оч. далеко.

https://forum.mikrotik.com/viewtopic.php?t=180831#...

Какие методы шифрования для Вас наиболее безопасные?
Из коробки Windows поддерживает aes256 и sha2, при желании можно настроить что-угодно с помощью Set-VpnConnectionIPsecConfiguration.

MTU для L2TP туннеля установите 1390.

На микротик1 добавить правила

/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.88.200 dst-port=37777 protocol=tcp
add action=dst-nat chain=dstnat dst-port=37777 in-interface-list=WAN protocol=tcp to-addresses=192.168.88.200 to-ports=37777

DHCP-client по дефолту слушает только ether1.
Вам нужно в IP - DHCP Client указать Interface, через который точка подключена к DHCP серверу.

Проверка не отозван ли сертификат происходит во время реаутентификации фазы 1. В микротике за это отвечает параметр Lifetime в Profiles. Но я не уверен, делает ли он реаутентификацию или рекеинг.

Такой возможности нет. Не указывайте pre shared key в настройках самого сервера, а создавайте подключение вручную.

Потому что Вы не указали DNS-сервер.

Добавьте правило

/ip firewall filter add chain=input action=accept protocol=udp dst-port=4500,1701 log=yes place-before=1

Настройте одновременную работу всех провайдеров и пропишите в DNS их А-записи, как сказали выше, это называется dns round-robin.

В общем случае использование динамической маршрутизации и скриптов - это стрельба с пушки по воробьям, всё можно сделать проще.
Например, по этой статье. И перелогиниваться никому не придется.

Это Вам лучше знать, справитесь Вы с циской, или нет, всё зависит от Вашего желания :)

https://mikrotik.com/products/group/wireless-for-h...