satoo

• повесить dhcp на конкретный интерфейс (если есть такая возможность - не указан используемый dhcp сервер)
  
• блокировать udp 67 из интерфейса vpn. 100% гарантия на любом интерфейсе
  

Если не вдаваться в подробности, для чего автору это надо, то можно

• По dhcp выдавать разные dns-сервера

  ip dhcp-server network add address=x.x.x.x/32 dns-server=8.8.8.8 gateway=y.y.y.y

  
  
• Выдать одинаковые dns-сервера, но в нате на анализе источника перекидываеть на нужный сервер
  
  

Смысл работы с вланами через свитч-чип это "анализировать не процом содержимое влана пришедшего кадра". Т.е. прилетел кадр в первый порт с 10 вланом. По таблице коммутации его надо отправить в 3й и 5й порт. Этот анализ проходит на свитч-чипе, что дает wire-speed для коммутации. Разные свитч-чипы имеют разные аппаратные возможности по анализу и модификации кадров. Для выяснения возможностей надо смотреть на документацию, например на https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_.... Желательно смотреть на оригинал, а не на перевод, который может быть корявым или не полным, т.к. оригинальная статья может быть исправлена/дополнена, а перевод - нет.

Для пересылки кадра из одного влана (уровень L2) в другой на основе ip адреса (а это уже L3) данному чипу микротика нужно задействовать проц. Как правильно сказал Mystray, для этого нужно в такой влан добавить cpu (т.е. если проц не имеет доступа к какому-то влану, то микротик ничего* не может сделать с пакетами из такого влана - маршрутизация, firewall).

К слову, использование свитч-чипа дает хорошую разгрузку процессору маршрутизатора. Большинство советов в интернете по вланам в микротиках идет на более универсальной, "понятной" системе бриджей, что дает значительно большую нагрузку на проц.

Попробуйте свитч-чип, как минимум посмотрите на разницу в скорости, нагрузке. Знания карман не тянут, а повышение производительности на основании знаний аппаратных платформ - показатель сетевика (хоть циски, хоть хп, хоть чего)

имхо.
Если про микротик говорить, как о маршрутизаторе, то у железки нет понятия количества пользователей, зато есть пропускная способность (понятно, что сферический конь в вакууме, но для сравнения подойдет) - Ethernet test results (Routing 25 ip filter rules 31.0 Mbps при размере 64 байта). Т.е. в самом худшем случае, при 25 правил и маленьком размере пакета проц канал не зарежет. НО! при использовании очередей, без fastpath может быть и худо.

А вот про wifi и дополнительные unifi тарелки... Как раз-таки самая проблема будет в wifi и засоренности эфира. Опять-таки, на обычном оборудовании (без контроллеров) считается, больше 10-15 устройств на точку лучше не вешать (если мы говорим о точке b/g/n без mimo). Но, конечно, все зависит от типа траффика и активности клиентов. Кроме того, не забываем, что если на точку кто-то подключится по b|g или с убитой антенной (встречается) или находится очень далеко, но ведет передачу, то плохо будет всем пользователям на точке.

Как решение - побольше точек в 5Гц диапазоне (он более чистый), включении на 2,4Гц только стандарта N, на микротиках отключение пользователей при низком уровне сигнала.

Есть стандартная возможность вызывать скрипт при выделении адреса (т.е. это поможет, если устройство не имеет статики). Примеров - море. Пример, например ;)

1. Бесшовный роуминг как понятие отсутствует в стандарте wifi. Каждый производитель решает данную задачу по-своему
2. Микротик имеет возможность настройки по сбрасыванию клиента, когда уровень его сигнала ниже заданного, что решает следующую стандартную ситуацию:

• wifi клиент держится за точку "до конца";
  
• "конец", зачастую, означает крайне низкий уровень сигнала, когда даже пользователь видит, что часть пакетов теряется, но на канальном уровне линк еще висит. Как в телефоне, значок "Е" горит, но интернета уже нет (это уже не интернет :))
  
  

Сбрасывание клиента, у которого уровень сигнала ниже заданного приводит:

• к переподключению клиента к ssid аналогичному последнему;
  
• при наличии точки, вещающей аналогчиный ssid выбирается точка с большим уровнем сигнала;
  
• таким образом происходит "роуминг" клиента микротика - мы сбрасываем клиента и заставляем его найти точку с большим уровнем сигнала в то время, когда беспроводной линк еще "живой", но уже начинает "лагать"
  

Мы проектировали сеть на микротиках так, что копирование файла, при перемещении между точками доступа не прерывалось (голос и пр - аналогично). Но, вообще, никто не сможет гарантировать полное отсутствие потерь пакетов при переходе между точками - нет единого стандарта.

ЗЫЖ в качестве аллегории wifi можно описать так: точка доступа - комната, абоненты - люди разговаривающие в комнате. Есть правило: в комнате может разговаривать в одно время только один человек.

Если комната большая, то возможна ситуация, когда человек, находящийся в дальнем конце комнаты не слышит, что кто-то уже говорит и начинает сам говорить. Через какое-то время все понимают, что правило нарушено и замолкают. Затем ситуация может повториться (из-за тугого уха - не чувствительный приемник, из-за шепелявого говора - плохого тракта на передачу или на прием) - в итоге скорость сети будет падать.

Все wifi репитеры, которые слушают wifi и его повторяют есть зло, т.к. в таком случае в конце комнаты стоит другой человек который повторяет каждой комнате то, что слышит в другой (причем он повторяет все - и глухих и шепелявых). Из-за этого резко возрастает количество коллизий - нарушения правила - в одно время вещает только одно устройство.

ИТОГ: для увеличения покрытия зоны wifi правильно использовать только провод.

возможно, лучше всего подойдет SRP

Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с установкой adware, spyware и прочей мути в профиль пользователя и еще от ряда неприятностей.

В общем смысле - забираете права администратора (без этого ничего не поможет) и разрешаете запуск программ только в определенных каталогах (%ProgramW6432%, %ProgramFiles%, %windir%). Так же можно разрешить запуск программы по ее контрольной сумме (чтоб не подменили легальное на "левое" в доступном на запись каталоге).

Т.к. пользователь без прав администратора туда ничего записать не может - зловреды там не окажутся. Все файлы, приходящие по почте под видом картинок, но имеющие исполняемые расширения не запустятся. От макровирусов (если кто еще о них помнит) это не сбережет, но от дропперов крипровирусов - на 98% поможет (и лучше всякого антивируса). Так же поможет от установки/использования "левого" и переносимого ПО (и всяких там меилрушечных и прочих программ, не требующих прав администратора и устанавливающихся в каталог пользователя)

какова цель этого правила? в мангл надо что-то прописывать когда хочется чего-то "хитрого". Остальное, обычно, решается или в фильтре или в нате

1. покажите с двух микротиков:
/ip route export
/ip firewall export
2. для маршрутизации вы можете указать в качестве адреса шлюза такой адрес, до которого маршрутизатор имеет непосредственный доступ
3. сквид может до 192.168.77.0/24 подсети ходить?

А во-вторых, и это самое главное, при подключении через вафлю теряются пакеты, тупят страницы, повреждаются картинки (прям открываешь кеш хрома - а картинка в пикселях, наполовину обрезана, etc), появляются какие-то ошибки, некоторые сайты тупо не грузятся,

очень похоже на проблему с MTU. Может наложилось две проблемы - MTU + WiFi?

Кроме того, можно посмотреть на скорость самого вайфая, убрав микротик туда, где эфир чист и воспользоваться внутренним измерителем канала на микротике (ответную часть для компа взять с сайта)

Теряются ли пакеты рядом с микротиком? Такого быть не должно при любом эфире. Если пакеты теряются, то сбросьте настройки вайфая и проверьте снова. Если продолжают теряться - возможно проблема в самом модуле wifi

1. поставить маршрутизатор, в него завести два интернета - проводной (интернет с общаги) и беспроводной (на телефоне поднять точку доступа, а с маршрутизатора подключиться к ней). а дальше рулить маршрутизатором - в зависимости от порта назначения выбирать интернет. в качестве маршрутизатора подойдет или микротик или что-то на базе openwrt (и его клонов). как результат, на роутере можно получить "итоговый" как проводной, так и беспроводной интернет.

2. поднять где-то в "вольной сети" ovpn на 443 порту. если анализа траффика нет, то может сработать ;)

1. как уже сказали - firewall
2. в свойствах подключения, на вкладке сетевой адаптер можно выбрать не "все сетевые адаптеры настроены для данного протокола", а только нужный

делаете бридж и назначаете ему адрес

вам, скорее всего, нужно идти от обратного. на самом микротике создать подинтерфейс и пробросить его в виртуалку.

сравните, похоже ошибочка в интерфейсах

set nat source rule 10 source address 10.0.100.3
set nat source rule 10 outbound-interface eth2
set nat source rule 10 translation address 120.13.123.123

set nat destination rule 10 inbound-interface eth2
set nat destination rule 10 destination address 120.13.123.123
set nat destination rule 10 translation address 10.0.100.3

если "для образования" - это для учебного учреждения, то можно это. 800 рублей в год на сеть это, имхо, "бесплатно"

1. если вы хотите отслеживать запущенные программы (не команды интерпретатора, например dir), то стандартно - через аудит, а далее через журналы операционной системы
2. если вы хотите журналировать введенные команды, то смотрите, например, это
надо понимать, что в линухах это функция шелла. cmd изначально это не умеет

ps. можно посмотреть в сторону doskey /history (не совсем понятна сама задача - смотреть что ТЫ запускал, или кто-то другой. и вообще, от чего защищаемся не понятно)