vtitans

Мак адрес не участвует в мобильных сессиях. Менять необходимо IMEI, скажем на нулевой или какой то другой, как вариант от сломанного смартфона или GSM телефона. В случае с микротиком этого достаточно + change TTL конечно же. Проверенно все работает. У микротика на их LTE модемах (R11e к примеру) мак на всех одинаковой и по базам производителей он вообще не бьется, таким образом не понятно что это...

Мне, при работе с iPad 2, помогло: 2.4 Гц - одно имя , 5Гц - другое.
2.4 Band B/G
Frequency: auto
Country: Russia
Может и Вам поможет.

Адреса не нужно блокировать, это глупо т.к. они в любой момент могут поменяться, блокировать нужно хостнеймы целиком со всеми поддоменами. Anydesk блокируется запросто у меня регуляркой что-то типа
"^.*(rl.ammyy.com|www.ammyy.com|anydesk.com|итд).*\$"

И блокировать лучше с предварительными пометками в mangle с обращением на 53 порт tcp/udp - меньше нагрузка, чем проверять все пакеты по L7 прямо в filter. Что ещё важно это залочить использование любых днс кроме IP роутера. Некоторый софт умеет не смотреть в системные DNS а использовать свободные для определения IP нужного хоста.

У HikVision есть облачный сервис. Можно ничего и не пробрасывать, а роутер сконфигурировать через QuickSet станартно как CPE.

Нет.

Нет, поставленная задача решена - извне ничего не подключится. От слова совсем.

То есть:
- нет DNS на микротике
- нет обновлений
- нет VPN

ну то есть нет никакого трафика, приходящего снаружи в INPUT :) Примерно как "отрубить руку, обнаружив прыщ"

Отключите Ваше сверх-правило и сделайте что -то типа:

/ip service
set telnet disabled=yes
set ftp address=10.5.2.0/24 port=19701
set www disabled=yes
set ssh address=10.5.2.0/24
set www-ssl address=10.5.2.0/24 certificate="RB450G cert with key" disabled=no port=19703
set api disabled=yes
set winbox address=10.5.2.0/24
set api-ssl certificate="RB450G cert with key"

где вместо 10.5.2.0/24 ессно Ваша локалка и номера Ваших портов (хотя можете и эти оставить). Это отключит Вам telnet и http, закроет ssh, https и winbox. Кроме того ftp и https переместятся на порты 19701 и 19703 соответственно.