проблема с мостом из 2 RBLHG5nD

[TauRus_tj]

Здравствуйте, помогите пожалуйста, столкнулся с проблемой.

Описание оборудования и настроек:
2 RBLHG5nD настроены мостом, на обоих интерфейсы ether1 и wlan1 объедены в bridge1, сторона А - SFTP-кабель провайдера воткнут в ether1, далее соединение по wlan1 со стороной Б, ширина канала 50-70 Мб/с, далее на стороне Б SFTP-кабель с ether1 воткнут в роутер TP-link, соответственно TP-link разводит все по вайфаю и изернету.

Проблема:
Каждый вечер, вся полоса пропускания идет под полную завязку (ширина канала соединения 50-70 Мб/с) + CPU на модемах Микротика доходит до 100%, при отслеживании (torch) интерфейсов, выяснилось, что с IP xx.xxx.87.50 по протоколу ICMP на хх.хх.хх.хх (не помню) идет передача/прием во всю ширину канала. Я первым делом начал добавлять правила в фильтр фаервола по дропу это айпишника-не помогло, далее дроп по протоколу-не помогло, и так далее - ничего не помогает (ВСЕ НОВЫЕ ЗАПРЕЩАЮЩИЕ ПРАВИЛА СТАВИЛ ВЫШЕ РАЗРЕШАЮЩИХ). В чем может дело, как я могу заблокировать проскоки левых пакетов через мое оборудование? Заранее благодарю всех за ответы и помощь.

P.S. Общался с провайдером, они объясняют ситуацию тем, что в моей подсетке с этого айпишника после отключения его роутера(или какого-то оборудования), пакеты уходят в цикл, и начинается круговорот пакетов во всей подсетке.
Конфиг сторона А:

 

# nov/08/2016 10:09:41 by RouterOS 6.37.1
# software id = HML9-B46Q
#
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n channel-width=20/40mhz-Ce \
disabled=no frequency=**** mode=bridge nv2-preshared-key=******** \
nv2-security=enabled ssid=home_secure wireless-protocol=nv2 wps-mode=\
disabled
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=wlan1
/ip address
add address=xx.xxx.16.251/24 interface=bridge1 network=xx.xxx.16.0
/ip dns
set allow-remote-requests=yes servers=xx.xxx.86.9,xx.xxx.80.9
/ip firewall filter
add action=accept chain=input comment="Allow IGMP" protocol=igmp
add action=accept chain=forward protocol=igmp
add action=accept chain=input comment="Allow Ping" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment="Accept established connections" \
connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input comment="Accept related connections" \
connection-state=related
add action=accept chain=forward connection-state=related
add action=drop chain=input comment="Drop invalid connections" \
connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="Allow Bandwidth Test - TCP&UDP" \
dst-address=xx.xxx.16.251 in-interface=bridge1 protocol=tcp src-address=\
xx.xxx.16.252
add action=accept chain=input dst-address=xx.xxx.16.251 in-interface=bridge1 \
protocol=udp src-address=xx.xxx.16.252
add action=accept chain=input comment="Allow UDP" protocol=udp
add action=accept chain=forward protocol=udp
add action=accept chain=input comment=\
"Access to Mikrotik only from xx.xxx.86.0/24" src-address=xx.xxx.86.0/24
add action=accept chain=input comment=\
"Access to Mikrotik only from xx.xxx.87.0/24" src-address=xx.xxx.87.0/24
add action=drop chain=input comment="All other drop"
add action=drop chain=forward
/ip route
add distance=1 gateway=xx.xxx.16.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
add alternative-subnets=0.0.0.0/0 interface=wlan1
/system clock
set time-zone-name=Asia/Dushanbe
/system identity
set name=Side-A
/system ntp client
set enabled=yes primary-ntp=xx.xxx.86.142 secondary-ntp=xx.xxx.87.59
/system routerboard settings
set protected-routerboot=disabled
/system scheduler
add interval=1d name="EveryDay Reboot" on-event="/system reboot\r\
\ny" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=nov/07/2016 start-time=05:00:00
/system watchdog
set watch-address=xx.xxx.16.252

Конфиг сторона Б:

 

# nov/08/2016 10:15:36 by RouterOS 6.37.1
# software id = 1JJH-EY8B
#
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n channel-width=20/40mhz-Ce \
disabled=no frequency=auto mode=station-bridge nv2-preshared-key=\
******** nv2-security=enabled ssid=home_secure wireless-protocol=nv2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=wlan1
/ip address
add address=xx.xxx.16.252/24 interface=bridge1 network=xx.xxx.16.0
/ip firewall filter
add action=accept chain=input comment="Allow IGMP" protocol=igmp
add action=accept chain=forward protocol=igmp
add action=accept chain=input comment="Allow Ping" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment="Accept established connections" \
connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input comment="Accept related connections" \
connection-state=related
add action=accept chain=forward connection-state=related
add action=drop chain=input comment="Drop invalid connections" \
connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="Allow Bandwidth Test - TCP&UDP" \
dst-address=xx.xxx.16.252 in-interface=bridge1 protocol=tcp src-address=\
xx.xxx.16.251
add action=accept chain=input dst-address=xx.xxx.16.252 in-interface=bridge1 \
protocol=udp src-address=xx.xxx.16.251
add action=accept chain=input comment="Allow UDP" protocol=udp
add action=accept chain=forward protocol=udp
add action=accept chain=input comment=\
"Access to Mikrotik only from xx.xxx.86.0/24" src-address=xx.xxx.86.0/24
add action=accept chain=input comment=\
"Access to Mikrotik only from xx.xxx.87.0/24" src-address=xx.xxx.87.0/24
add action=drop chain=input comment="All other drop"
add action=drop chain=forward
/ip route
add distance=1 gateway=xx.xxx.16.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=wlan1 upstream=yes
add alternative-subnets=0.0.0.0/0 interface=ether1
/system clock
set time-zone-name=Etc/GMT-5
/system identity
set name=Side-B
/system ntp client
set enabled=yes primary-ntp=xx.xxx.86.142 secondary-ntp=xx.xxx.87.250
/system routerboard settings
set protected-routerboot=disabled
/system scheduler
add interval=1d name="EveryDay Reboot" on-event="/system reboot\r\
\ny" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=nov/07/2016 start-time=05:00:00
/system watchdog
set watch-address=xx.xxx.16.251

[gmx]

1. Ради эксперимента отключите мультикаст на одни сутки. Проблема будет повторятся?
2. Что за провайдер??? Подключите Интерактивное ТВ 2.0 от Ростелеком, оно не требует мультикаста и будет работать в сетях любого провайдера.
3. Заблокируйте снаружи порт 53 по UDP.

[TauRus_tj]

1. Ради эксперимента отключите мультикаст на одни сутки. Проблема будет повторятся?
2. Что за провайдер??? Подключите Интерактивное ТВ 2.0 от Ростелеком, оно не требует мультикаста и будет работать в сетях любого провайдера.
3. Заблокируйте снаружи порт 53 по UDP.

1) Мультикаст поставил после проблемы
2) Провайдер ttl.tj (Таджикистан) - Ростелеком не для нас)
3) Ок, сделаю, а что это даст? (чтоб иметь понятие для чего это, UDP Flood DNS?)

по 3 пункту на сторону А добавил правило:

 

8 ;;; Drop UDP Flood DNS
chain=input action=drop protocol=udp in-interface=bridge1 src-port=53 log=no log-prefix=""

....не помогло

[gmx]

А...

все сложнее...

Нужно больше инфы, запостите скрин с торха. Интересуют порты по которым идет максимальный трафик.

Ну и самое простое проверяли: вирусы, торренты в локальной сети??? Может и нет никакой проблемы???


Блокировка порта 53 - это блокировка к вам запросов от чужих DNS серверов. Они (серверы) обмениваются друг с другом постоянно. И могут создавать весьма сильную нагрузку. Проблема давно известна и легко лечится.

Поймите правильно, я просто гадаю, на основе личного опыта. То, что вам ответил провайдер - полная чушь, это просто отмазка. В конфигах ничего криминального нету. А дальше... мало инфы.

[gmx]

Так. Виноват.


Что то я плохо вчитался в ваши конфиги. Авторизация у вас где? На TP-Link????
Или ее вообще у этого провайдера нету авторизации???

Нужна более подробная схема сети.

Где у вас NAT или его тоже нету?

[TauRus_tj]

А...

все сложнее...

Нужно больше инфы, запостите скрин с торха. Интересуют порты по которым идет максимальный трафик.

Ну и самое простое проверяли: вирусы, торренты в локальной сети??? Может и нет никакой проблемы???

Локалку полностью отключал, содился напрямую к Микротикам через свой ноут (ноут чистый, лицуха есет энд пойнт и т.п.)
Скрин только вечером могу скинуть, постараюсь в течении дня. На микротики не зайдешь в период загрузки ЦП на 100%, и торх также пишет бэд айди...
Я когда вчера снифил торхом, там был протокол ICMP, порт не помню(

[TauRus_tj]

Так. Виноват.


Что то я плохо вчитался в ваши конфиги. Авторизация у вас где? На TP-Link????
Или ее вообще у этого провайдера нету авторизации???

Нужна более подробная схема сети.

Где у вас NAT или его тоже нету?

Авторизация по ай-пи и мак-адресу, завязано на ТП линк, микротики получаются у меня сквозные.

[gmx]

Есть предложение: все это сделать более упорядоченным.
Авторизация и NAT в микротике А (мак можно подменить на такой же как в TP-link), а затем все остальные устройства сети уже на NAT с вашими локальными адресами и так далее.

Только в этом случае можно будет точно видеть в торх адрес источника.

[TauRus_tj]

Есть предложение: все это сделать более упорядоченным.
Авторизация и NAT в микротике А (мак можно подменить на такой же как в TP-link), а затем все остальные устройства сети уже на NAT с вашими локальными адресами и так далее.

Только в этом случае можно будет точно видеть в торх адрес источника.

В принципе идея хорошая, я просто никогда так не пробовал.

Получается я на Стороне А зашиваю конфиг типа этого: (вырвал из др.роутера, настраивал на работе, подправил под себя)

 

/interface ethernet
set [ find default-name=ether1 ] name=wan
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n channel-width=20/40mhz-Ce \
disabled=no frequency=**** mode=bridge nv2-preshared-key=******** \
nv2-security=enabled ssid=home_secure wireless-protocol=nv2 wps-mode=\
disabled
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=lan-dhcp ranges=192.168.11.100-192.168.11.253
/ip dhcp-server
add add-arp=yes address-pool=lan-dhcp always-broadcast=yes authoritative=yes \
disabled=no interface=wlan1 lease-time=1w name=default
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=\
yes
/interface sstp-server server
set enabled=yes
/ip address
add address=**.***.87.250/16 interface=wan network=**.**.87.240
add address=192.168.11.1/24 interface=wlan1 network=192.168.11.0
/ip dhcp-server network
add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1
/ip dns
set allow-remote-requests=yes servers=**.***.86.9,**.***.80.9
/ip firewall address-list
add address=192.168.11.0/24 list=LAN
/ip firewall filter
add action=drop chain=forward comment="Block Any UnknownTrafic" dst-address=\
176.0.0.0/8 log=yes src-address=192.168.10.105-192.168.10.199
add action=drop chain=forward dst-address=204.79.195.0/24 src-address=\
192.168.10.105-192.168.10.199
add action=drop chain=forward dst-address=204.79.196.0/23 src-address=\
192.168.10.105-192.168.10.199
add action=drop chain=forward dst-address=52.192.0.0/11 src-address=\
192.168.10.105-192.168.10.199
add action=drop chain=forward comment="Block BROWSEC" dst-address=\
198.211.96.0/19 src-address=192.168.0.1-192.168.20.254
add action=drop chain=forward dst-address=188.226.192.0/18 src-address=\
192.168.0.1-192.168.20.254
add action=drop chain=forward dst-address=188.226.128.0/18 src-address=\
192.168.0.1-192.168.20.254
add action=drop chain=forward dst-address=188.166.0.0/17 src-address=\
192.168.0.1-192.168.20.254
add action=drop chain=forward dst-address=178.62.128.0/17 src-address=\
192.168.0.1-192.168.20.254
add action=drop chain=forward dst-address=128.199.0.0/16 src-address=\
192.168.0.1-192.168.20.254
add action=drop chain=forward dst-address=95.85.32.0/21 src-address=\
192.168.0.1-192.168.20.254
add action=drop chain=forward dst-address=82.196.8.0/21 src-address=\
192.168.0.1-192.168.20.254
add action=drop chain=forward dst-address=82.196.0.0/21 src-address=\
192.168.0.1-192.168.20.254
add action=drop chain=forward dst-address=80.240.128.0/20 src-address=\
192.168.0.1-192.168.20.254
add action=accept chain=input comment="Alow VPN port 1723" dst-address=\
**.***.87.250 dst-port=1723 in-interface=wan protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=forward comment="Allow access to internet - VPN" \
in-interface=all-ppp out-interface=wan
add action=accept chain=forward comment=" Allow access to local - VPN" \
connection-state="" in-interface=all-ppp out-interface=bridge-local
add action=accept chain=input comment="Accept WinBox - 8291" dst-port=8291 \
protocol=tcp
add action=accept chain=input comment="Allow Ping" protocol=icmp src-address=\
**.***.87.0/24
add action=drop chain=input comment="Drop Ping from others" protocol=icmp
add action=accept chain=input comment="Accept established connections" \
connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input comment="Accept related connections" \
connection-state=related
add action=accept chain=forward connection-state=related
add action=drop chain=input comment="Drop UDP Flood DNS" in-interface=ether1 \
protocol=udp src-port=53
add action=drop chain=input comment="Drop invalid connections" \
connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="Access to router only from LocalNET" \
src-address=192.168.11.0/24
add action=accept chain=input comment="Allow UDP" protocol=udp
add action=accept chain=forward protocol=udp
add action=accept chain=forward comment=\
"Access to Internet from local network" src-address=192.168.11.0/24
add action=drop chain=input comment="All other drop"
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat comment=MASQUERADE out-interface=wan
/ip route
add comment=isp distance=1 gateway=**.***.87.141
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=\
**.***.86.142/32,**.***.87.59/32,192.168.11.100/32,192.168.11.200/32
set api disabled=yes
set winbox address=\
**.***.86.142/32,**.***.87.59/32,192.168.11.100/32,192.168.11.200/32
set api-ssl disabled=yes
/ppp secret
add local-address=192.168.11.1 name=***** password=******** profile=\
default-encryption remote-address=192.168.11.200 service=pptp
/system clock
set time-zone-name=Asia/Dushanbe
/system identity
set name=InternetRouter
/system ntp client
set enabled=yes primary-ntp=**.***.87.59 secondary-ntp=**.***.86.142
/system ntp server
set broadcast=yes broadcast-addresses=**.***.87.250 enabled=yes multicast=yes
/system routerboard settings
set init-delay=0s
/system scheduler
add comment="BACKUP for sending by e-mail" interval=3d name=Backup on-event="{\
\r\
\n:log info \"Starting Backup Script...\";\r\
\n:local sysname [/system identity get name];\r\
\n:local sysver [/system package get system version];\r\
\n:log info \"Flushing DNS cache...\";\r\
\n/ip dns cache flush;\r\
\n:delay 2;\r\
\n:log info \"Deleting last Backups...\";\r\
\n:foreach i in=[/file find] do={:if ([:typeof [:find [/file get \$i name]\
\_\\\r\
\n\"\$sysname-backup-\"]]!=\"nil\") do={/file remove \$i}};\r\
\n:delay 2;\r\
\n:local smtpserv [:resolve \"smtp.yandex.ru\"];\r\
\n:local Eaccount \"*****@********.tj\";\r\
\n:local pass \"********\";\r\
\n:local backupfile (\"\$sysname-backup-\" . \\\r\
\n[:pick [/system clock get date] 7 11] . [:pick [/system \\\r\
\nclock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".backup\
\");\r\
\n:log info \"Creating new Full Backup file...\";\r\
\n/system backup save name=\$backupfile;\r\
\n:delay 2;\r\
\n:log info \"Sending Full Backup file via E-mail...\";\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \
\\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes file=\$backupfile\
\_\\\r\
\nsubject=(\"\$sysname Full Backup (\" . [/system clock get date] . \")\")\
\_\\\r\
\nbody=(\"\$sysname full Backup file see in attachment.\\nRouterOS version\
: \\\r\
\n\$sysver\\nTime and Date stamp: \" . [/system clock get time] . \" \" . \
\\\r\
\n[/system clock get date]);\r\
\n:delay 5;\r\
\n:local exportfile (\"\$sysname-backup-\" . \\\r\
\n[:pick [/system clock get date] 7 11] . [:pick [/system \\\r\
\nclock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".rsc\");\
\r\
\n:log info \"Creating new Setup Script file...\";\r\
\n/export verbose file=\$exportfile;\r\
\n:delay 2;\r\
\n:log info \"Sending Setup Script file via E-mail...\";\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \
\\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes file=\$exportfile\
\_\\\r\
\nsubject=(\"\$sysname Setup Script Backup (\" . [/system clock get date] \
. \\\r\
\n\")\") body=(\"\$sysname Setup Script file see in attachment.\\nRouterOS\
\_\\\r\
\nversion: \$sysver\\nTime and Date stamp: \" . [/system clock get time] .\
\_\" \\\r\
\n\" . [/system clock get date]);\r\
\n:delay 5;\r\
\n:log info \"All System Backups emailed successfully.\\nBackuping complet\
ed.\";\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
add comment="UPDATE time from Cloud every 2 hours" interval=2h name=\
"TIME UPDATE" on-event="{\r\
\n:log info \"Starting TIME UPDATE Script...\";\r\
\n/system ntp client set enable=no;\r\
\n:delay 5;\r\
\n:log info \"Updating time from cloud...\";\r\
\n/ip cloud force-update;\r\
\n:delay 20;\r\
\n/system ntp client set enable=yes;\r\
\n:log info \"Time updated.\";\r\
\n:delay 3;\r\
\nsystem ntp client set enable=no;\r\
\n:delay 3\r\
\nsystem ntp client set enable=yes\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
add comment="BACKUP after REBOOT" name="Backup (reboot)" on-event="{\r\
\n:delay 60;\r\
\n:log info \"Starting Backup Script...\";\r\
\n:local sysname [/system identity get name];\r\
\n:local sysver [/system package get system version];\r\
\n:log info \"Flushing DNS cache...\";\r\
\n/ip dns cache flush;\r\
\n:delay 2;\r\
\n:log info \"Deleting last Backups...\";\r\
\n:foreach i in=[/file find] do={:if ([:typeof [:find [/file get \$i name]\
\_\\\r\
\n\"\$sysname-backup-\"]]!=\"nil\") do={/file remove \$i}};\r\
\n:delay 2;\r\
\n:local smtpserv [:resolve \"smtp.yandex.ru\"];\r\
\n:local Eaccount \"*****@********\";\r\
\n:local pass \"********\";\r\
\n:local backupfile (\"\$sysname-backup-\" . \\\r\
\n[:pick [/system clock get date] 7 11] . [:pick [/system \\\r\
\nclock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".backup\
\");\r\
\n:log info \"Creating new Full Backup file...\";\r\
\n/system backup save name=\$backupfile;\r\
\n:delay 2;\r\
\n:log info \"Sending Full Backup file via E-mail...\";\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \
\\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes file=\$backupfile\
\_\\\r\
\nsubject=(\"\$sysname Full Backup (\" . [/system clock get date] . \")\")\
\_\\\r\
\nbody=(\"\$sysname full Backup file see in attachment.\\nRouterOS version\
: \\\r\
\n\$sysver\\nTime and Date stamp: \" . [/system clock get time] . \" \" . \
\\\r\
\n[/system clock get date]);\r\
\n:delay 5;\r\
\n:local exportfile (\"\$sysname-backup-\" . \\\r\
\n[:pick [/system clock get date] 7 11] . [:pick [/system \\\r\
\nclock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".rsc\");\
\r\
\n:log info \"Creating new Setup Script file...\";\r\
\n/export verbose file=\$exportfile;\r\
\n:delay 2;\r\
\n:log info \"Sending Setup Script file via E-mail...\";\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \
\\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes file=\$exportfile\
\_\\\r\
\nsubject=(\"\$sysname Setup Script Backup (\" . [/system clock get date] \
. \\\r\
\n\")\") body=(\"\$sysname Setup Script file see in attachment.\\nRouterOS\
\_\\\r\
\nversion: \$sysver\\nTime and Date stamp: \" . [/system clock get time] .\
\_\" \\\r\
\n\" . [/system clock get date]);\r\
\n:delay 5;\r\
\n:log info \"All System Backups emailed successfully.\\nBackuping complet\
ed.\";\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
add comment="UPDATE time from Cloud after REBOOT" name="Update (reboot)" \
on-event="{\r\
\n:delay 20;\r\
\n:log info \"Starting TIME UPDATE Script...\";\r\
\n/system ntp client set enable=no;\r\
\n:delay 5;\r\
\n:log info \"Updating time from cloud...\";\r\
\n/ip cloud force-update;\r\
\n:delay 20;\r\
\n/system ntp client set enable=yes;\r\
\n:log info \"Time updated.\";\r\
\n:delay 3;\r\
\nsystem ntp client set enable=no;\r\
\n:delay 3\r\
\nsystem ntp client set enable=yes\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
/tool graphing interface
add allow-address=192.168.11.100/32
add allow-address=192.168.11.200/32
/tool graphing queue
add allow-address=192.168.11.100/32
add allow-address=192.168.11.200/32
/tool graphing resource
add allow-address=192.168.11.100/32
add allow-address=192.168.11.200/32
/tool romon port
add

Вопрос: я нигде не накосячил? А то маршрутизаторы на крыше стоят)
Также настройки стороны Б остаются прежними, кроме ай-пи адреса? Включить на нем DHCP-клиент?
ТП линк сделаю сквозным, уберу с него DHCP, чтобы адреса раздавала сторона А, я все правильно описал?

[gmx]

Пожалуйста, уберите ВСЕ из IP-Firewall-Filters.
Сюда нужно добавлять правила, которые действительно нужны, а не все подряд, что где-то увидели.

B шедулере очень длинный скрипт, он вам нужен???
Ограничения доступа к www, winbox - это тоже так нужно, или это все хвосты???
Графические интерфейсы тоже нужны???

По поводу стороны Б все верно, dhcp клиент можно не включать, все настройте вручную.