Настройка MikroTik для Билайн — L2TP и IPTV

Билайн (ранее Corbina Telecom) использует для подключения к интернету туннельный протокол L2TP — в отличие от большинства провайдеров, которые работают через PPPoE. Это создаёт особенности в настройке маршрутизации и требует дополнительных статических маршрутов. В этом руководстве разберём подключение MikroTik к сети Билайн, настройку L2TP-клиента, маршрутизацию, IPTV и решение типичных проблем.

Инструкция актуальна для RouterOS 7.20+ и подходит для моделей hAP ax2, hAP ax3, RB5009, hEX S, hAP ac2 и других устройств MikroTik.

Описание схемы подключения Билайн

Схема подключения Билайн принципиально отличается от PPPoE-провайдеров:

1. MikroTik получает IP-адрес по DHCP на порту ether1 (WAN) — это адрес из внутренней сети Билайн (обычно 10.x.x.x)
2. Через полученный IP устанавливается L2TP-туннель к серверу tp.internet.beeline.ru
3. Внутри L2TP-туннеля происходит авторизация по логину и паролю
4. Через L2TP-туннель идёт весь интернет-трафик
5. Локальные ресурсы Билайн (IPTV, внутренние сервисы) доступны напрямую через DHCP-подключение, минуя L2TP

Физическая схема:

code
Копировать
Свитч Билайн → ether1 (WAN) → MikroTik → bridge-LAN → компьютеры, Wi-Fi
                                        → ether5 (IPTV STB)

Ключевая сложность: необходимо правильно настроить маршрутизацию — L2TP-сервер должен быть доступен через DHCP-шлюз, а весь остальной трафик — через L2TP-туннель.

Настройка L2TP-подключения

Шаг 1: Сброс конфигурации

[admin@MikroTik] >
Копировать
/system/reset-configuration no-defaults=yes skip-backup=yes

Шаг 2: Создание Bridge для LAN

[admin@MikroTik] >
Копировать
/interface/bridge add name=bridge-LAN
/interface/bridge/port
  add bridge=bridge-LAN interface=ether2
  add bridge=bridge-LAN interface=ether3
  add bridge=bridge-LAN interface=ether4

Шаг 3: IP-адрес и DHCP-сервер для LAN

[admin@MikroTik] >
Копировать
/ip/address add address=192.168.88.1/24 interface=bridge-LAN
/ip/pool add name=pool-LAN ranges=192.168.88.10-192.168.88.254
/ip/dhcp-server add name=dhcp-LAN interface=bridge-LAN address-pool=pool-LAN
/ip/dhcp-server/network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1

Шаг 4: DHCP-клиент на WAN (ether1)

Билайн выдаёт IP-адрес по DHCP. Важно: не добавляйте маршрут по умолчанию через DHCP — он должен идти через L2TP:

[admin@MikroTik] >
Копировать
/ip/dhcp-client add interface=ether1 add-default-route=no disabled=no

Шаг 5: L2TP-клиент

Создайте L2TP-подключение к серверу Билайн:

[admin@MikroTik] >
Копировать
/interface/l2tp-client add name=l2tp-beeline \
  connect-to=tp.internet.beeline.ru \
  user="089XXXXXXX" password="ваш_пароль" \
  add-default-route=yes \
  max-mtu=1460 max-mru=1460 \
  allow=mschap2 \
  disabled=no

Параметры:

• connect-to — сервер Билайн tp.internet.beeline.ru
• user — логин (обычно номер договора, начинается с 089)
• password — пароль из договора или личного кабинета
• max-mtu=1460 — MTU для L2TP (1500 - 40 байт заголовков L2TP/UDP)
• allow=mschap2 — метод аутентификации, используемый Билайном
• add-default-route=yes — маршрут по умолчанию через L2TP-туннель

Шаг 6: Статический маршрут к L2TP-серверу

Это ключевой момент. L2TP-сервер должен быть доступен через DHCP-шлюз Билайна, а не через сам L2TP-туннель (иначе возникнет петля маршрутизации).

Сначала определите шлюз, полученный от Билайн:

[admin@MikroTik] >
Копировать
/ip/dhcp-client print detail

Запишите значение gateway. Затем добавьте маршрут:

[admin@MikroTik] >
Копировать
/ip/route add dst-address=85.21.0.0/16 gateway=<dhcp-gateway> comment="Beeline L2TP server"
/ip/route add dst-address=213.234.192.0/18 gateway=<dhcp-gateway> comment="Beeline L2TP server"

Эти подсети покрывают серверы tp.internet.beeline.ru. Можно вместо подсетей использовать конкретный IP, но подсети надёжнее при смене серверов.

Автоматизация через скрипт DHCP-клиента:

Чтобы маршрут обновлялся автоматически при смене шлюза, используйте скрипт DHCP-клиента:

[admin@MikroTik] >
Копировать
/ip/dhcp-client set [find interface=ether1] script=":local gw \$\"gateway-address\"\r\n\
/ip/route remove [find comment=\"auto-beeline-l2tp\"]\r\n\
/ip/route add dst-address=85.21.0.0/16 gateway=\$gw comment=\"auto-beeline-l2tp\"\r\n\
/ip/route add dst-address=213.234.192.0/18 gateway=\$gw comment=\"auto-beeline-l2tp\""

Шаг 7: Маршруты для внутренних ресурсов Билайн

Локальные ресурсы Билайн (IPTV, пиринг, внутренние сервисы) доступны через DHCP-шлюз, а не через L2TP. Добавьте маршруты:

[admin@MikroTik] >
Копировать
/ip/route
  add dst-address=10.0.0.0/8 gateway=<dhcp-gateway> comment="Beeline local"
  add dst-address=85.21.0.0/16 gateway=<dhcp-gateway> comment="Beeline local"
  add dst-address=213.234.192.0/18 gateway=<dhcp-gateway> comment="Beeline local"

Подсеть 10.0.0.0/8 — внутренняя сеть Билайн, через которую доступны IPTV и другие локальные ресурсы.

Шаг 8: DNS

[admin@MikroTik] >
Копировать
/ip/dns set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8

Шаг 9: NAT

NAT нужен на L2TP-интерфейсе (для интернета) и на WAN-интерфейсе (для локальных ресурсов Билайн):

[admin@MikroTik] >
Копировать
/ip/firewall/nat
  add chain=srcnat out-interface=l2tp-beeline action=masquerade
  add chain=srcnat out-interface=ether1 action=masquerade

Шаг 10: Базовый Firewall

[admin@MikroTik] >
Копировать
/ip/firewall/filter
  add chain=input connection-state=established,related action=accept
  add chain=input connection-state=invalid action=drop
  add chain=input in-interface=l2tp-beeline action=drop
  add chain=input in-interface=ether1 protocol=udp dst-port=68 action=accept comment="Allow DHCP"
  add chain=input in-interface=ether1 action=drop
  add chain=forward connection-state=established,related action=accept
  add chain=forward connection-state=invalid action=drop
  add chain=forward in-interface=l2tp-beeline connection-state=new action=drop
  add chain=forward in-interface=ether1 connection-state=new action=drop

Настройка MSS Clamping для L2TP

Из-за заголовков L2TP MTU уменьшается, и необходимо настроить TCP MSS Clamping:

[admin@MikroTik] >
Копировать
/ip/firewall/mangle
  add chain=forward in-interface=l2tp-beeline protocol=tcp \
    tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes
  add chain=forward out-interface=l2tp-beeline protocol=tcp \
    tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes

Настройка IPTV Билайн

IPTV Билайна работает через multicast во внутренней сети (10.0.0.0/8). Трафик идёт не через L2TP-туннель, а напрямую через DHCP-подключение.

Шаг 1: IGMP Proxy

[admin@MikroTik] >
Копировать
/routing/igmp-proxy/interface
  add interface=ether1 upstream=yes
  add interface=bridge-LAN upstream=no

Если ТВ-приставка подключена к отдельному порту:

[admin@MikroTik] >
Копировать
/routing/igmp-proxy/interface
  add interface=ether5 upstream=no

Шаг 2: Маршрут для multicast

Multicast-трафик должен идти через ether1 (DHCP-подключение), а не через L2TP:

[admin@MikroTik] >
Копировать
/ip/route add dst-address=224.0.0.0/4 gateway=<dhcp-gateway> comment="Multicast via Beeline local"

Шаг 3: Firewall для multicast

Добавьте правила до запрещающих:

[admin@MikroTik] >
Копировать
/ip/firewall/filter
  add chain=input protocol=igmp action=accept place-before=0 comment="Allow IGMP"
  add chain=input dst-address=224.0.0.0/4 action=accept place-before=1 comment="Allow Multicast"
  add chain=forward protocol=igmp action=accept place-before=0 comment="Forward IGMP"
  add chain=forward dst-address=224.0.0.0/4 action=accept place-before=1 comment="Forward Multicast"
  add chain=forward protocol=udp dst-address=224.0.0.0/4 action=accept place-before=2 comment="Forward Multicast UDP"

Шаг 4: IGMP Snooping (рекомендуется)

[admin@MikroTik] >
Копировать
/interface/bridge set bridge-LAN igmp-snooping=yes

Настройка Wi-Fi

[admin@MikroTik] >
Копировать
/interface/wifi/security
  add name=sec-home authentication-types=wpa2-psk,wpa3-psk \
    passphrase="ВашПарольWiFi"

/interface/wifi
  set wifi1 configuration.ssid="Home-WiFi" security=sec-home \
    configuration.country=Russia disabled=no
  set wifi2 configuration.ssid="Home-WiFi" security=sec-home \
    configuration.country=Russia disabled=no

/interface/bridge/port
  add bridge=bridge-LAN interface=wifi1
  add bridge=bridge-LAN interface=wifi2

Проверка работоспособности

Проверка DHCP

[admin@MikroTik] >
Копировать
/ip/dhcp-client print detail

Убедитесь, что статус status=bound, получен IP из подсети 10.x.x.x и шлюз.

Проверка L2TP-соединения

[admin@MikroTik] >
Копировать
/interface/l2tp-client print detail

Статус должен быть status=connected. Если disconnected — проверьте логин/пароль и маршрут до L2TP-сервера.

[admin@MikroTik] >
Копировать
/interface/l2tp-client monitor l2tp-beeline once

Проверка маршрутов

[admin@MikroTik] >
Копировать
/ip/route print where active

Должны быть:

• 0.0.0.0/0 через l2tp-beeline — маршрут по умолчанию (интернет)
• 10.0.0.0/8 через DHCP-шлюз — внутренние ресурсы Билайн
• 85.21.0.0/16 через DHCP-шлюз — серверы L2TP
• 224.0.0.0/4 через DHCP-шлюз — multicast (IPTV)

Проверка интернета

[admin@MikroTik] >
Копировать
/ping 8.8.8.8 count=5
/ping ya.ru count=5

Проверка доступности внутренних ресурсов Билайн

[admin@MikroTik] >
Копировать
/ping 10.0.0.1 count=3

Проверка IPTV

[admin@MikroTik] >
Копировать
/tool/torch interface=ether1 src-address=0.0.0.0/0 dst-address=224.0.0.0/4

При включённой ТВ-приставке должны отображаться UDP-потоки на multicast-адреса.

Типичные ошибки и решения

Ошибка: L2TP не подключается

Симптом: Интерфейс l2tp-beeline остаётся в статусе disconnected или connecting.

Причины и решения:

• Нет маршрута до L2TP-сервера — самая частая ошибка. L2TP-сервер tp.internet.beeline.ru разрешается в IP из подсетей 85.21.x.x или 213.234.x.x. Без маршрута через DHCP-шлюз туннель не установится:

[admin@MikroTik] >
Копировать
# Проверьте, резолвится ли сервер
/ping tp.internet.beeline.ru count=1

# Если нет — добавьте маршруты вручную
/ip/route add dst-address=85.21.0.0/16 gateway=<dhcp-gateway>

• Неправильный логин/пароль — логин Билайн обычно числовой (089XXXXXXX). Проверьте в личном кабинете my.beeline.ru
• Неправильный метод аутентификации — Билайн использует MS-CHAPv2. Убедитесь, что allow=mschap2
• DHCP не получил IP — без IP на ether1 L2TP не сможет установить соединение

[admin@MikroTik] >
Копировать
/log print where topics~"l2tp"

Ошибка: Двойной NAT

Симптом: Онлайн-игры не работают, VoIP глючит, торренты медленные.

Причина: NAT выполняется и на MikroTik, и на каком-то другом устройстве (например, провайдерский свитч с NAT, или вы поставили MikroTik за другой роутер).

Решение: Билайн обычно не использует NAT на своей стороне для L2TP — проверьте, нет ли у вас дополнительного роутера перед MikroTik. IP, полученный через L2TP, должен быть «белым» (не из приватных диапазонов).

[admin@MikroTik] >
Копировать
/ip/address print where interface=l2tp-beeline

Если IP начинается с 10.x, 172.16-31.x или 192.168.x — это двойной NAT.

Ошибка: Маршруты к внутренним ресурсам Билайн не работают

Симптом: IPTV не показывает, скачивание с внутренних ресурсов не работает.

Причина: Не добавлены маршруты для подсети 10.0.0.0/8 через DHCP-шлюз. Весь трафик уходит в L2TP-туннель, но внутренние ресурсы доступны только через локальную сеть.

Решение: Добавьте маршрут:

[admin@MikroTik] >
Копировать
/ip/route add dst-address=10.0.0.0/8 gateway=<dhcp-gateway>

Ошибка: IPTV не работает

Симптом: ТВ-приставка не показывает каналы.

Причины и решения:

• IGMP Proxy не настроен — без него multicast не проходит
• Multicast-маршрут идёт через L2TP — multicast должен идти через ether1 (DHCP), а не через L2TP-туннель. Проверьте маршрут 224.0.0.0/4
• Firewall блокирует IGMP/multicast — проверьте, что правила accept стоят до drop
• NAT на ether1 не настроен — для IPTV-трафика нужен masquerade на ether1:

[admin@MikroTik] >
Копировать
/ip/firewall/nat print where out-interface=ether1

Ошибка: Медленная скорость

Симптом: Скорость через L2TP значительно ниже тарифной.

Причины и решения:

• MTU — установите 1460 для L2TP. Слишком большой MTU вызывает фрагментацию:

[admin@MikroTik] >
Копировать
/interface/l2tp-client set l2tp-beeline max-mtu=1460 max-mru=1460

• MSS Clamping — проверьте, что правила mangle настроены
• Процессор роутера — L2TP создаёт нагрузку на CPU (шифрование/дешифрование). На слабых моделях (hAP lite) скорость ограничена ~50-70 Мбит/с:

[admin@MikroTik] >
Копировать
/system/resource print

Для тарифов 100+ Мбит/с рекомендуется hAP ax2/ax3, RB5009 или hEX S.

• Без IPsec — Билайн использует L2TP без IPsec. Если случайно включён IPsec, это снижает скорость. Убедитесь, что в настройках L2TP-клиента нет use-ipsec=yes

Ошибка: После перезагрузки интернет не работает

Симптом: После перезагрузки роутера L2TP не подключается.

Причина: DHCP-клиент получает шлюз с задержкой, а L2TP-клиент пытается подключиться сразу. Статические маршруты с указанием конкретного шлюза не работают, пока DHCP не получит адрес.

Решение: Используйте скрипт DHCP-клиента для автоматического добавления маршрутов (см. Шаг 6 выше). Также можно добавить задержку старта L2TP:

[admin@MikroTik] >
Копировать
/system/scheduler add name=start-l2tp on-event="/interface/l2tp-client enable l2tp-beeline" \
  start-time=startup interval=0 start-delay=10s

И при старте L2TP должен быть отключён:

[admin@MikroTik] >
Копировать
/interface/l2tp-client set l2tp-beeline disabled=yes

Полная конфигурация одним блоком

[admin@MikroTik] >
Копировать
# Сброс
/system/reset-configuration no-defaults=yes skip-backup=yes

# После перезагрузки:

# Bridge для LAN
/interface/bridge add name=bridge-LAN igmp-snooping=yes
/interface/bridge/port
  add bridge=bridge-LAN interface=ether2
  add bridge=bridge-LAN interface=ether3
  add bridge=bridge-LAN interface=ether4

# IP и DHCP для LAN
/ip/address add address=192.168.88.1/24 interface=bridge-LAN
/ip/pool add name=pool-LAN ranges=192.168.88.10-192.168.88.254
/ip/dhcp-server add name=dhcp-LAN interface=bridge-LAN address-pool=pool-LAN
/ip/dhcp-server/network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1

# DHCP-клиент на WAN (без маршрута по умолчанию!)
/ip/dhcp-client add interface=ether1 add-default-route=no disabled=no

# L2TP-клиент
/interface/l2tp-client add name=l2tp-beeline \
  connect-to=tp.internet.beeline.ru \
  user="089XXXXXXX" password="пароль" \
  add-default-route=yes \
  max-mtu=1460 max-mru=1460 \
  allow=mschap2 disabled=no

# DNS
/ip/dns set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8

# NAT
/ip/firewall/nat
  add chain=srcnat out-interface=l2tp-beeline action=masquerade
  add chain=srcnat out-interface=ether1 action=masquerade

# Firewall
/ip/firewall/filter
  add chain=input protocol=igmp action=accept comment="Allow IGMP"
  add chain=input dst-address=224.0.0.0/4 action=accept comment="Allow Multicast"
  add chain=input connection-state=established,related action=accept
  add chain=input connection-state=invalid action=drop
  add chain=input in-interface=ether1 protocol=udp dst-port=68 action=accept comment="DHCP"
  add chain=input in-interface=l2tp-beeline action=drop
  add chain=input in-interface=ether1 action=drop
  add chain=forward protocol=igmp action=accept comment="Forward IGMP"
  add chain=forward dst-address=224.0.0.0/4 action=accept comment="Forward Multicast"
  add chain=forward connection-state=established,related action=accept
  add chain=forward connection-state=invalid action=drop
  add chain=forward in-interface=l2tp-beeline connection-state=new action=drop
  add chain=forward in-interface=ether1 connection-state=new action=drop

# MSS Clamping
/ip/firewall/mangle
  add chain=forward in-interface=l2tp-beeline protocol=tcp \
    tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes
  add chain=forward out-interface=l2tp-beeline protocol=tcp \
    tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes

# Маршруты для Билайн (замените gateway на ваш DHCP-шлюз)
# Эти маршруты лучше добавлять через скрипт DHCP-клиента
/ip/route
  add dst-address=10.0.0.0/8 gateway=<dhcp-gateway> comment="Beeline local"
  add dst-address=85.21.0.0/16 gateway=<dhcp-gateway> comment="Beeline L2TP"
  add dst-address=213.234.192.0/18 gateway=<dhcp-gateway> comment="Beeline L2TP"
  add dst-address=224.0.0.0/4 gateway=<dhcp-gateway> comment="Multicast"

# IGMP Proxy для IPTV
/routing/igmp-proxy/interface
  add interface=ether1 upstream=yes
  add interface=bridge-LAN upstream=no

# Identity
/system/identity set name=MikroTik-Beeline

Рекомендации

1. Выбор модели — L2TP нагружает процессор. Для тарифов до 100 Мбит/с подойдёт hEX S, для 200+ Мбит/с рекомендуется hAP ax2/ax3 или RB5009
2. Без IPsec — Билайн не использует IPsec в L2TP. Не включайте его — это снизит скорость вдвое
3. Скрипт DHCP-клиента — обязательно настройте автоматическое обновление маршрутов при смене DHCP-шлюза
4. Отключите ненужные сервисы — закройте Telnet, FTP, API из WAN

[admin@MikroTik] >
Копировать
/ip/service
  set telnet disabled=yes
  set ftp disabled=yes
  set www disabled=yes
  set api disabled=yes
  set api-ssl disabled=yes
  set ssh address=192.168.88.0/24
  set winbox address=192.168.88.0/24

Настройка MikroTik для Билайн сложнее, чем для PPPoE-провайдеров, из-за L2TP-туннеля и необходимости разделять маршруты между туннелем и локальной сетью провайдера. Но после правильной настройки соединение работает стабильно и предсказуемо.

Свитч Билайн → ether1 (WAN) → MikroTik → bridge-LAN → компьютеры, Wi-Fi
                                        → ether5 (IPTV STB)
/system/reset-configuration no-defaults=yes skip-backup=yes
/interface/bridge add name=bridge-LAN
/interface/bridge/port
  add bridge=bridge-LAN interface=ether2
  add bridge=bridge-LAN interface=ether3
  add bridge=bridge-LAN interface=ether4
/ip/address add address=192.168.88.1/24 interface=bridge-LAN
/ip/pool add name=pool-LAN ranges=192.168.88.10-192.168.88.254
/ip/dhcp-server add name=dhcp-LAN interface=bridge-LAN address-pool=pool-LAN
/ip/dhcp-server/network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1
/ip/dhcp-client add interface=ether1 add-default-route=no disabled=no
/interface/l2tp-client add name=l2tp-beeline \
  connect-to=tp.internet.beeline.ru \
  user="089XXXXXXX" password="ваш_пароль" \
  add-default-route=yes \
  max-mtu=1460 max-mru=1460 \
  allow=mschap2 \
  disabled=no
/ip/dhcp-client print detail
/ip/route add dst-address=85.21.0.0/16 gateway=<dhcp-gateway> comment="Beeline L2TP server"
/ip/route add dst-address=213.234.192.0/18 gateway=<dhcp-gateway> comment="Beeline L2TP server"
/ip/dhcp-client set [find interface=ether1] script=":local gw \$\"gateway-address\"\r\n\
/ip/route remove [find comment=\"auto-beeline-l2tp\"]\r\n\
/ip/route add dst-address=85.21.0.0/16 gateway=\$gw comment=\"auto-beeline-l2tp\"\r\n\
/ip/route add dst-address=213.234.192.0/18 gateway=\$gw comment=\"auto-beeline-l2tp\""
/ip/route
  add dst-address=10.0.0.0/8 gateway=<dhcp-gateway> comment="Beeline local"
  add dst-address=85.21.0.0/16 gateway=<dhcp-gateway> comment="Beeline local"
  add dst-address=213.234.192.0/18 gateway=<dhcp-gateway> comment="Beeline local"
/ip/dns set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8
/ip/firewall/nat
  add chain=srcnat out-interface=l2tp-beeline action=masquerade
  add chain=srcnat out-interface=ether1 action=masquerade
/ip/firewall/filter
  add chain=input connection-state=established,related action=accept
  add chain=input connection-state=invalid action=drop
  add chain=input in-interface=l2tp-beeline action=drop
  add chain=input in-interface=ether1 protocol=udp dst-port=68 action=accept comment="Allow DHCP"
  add chain=input in-interface=ether1 action=drop
  add chain=forward connection-state=established,related action=accept
  add chain=forward connection-state=invalid action=drop
  add chain=forward in-interface=l2tp-beeline connection-state=new action=drop
  add chain=forward in-interface=ether1 connection-state=new action=drop
/ip/firewall/mangle
  add chain=forward in-interface=l2tp-beeline protocol=tcp \
    tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes
  add chain=forward out-interface=l2tp-beeline protocol=tcp \
    tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes
/routing/igmp-proxy/interface
  add interface=ether1 upstream=yes
  add interface=bridge-LAN upstream=no
/routing/igmp-proxy/interface
  add interface=ether5 upstream=no
/ip/route add dst-address=224.0.0.0/4 gateway=<dhcp-gateway> comment="Multicast via Beeline local"
/ip/firewall/filter
  add chain=input protocol=igmp action=accept place-before=0 comment="Allow IGMP"
  add chain=input dst-address=224.0.0.0/4 action=accept place-before=1 comment="Allow Multicast"
  add chain=forward protocol=igmp action=accept place-before=0 comment="Forward IGMP"
  add chain=forward dst-address=224.0.0.0/4 action=accept place-before=1 comment="Forward Multicast"
  add chain=forward protocol=udp dst-address=224.0.0.0/4 action=accept place-before=2 comment="Forward Multicast UDP"
/interface/bridge set bridge-LAN igmp-snooping=yes
/interface/wifi/security
  add name=sec-home authentication-types=wpa2-psk,wpa3-psk \
    passphrase="ВашПарольWiFi"

/interface/wifi
  set wifi1 configuration.ssid="Home-WiFi" security=sec-home \
    configuration.country=Russia disabled=no
  set wifi2 configuration.ssid="Home-WiFi" security=sec-home \
    configuration.country=Russia disabled=no

/interface/bridge/port
  add bridge=bridge-LAN interface=wifi1
  add bridge=bridge-LAN interface=wifi2
/ip/dhcp-client print detail
/interface/l2tp-client print detail
/interface/l2tp-client monitor l2tp-beeline once
/ip/route print where active
/ping 8.8.8.8 count=5
/ping ya.ru count=5
/ping 10.0.0.1 count=3
/tool/torch interface=ether1 src-address=0.0.0.0/0 dst-address=224.0.0.0/4
# Проверьте, резолвится ли сервер
/ping tp.internet.beeline.ru count=1

# Если нет — добавьте маршруты вручную
/ip/route add dst-address=85.21.0.0/16 gateway=<dhcp-gateway>
/log print where topics~"l2tp"
/ip/address print where interface=l2tp-beeline
/ip/route add dst-address=10.0.0.0/8 gateway=<dhcp-gateway>
/ip/firewall/nat print where out-interface=ether1
/interface/l2tp-client set l2tp-beeline max-mtu=1460 max-mru=1460
/system/resource print
/system/scheduler add name=start-l2tp on-event="/interface/l2tp-client enable l2tp-beeline" \
  start-time=startup interval=0 start-delay=10s
/interface/l2tp-client set l2tp-beeline disabled=yes
# Сброс
/system/reset-configuration no-defaults=yes skip-backup=yes

# После перезагрузки:

# Bridge для LAN
/interface/bridge add name=bridge-LAN igmp-snooping=yes
/interface/bridge/port
  add bridge=bridge-LAN interface=ether2
  add bridge=bridge-LAN interface=ether3
  add bridge=bridge-LAN interface=ether4

# IP и DHCP для LAN
/ip/address add address=192.168.88.1/24 interface=bridge-LAN
/ip/pool add name=pool-LAN ranges=192.168.88.10-192.168.88.254
/ip/dhcp-server add name=dhcp-LAN interface=bridge-LAN address-pool=pool-LAN
/ip/dhcp-server/network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1

# DHCP-клиент на WAN (без маршрута по умолчанию!)
/ip/dhcp-client add interface=ether1 add-default-route=no disabled=no

# L2TP-клиент
/interface/l2tp-client add name=l2tp-beeline \
  connect-to=tp.internet.beeline.ru \
  user="089XXXXXXX" password="пароль" \
  add-default-route=yes \
  max-mtu=1460 max-mru=1460 \
  allow=mschap2 disabled=no

# DNS
/ip/dns set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8

# NAT
/ip/firewall/nat
  add chain=srcnat out-interface=l2tp-beeline action=masquerade
  add chain=srcnat out-interface=ether1 action=masquerade

# Firewall
/ip/firewall/filter
  add chain=input protocol=igmp action=accept comment="Allow IGMP"
  add chain=input dst-address=224.0.0.0/4 action=accept comment="Allow Multicast"
  add chain=input connection-state=established,related action=accept
  add chain=input connection-state=invalid action=drop
  add chain=input in-interface=ether1 protocol=udp dst-port=68 action=accept comment="DHCP"
  add chain=input in-interface=l2tp-beeline action=drop
  add chain=input in-interface=ether1 action=drop
  add chain=forward protocol=igmp action=accept comment="Forward IGMP"
  add chain=forward dst-address=224.0.0.0/4 action=accept comment="Forward Multicast"
  add chain=forward connection-state=established,related action=accept
  add chain=forward connection-state=invalid action=drop
  add chain=forward in-interface=l2tp-beeline connection-state=new action=drop
  add chain=forward in-interface=ether1 connection-state=new action=drop

# MSS Clamping
/ip/firewall/mangle
  add chain=forward in-interface=l2tp-beeline protocol=tcp \
    tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes
  add chain=forward out-interface=l2tp-beeline protocol=tcp \
    tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes

# Маршруты для Билайн (замените gateway на ваш DHCP-шлюз)
# Эти маршруты лучше добавлять через скрипт DHCP-клиента
/ip/route
  add dst-address=10.0.0.0/8 gateway=<dhcp-gateway> comment="Beeline local"
  add dst-address=85.21.0.0/16 gateway=<dhcp-gateway> comment="Beeline L2TP"
  add dst-address=213.234.192.0/18 gateway=<dhcp-gateway> comment="Beeline L2TP"
  add dst-address=224.0.0.0/4 gateway=<dhcp-gateway> comment="Multicast"

# IGMP Proxy для IPTV
/routing/igmp-proxy/interface
  add interface=ether1 upstream=yes
  add interface=bridge-LAN upstream=no

# Identity
/system/identity set name=MikroTik-Beeline
/ip/service
  set telnet disabled=yes
  set ftp disabled=yes
  set www disabled=yes
  set api disabled=yes
  set api-ssl disabled=yes
  set ssh address=192.168.88.0/24
  set winbox address=192.168.88.0/24