Настройка MikroTik для Ростелеком — PPPoE и IPTV
Ростелеком — крупнейший провайдер России, и замена штатного роутера на MikroTik позволяет получить гибкую настройку сети, стабильную работу и полный контроль над трафиком. В этом руководстве разберём подключение через PPPoE, настройку IPTV через IGMP Proxy, работу с VLAN для разделения интернета и телевидения, а также SIP-телефонию.
Инструкция актуальна для RouterOS 7.20+ и подходит для моделей hAP ax2, hAP ax3, hAP ac2, RB5009, hEX S и других устройств MikroTik.
Описание схемы подключения Ростелеком
Ростелеком в большинстве регионов использует PPPoE для доступа в интернет. Абоненту выдаются логин и пароль, которые необходимо ввести в настройки маршрутизатора. Оптический терминал ONT (если GPON) или ADSL-модем работают в режиме моста (bridge) и передают тег на порт WAN вашего роутера.
Типичная схема VLAN у Ростелекома:
| Сервис | VLAN ID | Описание |
|---|---|---|
| Интернет | VLAN 10 (или untagged) | PPPoE-соединение |
| IPTV | VLAN 20 | Multicast-трафик для ТВ-приставки |
| Телефония (SIP) | VLAN 30 | VoIP-трафик |
Конкретные VLAN ID зависят от региона — уточните у провайдера или в техподдержке. В некоторых регионах интернет идёт без VLAN (untagged), а IPTV — через отдельный VLAN.
Физическая схема подключения:
codeONT/Модем (bridge) → ether1 (WAN) → MikroTik → bridge-LAN → компьютеры, Wi-Fi → ether5 (отдельно для IPTV STB)
Настройка PPPoE-подключения
Шаг 1: Сброс конфигурации и базовая подготовка
Если роутер уже использовался, сбросьте конфигурацию:
[admin@MikroTik] >/system/reset-configuration no-defaults=yes skip-backup=yes
После перезагрузки подключитесь через WinBox по MAC-адресу.
Шаг 2: Создание Bridge для LAN
Объедините внутренние порты в bridge. Порт ether5 оставьте отдельно — он пригодится для IPTV-приставки:
[admin@MikroTik] >/interface/bridge add name=bridge-LAN /interface/bridge/port add bridge=bridge-LAN interface=ether2 add bridge=bridge-LAN interface=ether3 add bridge=bridge-LAN interface=ether4
Шаг 3: IP-адрес для LAN
[admin@MikroTik] >/ip/address add address=192.168.88.1/24 interface=bridge-LAN
Шаг 4: DHCP-сервер для LAN
[admin@MikroTik] >/ip/pool add name=pool-LAN ranges=192.168.88.10-192.168.88.254 /ip/dhcp-server add name=dhcp-LAN interface=bridge-LAN address-pool=pool-LAN /ip/dhcp-server/network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1
Шаг 5: PPPoE-клиент
Создайте PPPoE-подключение на интерфейсе ether1. Укажите логин и пароль, полученные от Ростелекома:
[admin@MikroTik] >/interface/pppoe-client add name=pppoe-rostelecom interface=ether1 \ user="ваш_логин@rtk" password="ваш_пароль" \ add-default-route=yes use-peer-dns=yes \ max-mtu=1480 max-mru=1480 disabled=no
Обратите внимание на MTU 1480 — это критически важно для PPPoE. Стандартный Ethernet MTU 1500 минус 8 байт заголовка PPP и 6 байт PPPoE даёт 1480 (некоторые провайдеры допускают 1492, но 1480 — безопасное значение для Ростелекома).
Шаг 6: DNS
[admin@MikroTik] >/ip/dns set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8
Можно использовать DNS Ростелекома (приходят автоматически через PPPoE, если включён use-peer-dns=yes) или публичные: Google (8.8.8.8) и Яндекс (77.88.8.8).
Шаг 7: NAT (маскарадинг)
[admin@MikroTik] >/ip/firewall/nat add chain=srcnat out-interface=pppoe-rostelecom action=masquerade
Шаг 8: Базовый Firewall
[admin@MikroTik] >/ip/firewall/filter add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop add chain=input in-interface=pppoe-rostelecom action=drop add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop add chain=forward in-interface=pppoe-rostelecom connection-state=new action=drop
Настройка MSS Clamping
Для PPPoE необходимо настроить TCP MSS Clamping, чтобы избежать проблем с фрагментацией пакетов. Без этого некоторые сайты могут не открываться или загружаться очень медленно:
[admin@MikroTik] >/ip/firewall/mangle add chain=forward in-interface=pppoe-rostelecom protocol=tcp \ tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes add chain=forward out-interface=pppoe-rostelecom protocol=tcp \ tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes
Настройка IPTV через IGMP Proxy
IPTV Ростелекома работает через multicast — потоковое вещание, при котором один поток данных передаётся сразу всем подписчикам. Для управления подписками на multicast-группы используется протокол IGMP (Internet Group Management Protocol).
MikroTik поддерживает IGMP Proxy, который перенаправляет IGMP-запросы между интерфейсами.
Шаг 1: Включение IGMP Proxy
[admin@MikroTik] >/routing/igmp-proxy/interface add interface=ether1 upstream=yes add interface=bridge-LAN upstream=no
Если ТВ-приставка подключена к отдельному порту (ether5), добавьте его тоже:
[admin@MikroTik] >/routing/igmp-proxy/interface add interface=ether5 upstream=no
Шаг 2: Разрешение multicast в Firewall
Multicast-трафик должен проходить через firewall. Добавьте правила до запрещающих правил:
[admin@MikroTik] >/ip/firewall/filter add chain=input protocol=igmp action=accept place-before=0 comment="Allow IGMP" add chain=input dst-address=224.0.0.0/4 action=accept place-before=1 comment="Allow Multicast Input" add chain=forward protocol=igmp action=accept place-before=0 comment="Forward IGMP" add chain=forward dst-address=224.0.0.0/4 action=accept place-before=1 comment="Forward Multicast" add chain=forward protocol=udp dst-address=224.0.0.0/4 action=accept place-before=2 comment="Forward Multicast UDP"
Шаг 3: Включение IGMP Snooping на bridge (опционально)
Если ТВ-приставка подключена к bridge-LAN, включите IGMP Snooping для оптимизации — multicast будет отправляться только на порт с приставкой, а не на все порты bridge:
[admin@MikroTik] >/interface/bridge set bridge-LAN igmp-snooping=yes
Настройка VLAN для Ростелекома
В ряде регионов Ростелеком требует разделения трафика по VLAN. Типичная схема: VLAN 10 — интернет, VLAN 20 — IPTV.
Создание VLAN-интерфейсов на ether1
[admin@MikroTik] >/interface/vlan add name=vlan10-internet vlan-id=10 interface=ether1 add name=vlan20-iptv vlan-id=20 interface=ether1
PPPoE-клиент через VLAN
Если интернет идёт через VLAN 10, измените интерфейс PPPoE-клиента:
[admin@MikroTik] >/interface/pppoe-client set pppoe-rostelecom interface=vlan10-internet
IGMP Proxy через VLAN IPTV
Для IPTV через VLAN 20 измените upstream-интерфейс IGMP Proxy:
[admin@MikroTik] >/routing/igmp-proxy/interface remove [find interface=ether1] add interface=vlan20-iptv upstream=yes
DHCP-клиент на VLAN IPTV
Некоторые регионы требуют получения IP по DHCP на VLAN IPTV:
[admin@MikroTik] >/ip/dhcp-client add interface=vlan20-iptv add-default-route=no disabled=no
Маршрут для multicast через VLAN IPTV
[admin@MikroTik] >/ip/route add dst-address=224.0.0.0/4 gateway=vlan20-iptv
Настройка отдельного порта для ТВ-приставки
Если вы хотите выделить отдельный Ethernet-порт для ТВ-приставки и транслировать в него IPTV-трафик без NAT:
[admin@MikroTik] >/interface/bridge add name=bridge-IPTV /interface/bridge/port add bridge=bridge-IPTV interface=ether5
Для VLAN-схемы — добавьте VLAN IPTV в bridge с приставкой:
[admin@MikroTik] >/interface/bridge/port add bridge=bridge-IPTV interface=vlan20-iptv
И обновите IGMP Proxy:
[admin@MikroTik] >/routing/igmp-proxy/interface add interface=bridge-IPTV upstream=no
SIP-телефония Ростелеком
Если у вас подключена SIP-телефония, она обычно работает через отдельный VLAN (часто VLAN 30). Настройка аналогична IPTV:
[admin@MikroTik] >/interface/vlan add name=vlan30-sip vlan-id=30 interface=ether1 /ip/dhcp-client add interface=vlan30-sip add-default-route=no disabled=no
Для SIP необходимо пробросить порты для RTP (обычно UDP 5060 и диапазон 10000-20000) или использовать SIP ALG:
[admin@MikroTik] >/ip/firewall/service-port set sip disabled=no
Телефонный адаптер (ATA) подключите к отдельному порту и добавьте его в bridge-SIP или настройте DHCP на отдельной подсети.
Настройка Wi-Fi
Не забудьте настроить Wi-Fi для беспроводных устройств:
[admin@MikroTik] >/interface/wifi/security add name=sec-home authentication-types=wpa2-psk,wpa3-psk \ passphrase="ВашПарольWiFi" /interface/wifi set wifi1 configuration.ssid="Home-WiFi" security=sec-home \ configuration.country=Russia disabled=no set wifi2 configuration.ssid="Home-WiFi" security=sec-home \ configuration.country=Russia disabled=no /interface/bridge/port add bridge=bridge-LAN interface=wifi1 add bridge=bridge-LAN interface=wifi2
Проверка работоспособности
Проверка PPPoE-соединения
[admin@MikroTik] >/interface/pppoe-client print detail
Убедитесь, что статус status=connected и получен IP-адрес. Значение uptime должно увеличиваться.
[admin@MikroTik] >/interface/pppoe-client monitor pppoe-rostelecom once
Вывод покажет: статус, IP-адрес, DNS-серверы, MTU, uptime.
Проверка маршрутов
[admin@MikroTik] >/ip/route print where active
Должен быть маршрут по умолчанию (0.0.0.0/0) через PPPoE-интерфейс.
Проверка интернета
[admin@MikroTik] >/ping 8.8.8.8 count=5 /ping ya.ru count=5
Если ping 8.8.8.8 работает, а ping ya.ru нет — проблема с DNS.
Проверка скорости
[admin@MikroTik] >/tool/bandwidth-test address=195.211.187.34 protocol=tcp direction=both duration=10s
Или используйте Speedtest с компьютера в браузере: speedtest.net.
Проверка IPTV
[admin@MikroTik] >/routing/igmp-proxy/interface print
Убедитесь, что upstream и downstream интерфейсы видны и активны.
Используйте Torch для мониторинга multicast-трафика:
[admin@MikroTik] >/tool/torch interface=ether1 src-address=0.0.0.0/0 dst-address=224.0.0.0/4
Вы должны увидеть UDP-потоки на multicast-адреса (224.x.x.x или 239.x.x.x), когда ТВ-приставка включена и показывает канал.
Проверка работы ТВ-приставки
- Включите ТВ-приставку и дождитесь загрузки
- Переключите несколько каналов
- Убедитесь, что изображение стабильное, без артефактов и зависаний
- Проверьте, что EPG (электронная программа передач) загружается
Типичные ошибки и решения
Ошибка: PPPoE не подключается (AUTH_FAILED)
Симптом: В логе видно pppoe-rostelecom: terminating - peerass authentication failed.
Причины и решения:
- Неправильный логин или пароль — проверьте в личном кабинете Ростелекома или позвоните в техподдержку
- Логин должен содержать суффикс — у Ростелекома часто формат
123456789@rtkилиlogin@ppp.rtkm.ru(зависит от региона) - Параллельная сессия — если старый роутер всё ещё подключён, отключите его. Ростелеком допускает только одну PPPoE-сессию
[admin@MikroTik] >/log print where topics~"pppoe"
Ошибка: Низкая скорость интернета
Симптом: Тариф 100 Мбит/с, а скорость не превышает 30-50 Мбит/с.
Причины и решения:
- Неправильный MTU — установите MTU 1480 (или 1492). Слишком большой MTU приводит к фрагментации и потере пакетов:
[admin@MikroTik] >/interface/pppoe-client set pppoe-rostelecom max-mtu=1480 max-mru=1480
- Не настроен MSS Clamping — без него TCP-соединения с большими пакетами работают медленно. Проверьте правила mangle (см. раздел выше)
- Hardware offload — убедитесь, что bridge использует аппаратную обработку:
[admin@MikroTik] >/interface/bridge/port print detail
Колонка hw должна показывать yes.
- Проблема с ONT — проверьте, что оптический терминал работает в режиме bridge, а не router. В режиме router будет двойной NAT и потеря скорости
Ошибка: IPTV не работает
Симптом: ТВ-приставка показывает «Нет сигнала» или чёрный экран.
Причины и решения:
- IGMP Proxy не настроен — без него multicast-трафик не проходит через роутер. Проверьте:
[admin@MikroTik] >/routing/igmp-proxy/interface print
Должен быть хотя бы один upstream и один downstream интерфейс.
- Firewall блокирует multicast — правила для IGMP и multicast должны стоять до правил drop:
[admin@MikroTik] >/ip/firewall/filter print where action=accept
- Неправильный VLAN — если в вашем регионе IPTV идёт через VLAN, upstream IGMP Proxy должен быть на VLAN-интерфейсе (vlan20-iptv), а не на ether1
- ТВ-приставка не получает IP — если приставка подключена через отдельный bridge, убедитесь, что DHCP для IPTV настроен или приставка получает IP от провайдера
Ошибка: Некоторые сайты не открываются
Симптом: Большинство сайтов работает, но некоторые «зависают» при загрузке.
Причина: Не настроен TCP MSS Clamping. Из-за MTU 1480 (PPPoE) пакеты размером 1500 байт не проходят, а PMTU Discovery не всегда работает.
Решение: Добавьте правила mangle (см. раздел «Настройка MSS Clamping» выше).
Ошибка: IPTV работает, но каналы зависают
Симптом: Изображение периодически замирает, появляются артефакты.
Причины и решения:
- IGMP Snooping — включите на bridge, чтобы multicast шёл только на порт приставки, а не на все порты:
[admin@MikroTik] >/interface/bridge set bridge-LAN igmp-snooping=yes
- Перегрузка Wi-Fi — если приставка подключена по Wi-Fi (через Wi-Fi Bridge), попробуйте подключить по кабелю. Multicast по Wi-Fi работает крайне нестабильно
- Мощность роутера — на слабых моделях (hAP lite, hAP mini) обработка multicast может вызывать высокую нагрузку на CPU:
[admin@MikroTik] >/system/resource print
Проверьте загрузку процессора. Если CPU > 80%, рассмотрите более мощную модель.
Ошибка: ONT Ростелеком не переключается в bridge
Симптом: Вы не можете перевести ONT в режим моста самостоятельно.
Решение: В большинстве случаев перевод ONT в bridge выполняет только техподдержка Ростелекома. Позвоните на горячую линию и попросите перевести терминал в режим моста. Также уточните VLAN ID для вашего региона.
Если ONT нельзя перевести в bridge, настройте его как роутер с DMZ на MikroTik — но это приведёт к двойному NAT. Альтернатива — подключить MikroTik как клиент за ONT и создать PPPoE-подключение (многие ONT позволяют пробрасывать PPPoE даже в режиме роутера).
Полная конфигурация одним блоком
Для удобства — полная конфигурация для самого распространённого варианта (PPPoE без VLAN, IPTV через IGMP Proxy):
[admin@MikroTik] ># Сброс /system/reset-configuration no-defaults=yes skip-backup=yes # После перезагрузки: # Bridge для LAN /interface/bridge add name=bridge-LAN igmp-snooping=yes /interface/bridge/port add bridge=bridge-LAN interface=ether2 add bridge=bridge-LAN interface=ether3 add bridge=bridge-LAN interface=ether4 # IP и DHCP для LAN /ip/address add address=192.168.88.1/24 interface=bridge-LAN /ip/pool add name=pool-LAN ranges=192.168.88.10-192.168.88.254 /ip/dhcp-server add name=dhcp-LAN interface=bridge-LAN address-pool=pool-LAN /ip/dhcp-server/network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1 # PPPoE /interface/pppoe-client add name=pppoe-rostelecom interface=ether1 \ user="логин@rtk" password="пароль" \ add-default-route=yes use-peer-dns=yes \ max-mtu=1480 max-mru=1480 disabled=no # DNS /ip/dns set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8 # NAT /ip/firewall/nat add chain=srcnat out-interface=pppoe-rostelecom action=masquerade # Firewall /ip/firewall/filter add chain=input protocol=igmp action=accept comment="Allow IGMP" add chain=input dst-address=224.0.0.0/4 action=accept comment="Allow Multicast" add chain=input connection-state=established,related action=accept add chain=input connection-state=invalid action=drop add chain=input in-interface=pppoe-rostelecom action=drop add chain=forward protocol=igmp action=accept comment="Forward IGMP" add chain=forward dst-address=224.0.0.0/4 action=accept comment="Forward Multicast" add chain=forward connection-state=established,related action=accept add chain=forward connection-state=invalid action=drop add chain=forward in-interface=pppoe-rostelecom connection-state=new action=drop # MSS Clamping /ip/firewall/mangle add chain=forward in-interface=pppoe-rostelecom protocol=tcp \ tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes add chain=forward out-interface=pppoe-rostelecom protocol=tcp \ tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes # IGMP Proxy для IPTV /routing/igmp-proxy/interface add interface=ether1 upstream=yes add interface=bridge-LAN upstream=no add interface=ether5 upstream=no # Identity /system/identity set name=MikroTik-Rostelecom
Советы по оптимизации
- Fasttrack — для ускорения маршрутизации добавьте fasttrack для установленных соединений (не совместимо с QoS и mangle на тех же потоках):
[admin@MikroTik] >/ip/firewall/filter add chain=forward connection-state=established,related action=fasttrack-connection place-before=0
- Отключите ненужные сервисы — закройте доступ к роутеру из WAN:
[admin@MikroTik] >/ip/service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set api disabled=yes set api-ssl disabled=yes set ssh address=192.168.88.0/24 set winbox address=192.168.88.0/24
- Обновляйте RouterOS — каждое обновление исправляет баги и уязвимости:
[admin@MikroTik] >/system/package/update check-for-updates /system/package/update install
Замена провайдерского роутера на MikroTik для Ростелекома — стандартная процедура. Главное — правильно настроить PPPoE с MTU 1480, не забыть про IGMP Proxy для IPTV и убедиться, что firewall не блокирует multicast-трафик.
ONT/Модем (bridge) → ether1 (WAN) → MikroTik → bridge-LAN → компьютеры, Wi-Fi
→ ether5 (отдельно для IPTV STB)
/system/reset-configuration no-defaults=yes skip-backup=yes
/interface/bridge add name=bridge-LAN
/interface/bridge/port
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
/ip/address add address=192.168.88.1/24 interface=bridge-LAN
/ip/pool add name=pool-LAN ranges=192.168.88.10-192.168.88.254
/ip/dhcp-server add name=dhcp-LAN interface=bridge-LAN address-pool=pool-LAN
/ip/dhcp-server/network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1
/interface/pppoe-client add name=pppoe-rostelecom interface=ether1 \
user="ваш_логин@rtk" password="ваш_пароль" \
add-default-route=yes use-peer-dns=yes \
max-mtu=1480 max-mru=1480 disabled=no
/ip/dns set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8
/ip/firewall/nat add chain=srcnat out-interface=pppoe-rostelecom action=masquerade
/ip/firewall/filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input in-interface=pppoe-rostelecom action=drop
add chain=forward connection-state=established,related action=accept
add chain=forward connection-state=invalid action=drop
add chain=forward in-interface=pppoe-rostelecom connection-state=new action=drop
/ip/firewall/mangle
add chain=forward in-interface=pppoe-rostelecom protocol=tcp \
tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes
add chain=forward out-interface=pppoe-rostelecom protocol=tcp \
tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes
/routing/igmp-proxy/interface
add interface=ether1 upstream=yes
add interface=bridge-LAN upstream=no
/routing/igmp-proxy/interface
add interface=ether5 upstream=no
/ip/firewall/filter
add chain=input protocol=igmp action=accept place-before=0 comment="Allow IGMP"
add chain=input dst-address=224.0.0.0/4 action=accept place-before=1 comment="Allow Multicast Input"
add chain=forward protocol=igmp action=accept place-before=0 comment="Forward IGMP"
add chain=forward dst-address=224.0.0.0/4 action=accept place-before=1 comment="Forward Multicast"
add chain=forward protocol=udp dst-address=224.0.0.0/4 action=accept place-before=2 comment="Forward Multicast UDP"
/interface/bridge set bridge-LAN igmp-snooping=yes
/interface/vlan
add name=vlan10-internet vlan-id=10 interface=ether1
add name=vlan20-iptv vlan-id=20 interface=ether1
/interface/pppoe-client set pppoe-rostelecom interface=vlan10-internet
/routing/igmp-proxy/interface
remove [find interface=ether1]
add interface=vlan20-iptv upstream=yes
/ip/dhcp-client add interface=vlan20-iptv add-default-route=no disabled=no
/ip/route add dst-address=224.0.0.0/4 gateway=vlan20-iptv
/interface/bridge add name=bridge-IPTV
/interface/bridge/port add bridge=bridge-IPTV interface=ether5
/interface/bridge/port add bridge=bridge-IPTV interface=vlan20-iptv
/routing/igmp-proxy/interface
add interface=bridge-IPTV upstream=no
/interface/vlan add name=vlan30-sip vlan-id=30 interface=ether1
/ip/dhcp-client add interface=vlan30-sip add-default-route=no disabled=no
/ip/firewall/service-port set sip disabled=no
/interface/wifi/security
add name=sec-home authentication-types=wpa2-psk,wpa3-psk \
passphrase="ВашПарольWiFi"
/interface/wifi
set wifi1 configuration.ssid="Home-WiFi" security=sec-home \
configuration.country=Russia disabled=no
set wifi2 configuration.ssid="Home-WiFi" security=sec-home \
configuration.country=Russia disabled=no
/interface/bridge/port
add bridge=bridge-LAN interface=wifi1
add bridge=bridge-LAN interface=wifi2
/interface/pppoe-client print detail
/interface/pppoe-client monitor pppoe-rostelecom once
/ip/route print where active
/ping 8.8.8.8 count=5
/ping ya.ru count=5
/tool/bandwidth-test address=195.211.187.34 protocol=tcp direction=both duration=10s
/routing/igmp-proxy/interface print
/tool/torch interface=ether1 src-address=0.0.0.0/0 dst-address=224.0.0.0/4
/log print where topics~"pppoe"
/interface/pppoe-client set pppoe-rostelecom max-mtu=1480 max-mru=1480
/interface/bridge/port print detail
/routing/igmp-proxy/interface print
/ip/firewall/filter print where action=accept
/interface/bridge set bridge-LAN igmp-snooping=yes
/system/resource print
# Сброс
/system/reset-configuration no-defaults=yes skip-backup=yes
# После перезагрузки:
# Bridge для LAN
/interface/bridge add name=bridge-LAN igmp-snooping=yes
/interface/bridge/port
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
# IP и DHCP для LAN
/ip/address add address=192.168.88.1/24 interface=bridge-LAN
/ip/pool add name=pool-LAN ranges=192.168.88.10-192.168.88.254
/ip/dhcp-server add name=dhcp-LAN interface=bridge-LAN address-pool=pool-LAN
/ip/dhcp-server/network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1
# PPPoE
/interface/pppoe-client add name=pppoe-rostelecom interface=ether1 \
user="логин@rtk" password="пароль" \
add-default-route=yes use-peer-dns=yes \
max-mtu=1480 max-mru=1480 disabled=no
# DNS
/ip/dns set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8
# NAT
/ip/firewall/nat add chain=srcnat out-interface=pppoe-rostelecom action=masquerade
# Firewall
/ip/firewall/filter
add chain=input protocol=igmp action=accept comment="Allow IGMP"
add chain=input dst-address=224.0.0.0/4 action=accept comment="Allow Multicast"
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input in-interface=pppoe-rostelecom action=drop
add chain=forward protocol=igmp action=accept comment="Forward IGMP"
add chain=forward dst-address=224.0.0.0/4 action=accept comment="Forward Multicast"
add chain=forward connection-state=established,related action=accept
add chain=forward connection-state=invalid action=drop
add chain=forward in-interface=pppoe-rostelecom connection-state=new action=drop
# MSS Clamping
/ip/firewall/mangle
add chain=forward in-interface=pppoe-rostelecom protocol=tcp \
tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes
add chain=forward out-interface=pppoe-rostelecom protocol=tcp \
tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu passthrough=yes
# IGMP Proxy для IPTV
/routing/igmp-proxy/interface
add interface=ether1 upstream=yes
add interface=bridge-LAN upstream=no
add interface=ether5 upstream=no
# Identity
/system/identity set name=MikroTik-Rostelecom
/ip/firewall/filter add chain=forward connection-state=established,related action=fasttrack-connection place-before=0
/ip/service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
set ssh address=192.168.88.0/24
set winbox address=192.168.88.0/24
/system/package/update check-for-updates
/system/package/update install