ок. рррое до провайдера на микротике, рррое-server на микротике для раздачи инета в небольшом здании, в качестве клиентов к микротику подключаются роутеры и отдельные компы. Инет раздача для кучки мелких офисов. Дефолтные настройки микротика сброшены и в фильтрах только правила на ддос по различным портам, syn flood и пару на ограничениям по сессиям какие-то. Маскарад сделан на /24 сетку рррое сервера, а не на WAN interface list. Проблема заключается в том, что у провайдера привязка по мак и каким-то боком пару маков из клиентских роутеров залетают за nat на порт провайдера и отваливается рррое от микротика к провайдеру тогда, когда у них на коммутаторе обновляется привязка мак адресов к портам. С помощью бубнов и провайдера удалось выяснить, что там светятся еще маки, кроме мака микротика. Скинули какие именно и они оказались из списка рррое client, которые подключаются к микротику. Как это возможно, если на самом микротике нет никаких бриджей, прокси и т.д.?

понятно, что при подключении рррое микротика к првоайдеру и при подключении клиентов к рррое микротика, на микротике маршруты сами создаются, но почему arp пролетает за nat. И самаое интересно, что пролетает несколько маков, а не все!

Не факт, что это арп. Возможно, другие L2-пакеты, stp, lldp, мультикаст

Совет такой. Попробуйте весь трафик с порта в сторону isp направить на wireshark и посмотреть что там летает. Потом думать почему

Трафик всегда можно послушать и точно понять кто проскальзывается

проблема в том, что эти маки не сразу там появляются после перезагрузки порта провайдера, а позже и получается надо сидеть и ловить момент

Включите пересылку на локальный комп и запустите   wireshark, или придумайте операцию при которой возникает проблема, ибо её повторяемость тоже важна для диагностики.

есть провайдерский шлюз в него входит оптика а выходит 2 кабеля на провайдерский вифи и кабель для ппое
какие есть способы перенести вифи в другое место где есть наша локалка?
поставить рядом со шлюзом микрот воткнуть в него нашу локалку как wan а шлюз как lan, а вдругом месте так же с точкой доступа, а между микротами eoip по нашей локалке?

есть еще идеи?

VLAN tagged port

свичи неуправляемые

но теги они передают без проблем, я вас уверяю, просто с одной стороны всё тегируете чем-то, с другой всё растегируете чем-то, и ставите точку провайдера

Давайте схему. Все как то сложно

я вот тоже к этом склоняюсь, как это убить на корню, чтобы только маскарадилось?

разрешите в фаерволе на out интерфейс только PPPoE трафик, остальное прибейте

так делать не хотелось бы, т.к. подключение инета туда идет по мосту, к которому удаленный доступ через проброс порта сделан

ну тогда разберитесь что там ходит, а это сниффер и анализ дампа, потом или убъёте ненужное или выключите это

Давайте уже закончим. Только что вы говорили что нет бриджей. Теперь есть. Пока схемы не будет прошу закрыть этот вопрос.

4 сущности
https://i.imgur.com/XYFSyHr.png

Я думаю что там речь про wi-fi мост, но схему всё же нужно)

Порт паблик вифи включаете в свободный порт своего микрота, настраиваете порт в аксесс, в некотором влане, и отдаёте его тагом в свою локльную сеть, рядом с л2 свитчём где нужен вифи, ставите ещё один микрот, забираете тегированный трафик из сети через один порт и отдаёте нетегированным через второй порт в который включаете точку .  P.S. Не показывайте это Иннокентию, но побьёт вас книгой про бед-дизайн)))