Подключаемся к микротику по ssh или через winbox. Выполняем команду
/tool romon set secrets=Z6Re3TQpjE~+Bsw&b>QG enabled=yes
Аналогично выполняем на всех остальных микротиках, для упрощения лучше воспользоваться скриптом. После запускаем winbox и нажимаем подключится Connect to RoMon. И в списке доступных устройств получаем все микротики.
Включаем DHCP Server Screening
config filter dhcp_server ports 1-23 state enableВключаем блокировку udp на клиентских портах
create access_profile profile_id 1 profile_name DHCP ip udp src_port_mask 0xFFFFconfig access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 23-24 permitconfig access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-22 denyСоздадим профиль 3, где цифра 3 свободный id.
create access_profile ip source_ip_mask 255.255.255.0 profile_id 3
Создание профиля может писаться по другому, вот пример с другой ветки свитчей
create access_profile profile_id 3 profile_name IP ip source_ip_mask 255.255.255.0
Создадим правило, где profile_id ваш id указанный в первом варианте, source_ip указываем нужную вам сеть, port 1-9 это клиентские порты.
config access_profile profile_id 3 add access_id auto_assign ip source_ip 192.168.0.0 port 1-9 deny config access_profile profile_id 3 add access_id auto_assign ip source_ip 192.168.1.0 port 1-9 deny
Простенький скрипт, который можно запускать раз в минуту. Если будут обнаружены устройства, которые не могут получить адрес по dhcp, и статус offered то они будут заблокированы. При поступлении жалов можно выяснить причину и снять блокировку.
/ip dhcp-server lease; :foreach i in=[/ip dhcp-server lease find dynamic=yes status=offered] \do={:local dhcpmac (:set dhcpmac [get $i mac-address]); \:local DT ([:pick [/system clock get date] 4 6]. \[:pick [/system clock get date] 0 3]. \[:pick [/system clock get date] 7 11]); \:local TM ([:pick [/system clock get time] 0 5]); \/ip dhcp-server lease add mac-address=$dhcpmac block-access=yes always-broadcast=yes comment="Blocked-$DT=$TM" address=dhcp_pool1 address-lists=Blocked; \/log info message="$dhcpmac blocked at $DT:$TM"}
Данная ошибка появляется в логах на микротике, при ошибке доступа к серверу TFTP. Ошибка из не верных настроек tftp. Нужно указывать не IP адрес, а подсеть или группу адресов.
Пример настроек tftp
/ip tftp add ip-addresses=192.168.88.0/24 read-only=yes real-filename=swos-rb250-1.14.lzb allow=yes allow-rollover=yes