Перехват пароля к FTP серверу с помощью роутера Mikrotik

Вводная: Есть программа с "захардкорженным" в коде паролем с доступом к FTP. Необходимо узнать пароль.

Решение: Так как в качестве роутера у нас Mikrotik RB951Ui-2HnD, то будем использовать его. Заходим в winbox. В меню выбираем Tools - Packet Sniffer. Если стоит галочка "Only Headers" снимаем её.

На вкладке Filter выставляем Port - 21.

Далее нажимаем "Start". Пробуем получить обновления через программу. Если пакеты пошли хорошо, есть нет, то вариант чуть сложнее - убираем порт и смотрим все пакеты от данного компьютера - вероятно (если мы уверены, что используется FTP) используется не стандартный порт.

Узнать порт также можно простым запросом у техподдержки вашей программы - объяснив, что "системный администратор не открывает доступ по всем портам, а только по списку".

Далее нажимаем "Packets" и смотрим все пакеты подряд (Нас интересует вкладка "Packet") - в каком-нибудь из них, будет строка "PASS" и далее пароль который нам нужен.

Как вариант можем сделать сохранение в файл - на вкладке General. И сделать поиск по подстроке "PASS"

Ежедневная смена пароля на роутере Mikrotik на пароль построенный по дате

Вводная: "Иван, у меня есть тривиальная задача для микротик. Мне нужно ежедневно в 12 часов ночи менять пароль на вай-фае на текущую дату без точек (16012017 например вот так). Я так думаю, что можно решить скриптом, но не знаю, честно говоря, с какой стороны к этой проблеме подойти"

Решение: Идею взял на http://kvas.livejournal.com/679174.html

:local wifiProfile wifiMyProfile

:local dateNow [/system clock get date];
:local dateNowDay [:pick $dateNow 4 6]
:local dateNowMonth [:pick $dateNow 0 3]
:local dateNowYear [:pick $dateNow 7 11]

:local months ("jan","feb","mar","apr","may","jun","jul","aug","sep","oct","nov","dec");
:set dateNowMonth ([:find $months $dateNowMonth -1 ] + 1)

:if ( $dateNowMonth < 10 ) do={
:set $dateNowMonth ("0"."$dateNowMonth");
};

:log info message="==== NOW DATE: day: $dateNowDay month: $dateNowMonth year: $dateNowYear"

:local newPassword ("$dateNowDay" . "$dateNowMonth" . "$dateNowYear");
:log info message="==== NEW PASSWORD: $newPassword"

/interface wireless security-profiles set [find name=$wifiProfile] wpa2-pre-shared-key=$newPassword


Всё это добавляется в System-Script и вызывается в 0:05 через шедулер.

Настройки IPTV для роутеров Mikrotik в сети TTK

Как настроить IPTV в ТТК.

1. ОЧЕНЬ рекомендую в случае использования IPTV подключать его проводом. Иначе эфир у вас будет мягко говоря засран. Далее рассматривается схема с двумя бриджами - bridgeEthernet и bridgeWifi (конечно можно и не создавать бриджи, а оперировать сразу интерфейсами, к примеру ether2 (остальные будует подключены по master-slave) и просто wlan1), но лучше рассматривать бридж, так как есть и 2011, и мультидиапозонные роутеры (где WiFi 2.4+5). У нас будет bridgeEthernet, так как телевизор подключен проводом.

2. Устанавливаем пакет multicast.

3.
/routing igmp-proxy interface
add interface=bridgeEthernet
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes

В качестве апстрима выбираем физический интерфес в который у нас приходит провод от провайдера -
есть два важных момента -
а) НИ В КОЕМ СЛУЧАЕ НЕ ПППОЕ! 
б) ДОЛЖЕН БЫТЬ ОБЯЗАТЕЛЬНО НАЗНАЧЕН ЛЮБОЙ СТАТИЧЕСКИЙ АЙПИШНИК!!!

В качестве локального интерфейса выбираем нужный нам интерфейс в локальной сети. Здесь также есть нюанс - ОБЯЗАТЕЛЬНО НА ЭТОМ ИНТЕРФЕЙСЕ ДОЛЖЕН БЫТЬ НАЗНАЧЕН АЙПИШНИК!!!

То есть на обоих интерфейсах должны быть айпишники из домашних диапазонов (Из разных).
/ip address
add address=192.168.123.1/24 interface=bridgeEthernet network=192.168.123.0
add address=192.168.10.10/24 interface=ether1 network=192.168.10.0

Если IPTV нужен через WiFi - ОБЯЗАТЕЛЬНО включите MulticastHelper. Но старайтесь чтобы не потребовалось.

Также надо настроить параметры IGMP Proxy

/routing igmp-proxy
set query-interval=1m5s query-response-interval=5s quick-leave=yes

Всё. Можете проверять работу IPTV.

"Колхозное" крепление Mikrotik SXT

Иногда нужно срочно устанавливать точку доступа Mikrotik SXT, причём не на мачту, а на стену. Но нормального крепления ( https://routerboard.com/QM ) нет. Да и вообще никаких креплений, кроме стандартного, нет. А магазины где можно купить что-либо для микротика далеко.

В таком случае может помочь использование такой штуки как "ответная часть петли". Стоит рублей 50. Отверстия для крепления есть. Нагрузку в виде антенны точно выдержит :) Продаётся в разных хозяйственных и строительных магазинах.

Функционал tool snmp-[get|walk] в новых версиях Mikrotik

В последнем релиз кандидате 6.38rc19 появилась интересная функция -
snmp - added basic get and walk functionality "/tool snmp-[get|walk]";

Теперь можно получить информацию о другом устройстве через snmp. Что открывает некоторые интересные возможности (можно сделать небольшой мониторинг на основе микротика).

Для примера узнать занятую память на другом микротике (с адресом 192.168.0.1 и включенным SNMP без авторизации), можно простым запросом -
tool snmp-get address=192.168.0.1 oid=.1.3.6.1.2.1.25.2.3.1.6.65536

С помощью запроса
tool snmp-walk 192.168.0.1
Мы можем получить все значения всех OID которые есть в устройстве (лучше так не делать, а выводить только нужные ИМХО)

Какие плюсы -

• мы не ограничены ПРОИЗВОДИТЕЛЕМ, можем получать информацию и от систем Windows, Linux, Cisco и всех прочих гд реализовано SNMP.

Какие минусы -

• я пока не понял, как положить значение в какую-нибудь переменную. Операторы put, get, set, find и прочие не работают (или я не понял как из завести, если кто знает поправьте - добавлю в описание). Как костыль записывать вывод в файл и его парсить
• Нет реализации snmp-set, как я надеюсь пока. Потому что лично у меня есть оборудование которое его использует. 

Mikrotik: как посмотреть кто из пользователей забивает канал и как ограничить ему скорость?

Увидел вопрос-ответ на http://spw.ru/support/voprosotvet/podklyuchenie/vopros5/
"Mikrotik 1100AH как посмотреть кто из пользователей забивает канал и как ограничить ему скорость?" и решил поделится немного другим способом.

На мой взгляд, приведённый в ответе способ через Tools-Torch не очень наглядно показывает скорость, так как там идёт разбивка по IP адресам.

Так что иногда может помочь определение "качальщика" через Simple Queue.
Создаём для пользователей нашей сети следующие правила -
/queue simple
add max-limit=1G/1G name=X220 target=192.168.0.100/32
add max-limit=1G/1G name=MainComp target=192.168.0.200/32

Далее создаём правило ограничивающее скорость для всех кто не указан в перечислении выше:
/queue simple
add max-limit=2M/2M name="All Other" target=192.168.0.0/24

Теперь чтобы увидеть кто и с какой скоростью качает можно просто смотреть в окно Queue. Причём в достаточно человекопонятном виде.

Также из плюсов можно отметить, что можно смотреть (и ограничивать) скорость не только по IP адресам, но и по подсетям (а там можно разбить к примеру по кабинетам, подразделениям или как вам удобно).

И можно сразу же, ограничить пользователя который увлёкся :)

PS: Не забывайте, что Queue даёт нагрузку на процессор. Так что проверяйте можно или нет это использовать в вашем случае.

Как на mikrotik cделать фильтрацию трафика с 22:00 до 10:00

Вопрос: Как на mikrotik одним правилом сделать фильтрацию трафика с 22:00 до 10:00? На cisco без проблем. Здесь же говорит "couldn"t add new firewall rule - start time bigger than end time". Если ставить 20:00:00 и 1d 10:00:00 то говорит "Error interval". Mikrotik так не умеет или я что-то делаю не так?

Ответ: Одним правилом сделать это нельзя - mikrotik не воспринимает такие диапозоны, но есть варианты

(далее блокируется пинг до Google DNS 8.8.8.8, не забудьте удалить после тестов)

0) Стандартный способ - использовать два правила с временными промежутками 22:00:00-23:59:59 и 00:00:00-10:00:00

1) Использовать через запрет - Где-то в конце есть правило, которое запрещает, а конкретным правилом разрешать.

/ip firewall filter
add chain=forward dst-address=8.8.8.8 protocol=icmp src-address=192.168.0.0/16 time=10h-22h,sun,mon,tue,wed,thu,fri,sat

add action=reject chain=forward protocol=icmp src-address=192.168.0.0/16

2) Использовать шедулер -
также создаём правило в файрволе, но не указываем конкретное время -

/ip firewall filter
add action=reject chain=forward dst-address=8.8.8.8 protocol=icmp src-address=192.168.0.0/16

Далее получаем номер правила с помощью
ip firewall filter print

И теперь создаём два правила шедулера -

/system scheduler
add interval=1d name=schedule1 on-event="ip firewall filter disable 1\r\
    \n" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=sep/19/2016 start-time=10:00:00
add interval=1d name=schedule2 on-event="ip firewall filter enable 1\r\
    \n" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=sep/19/2016 start-time=22:00:00

Это даёт нам несколько преимуществ -

1. Мы не привязаны только к правилам файрвола и можем работать с чем угодно - интерфейсы, пользователи и може делать всё что нам захочется.
2. Если правил для фильтрации много, то в случае изменения временного промежутка нам надо поменять в ОДНОМ месте, иначе пришлось бы менять во всех где используется временной фильтр.
3. В случае если надо выключить (или включить) фильтрацию, то можно запустить один скрипт который это всё сделает, а не менять время на интерфейсах (или на самом роутере)
4. Более гибкая работа со временем. Можно сделать несколько разных фильтраций с разными правилами и фильтрациями.

3) Немного "костыльный" способ - через изменение текущего часового пояса - то есть если у нас Московкий часовой пояс +3, то выбираем -7, и теперь надо указывать промежуток - от 12:00:00, до 23:59:59

PS: Надо не забывать обязательно настраивать синхронизацию по времени в случае работы с учётом времени.

Небольшой хинт который поможет сберечь время и нервы.

Вводная: Есть роутер Mikrotik и хороший-стабильный провайдер. Проблема оказалось в том, что долгое время интернет не пропадал от слова вообще. И мы просто забыли телефон технической поддержки! И когда случилась проблема время реакции сильно больше запланированных. Пришлось вначале звонить в справочную, узнавать номер провайдера, где дали общий номер телефона, на котором уже дали телефон техподдержки. Чтобы уменьшить влияние такой проблемы можно сделать следующий "хинт"

PS: Также можно указать на кого зарегистрированно, номер договора, адрес и другие данные, которые могут уточнить

PS2: Это не отменяет, что желательно иметь номер техподдержки записанным в телефоне.

Mikrotik и проблема с первым портом

Вводная: Новый роутер mikrotik 951Ui-2HnD. Интернет по PPPoE - приезжаем ставить к заказчику. Не работает. При прямом подключении к ноутбуку всё спокойно. Сбрасываем конфигурацию, пробуем настроить с нуля - не работает. На другом объекте никаких проблем с этим роутером нет, также в офисе все проверки проходит и везде подключается.

Решение: Изначально считали, что "глюк" провайдера, но РТК кивал на то, что
а) с ноутбука всё работает
б) если подключаешь простейший D-Link то тоже всё работает.
Ради интереса решили переткнуть в другой порт на роутере (на ether5), заработало без проблем и плясок с бубном.

Далее провели небольшое исследование и выяснили, что если переобжать кабель от провайдера по четырёхпроводной схеме (1, 2, 3 и 6 пин), то проблема уходит. При этом мультиметром на "лишних" парах никакого напряжения нет. Видимо шум, помехи или что-то ещё.

Учитывая, что первый порт это PassivePoE-In, то видимо он пытался получить питание, или конфликтовал с питанием от БП, или срабатывали какие-либо фильтры. Или ещё какие-нибудь возможные проблемы - если есть предположения - пишите в комментарии.

PS: Также подсказывают, что иногда в таких случаях, помогает замена блока питания на более мощный.

PS2: Такие же глюки (из-за БП) могут быть на оборудовании подключённом через PoE-Out порт. Если блок питания корявый или малой мощности - жди глюков.

Забавная история про Mikrotik и IP-Cloud

Некоторое время назад, была вскрыта и обворована квартира. При этом, помимо всего остального, был украден и роутер Mikrotik. Естественно полиция, все дела. Но "оперативные мероприятия" результата не дали. Уже попрощались со всем добром. Совет мониторить авито на всплывшие вещи особо не помог.

Так бы можно было попрощаться с техникой если бы не попытались через полтора месяца цепануться к адресу микротика, прибитому через IP-Cloud к данному роутеру. А как мы знаем, адрес этот неизменяемый и связан с серийным номером. И бинго! Есть подключение!

Тут же берём IP-адрес, провайдера, время и со всем этим идём в полицию, где уже делают официальный запрос, на тему, кто сидел в это время с этого айпишника. Получив уже физический адрес, наведались. Там сидит парень, купивший с рук. Но знающий людей у которых купил. Попугали скупкой краденного, роутер вернул, "продавцов" сдал. А уже у тех кто продал, нашли и половину другого ушедшего добра.
К сожалению, вторую половину они уже распродали, но возврат даже оставшихся вещей уже хорошо :)

Особенность статических записей в роутерах Mikrotik (IP-DNS-Static)

Вводная: Ранее стоял сервер DNS, с настроенными статическими записями вида - server, 1c, mail, router которые вели на разные адреса локальной сети. После того как убрали отдельный сервер и его роль перенесли на микротик, то однословные статические записи перестали работать (IP-DNS-Static). Но если добавлялась запись вида router.local, то всё пинговалось.

Решение: Это проблема не микротика, а винды (и даже не проблема, а особенность). Если вы будете пинговать в никсах, то вполне может быть что запингуется (но опять же зависит от конкретной реализации). Но всё таки если вам надо, чтобы пинговалось по именам из одного слова то есть два выхода -

1) Немного изменить настройки на роутере - добавить в DHCP сервер параметр "Domain", пусть будет local. Тогда добавляете в DNS-Static запись router.local = 192.168.0.1 и после реконекта (чтобы ваш сетевой адаптер принял новый параметры сети) будет работать.

2) Если вы не используете DHCP, то статическая запись так и остаётся - router.local, но далее уже не надо изменять DHCP, а изменить настройку в настройках сетевого адаптера windows

(правая кнопка мыши на нужном адаптере - свойства - Протокол интернета версии 4 - кнопка "Свойства" - вкладка "Общие" - кнопка "Дополнительно" - вкладка "DNS" - Дописывать следующие DNS-суффиксы - кнопка "Добавить" и добавляем - "local", далее везде OK).

Своеобразная проблема работы Wifi

Я тут столкнулся с лютым - настраивал людям микротик 951G-2HnD, вместо сотой дирки. Всё вроде нормально, работает быстро и стабильно. И решил я на ноуте заменить провод на вафлю, дабы уменьшить паутину. Тут то пиздец и поджидал - вроде всё конектится. Но начинаешь работать и пиздец - тайминги дикие, связь рвётся и прочие радости жизни. Причём на моём ноуте всё работает прекрасно и глюков нет. Обновил систему, обновил дрова, проверил антивирусом. Все равно не работает. Начал грешить на плату. Благо она внешним модулем на minipci садится. Но для начала решил проверить usb-сетевой беспроводной - тоже самое, рвётся и глючит. Причём сетевуха однозначно рабочая.

Короче не буду вас томить - МЫШЬ БЛЯДЬ. МЫЫЫЫЫЫЫЫЫШШШШШШЬЬЬЬЬЬЬЬЬЬЬ

У человека оказалась заказанная с ебеев мышка. Диапозона 2.4Ghz. Пока мышь не трогаешь всё работает. Перемещаешь - она видимо начинает дико срать в эфир и весь выфи кончается.
После замены на расово-верный лоджитек всё стало хорошо и стабильно.

Полная очистка логов Mikrotik RouterOS

Вводная: Нужно было почистить следы выполнения некоторых команд на роутерах Mikrotik, так чтобы не было видно, что кто-то что-то делал.

Решение: Решение описано много где в интернетах и сводится к двум вещам - очистке логов и очистке истории введённых команд консоли (к примеру https://aacable.wordpress.com/2013/12/19/howto-clear-mikrotik-loghistory/).
Однако есть команда /system history print которая выводит список изменений конфигурации и который стандартными средствами не удаляется!

Для полного удаления следов пребывания можно использовать метод создания и последующего восстановления резервной копии, который выполняется за 2 команды
system backup save name=test 
system backup load name=test

Плюсы данного решения в том, что чистится всё - и логи, и история консоли, и system history.

Минус на мой взгляд один - будет выполнена перезагрузка устройства, что иногда нежелательно.

Примечание - Также будет оставлен файл бэкапа (для маскировки можно назвать файл auto-before-reset.backup и поставить ему время Jan/01/1970 00:05:51 - параметры автоматически создаваемого файла при сбросе конфигурации system reset-configuration)

Mikrotik, WiFi и продукция apple

Вводная: После установки точки доступа фирмы Mikrotik через wifi работает все, кроме продукции уважаемой фирмы Apple (iphone, ipad, appleTV, iPod и прочего)

Решение: Так как проблем может быть несколько, то проверяйте по пунктам -

• Включенный TKIP в настройках профиля безопасности - самая распространённая ошибка, так как на роутерах Mikrotik он включён по умолчанию. Проявляется при одновременной работе 802.11n и включенном TKIP. Тут всё просто - снимаем галочку с TKIP, оставляем AES.
  
• Отключена поддержка WMM (Wi-Fi Multimedia) - если она отключена, то работать ничего не будет. Подробнее - https://support.apple.com/ru-ru/TS3727 (по умолчанию включена)
• Запрет доступа на сайты + доступ по белому списку. Ошибка возникает при запрете доступа в частности к адресу www.apple.com/library/test/success.html
• В устройствах apple не поддерживаются широкие каналы (40MHz) в сетях 2.4 - так что здесь всё просто, если вы используете диапазон 2.4Ghz, то не включайте широкие каналы 40Mhz. Используйте только 20Mhz
• Возможны проблемы при ненастроенном (или неверно настроенном) времени на обеих устройствах - всё просто, на роутере включаете синхронизацию (через NTP или IP-Cloud), на apple-device либо выставляете нужное время, либо берёте с оператора
• отключенный режим скорости в 11mb/s (и соответственно режима 802.11b) - неизвестно почему, но порой возникают проблемы при его отключении

После этих всех настроек всё равно не подключается? Попробуйте
1) "Забыть" настройки сетей на iphone,
2) Создать Virtual-AP и настроить её заново (желательно с новым профилем безопасности, но можете попробовать и старый) и добавить в один бридж с неработающей.

Также из раздела шаманства могут помочь следующие вещи -

• Смена канала wifi
• Обновление прошивки (и роутера, и устройства apple - для примера разница в работе 5 и 6 версии IOS очень существенна)
• Сброс и настройка "с нуля"
• Проверить, что включена галочка "Default Authenticate" и нет фильтрации по MAC`у
• Проверить, что в вашем DHCP-пуле есть свободные адреса
• Проверить уровень сигнала - если у вас он очень низкий, точка доступа находиться за тремя бетонными стенами или в 100 метрах от вас, то у меня плохие новости - может ВООБЩЕ не получится настроить
• Иногда помогает установить disconnect-timeout=15s (по умолчанию идет 3сек)
• Включить логи system logging add topics=wireless и посмотреть, что творится

Настройка синхронизации времени (NTP клиента) в роутерах Mikrotik

Установим нашу часовую зону (если у вас другая, то не забудьте поменять)

system clock set time-zone-name=Asia/Yakutsk

Включим NTP client и пропишем начальные адреса

system ntp client set enabled=yes primary-ntp=[:resolve 0.pool.ntp.org] secondary-ntp=[:resolve 1.pool.ntp.org]

Создадим скрипт который будет обновлять IP адреса серверов пула

/system scriptadd name=SetNTPServers policy=\    ftp,reboot,read,write,policy,test,password,sniff,sensitive source="/system n\    tp client set primary-ntp=[:resolve 0.pool.ntp.org]\r\    \n/system ntp client set secondary-ntp=[:resolve 1.pool.ntp.org]"

Включаем выполнение скрипта каждые 3 часа, для обновления IP адресов из пула.

/system scheduleradd interval=3h name=SetNTPServers on-event=SetNTPServers policy=\    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\    startup

Ссылки: https://ru.wikipedia.org/wiki/NTP
http://silyashevich.blogspot.ru/2014/08/ntp-poolntporg-mikrotik-routeros.html
http://wiki.mikrotik.com/wiki/Manual:System/Time

PS: Для работы клиента, пакет NTP не требуется, он требуется только чтобы микротик мог работать в качестве NTP сервера либо для нестандартной настройки клиента.

PS2: Начиная с 6.16 можно использовать функционал IP Cloud http://arxont.blogspot.ru/2014/07/homevpn-mikrotik.html для синхронизации часов.

PS3: Выбрать более близкие сервера можно на http://www.pool.ntp.org/zone/@ (к примеру для России - можно использовать 0.ru.pool.ntp.org и 1.ru.pool.ntp.org)

PS4: Синхронизация времени важна в первую очередь для корректной работы логов, далее для использования шедулера.

Переделка Mikrotik RB951G-2HnD (добавление внешних антенн)

Перепост с http://www.yaplakal.com/forum2/topic922857.html

Цель - увеличить дальность приема, без поднятия мощности на передатчике. Итак, начнем. Будет около 25 фотографий, как закончу сообщу. Не ломайте пожалуйста. 

Вывод только нужного значения в консоли Mikrotik (использование put, get, find)

Вводная: Необходимо вывести только одно единственное значение в консоль. Это может пригодиться в разных случаях, сходу приходят на ум -

1. Создание писем для отчётности системному администратору.
2. Быстрый просмотр значений в консоли (когда не надо смотреть весь вывод, а нужно быстро посмотреть только нужное значение.
3. Когда надо отправить SMS-алерт и мы ограничены в числе символов.
4. Когда мы управляем роутером через плагин SSH или API, и нам нужно передать в программу нужное значение (для того чтобы не парсить полный вывод, а сразу получить нужное)
5. Использование в скриптовом языке

Думаю существуют ещё разные кейсы использования, если вы придумали, то опишите их в комментариях.

Решение: Решение достаточно просто и состоит в использовании двух команд - put и get. Данные команды интуитивно понятны (особенно для тех кто хоть немного знает английский). Смысл данных команд в том, что get получает значение, а put его выводит. 

Пример: Покажем на примере вывода времени непрерывной работы роутера (аптайма). Обычно его смотрят командой system resource print и вывод получается такой (на скриншоте), с кучей ненужных нам в данный момент значений - 

Но при небольшой модификации команды до  put [system resource get uptime] вывод становится гораздо более удобным.

И сразу видно отличие в размере вывода и скорости восприятия :)

Также с помощью связки данных команд и использование дополнительно команды find можно получать гораздо удобнее вывод - (для примера узнаем MAC адрес по известному IP) 

Для начала введём ip arp

А теперь - put [ip arp get [find address=192.168.8.1] mac-address]

Это особенно полезно при наличии больших списков, в которых по другому достаточно долго пришлось бы искать. То есть find необходим когда в выводе возможно несколько значений, но нам нужно получить значение только какого-нибудь одного.

show ip route для mikrotik

Перепост с http://www.mironovs.com/network/mikrotik-network/show-ip-route-dlya-mikrotik.html

На Mikrotik чтобы посмотреть какой маршрут будет использоваться для destination address, можно воспользоваться такой командой:

/ip route print where 1.2.3.4 in dst-address

Это значительно сократит вывод для конкретного направления. Особенно это полезно если много разнообразных маршрутов

Различие хорошо видно на скриншотах

HomeVPN от Mikrotik

Начиная с версии 6.16 (http://wiki.mikrotik.com/wiki/MikroTik_News "HomeVPN "one click" PPTP/IPsec server") в микротиках появилась возможность включения VPN доступа буквально в 2 клика. Достаточно в Quick Set включить галочку VPN, прописать пользователя и пароль.

Функционал связан с также недавно появившемся IP Cloud и использует предоставленное им имя (на основе серийного номера устройства. подробнее можете прочитать в статье - http://arxont.blogspot.ru/2014/06/ddns-mikrotik.html).

Далее доступ можно совершенно спокойно настроить на десктопных Windows, Linux либо мобильных IOS, Android, BB. А вот для пользователей Windows Phone всё печально (как я надеюсь пока - всё-таки в наше время без VPN тяжко)

Данное упрощение позволяет очень быстро настраивать VPN-доступ для пользователя на Mikrotik`e, что позволяет добиться -

1. Главное гораздо большой защиты - так как вы больше уверены, что никто не сниффает открытый wifi, что в общем случае позволяет перехватывать ОЧЕНЬ много данных (для тех кто скажет https - а вы знали, что DNS точки доступа может отправлять на совершенно другой адрес и использовать либо фишинг, либо «человек посередине», MITM-атака (англ. Man in the middle)) (вам никто не даст гарантию, что на какой-нибудь встрече блоггеров не будет рядом какого-нибудь мерзкого человека с роутером и аккумулятором в рюкзаке на котором поднята сеть "WiFi Free" которая снифает пароли и прочие милые сердцу вещи)
2. Это позволит получить доступ к компьютерам внутри вашей сети так, как будто в находитесь внутри сети. К примеру для доступа к общей папке достаточно будет ввести IP адрес.
3. Часто есть разные ограничения доступа или вставка рекламы в страницы при публичном WiFi - что также вы сможете избежать при использовании собственного VPN. 
4. Порой скорость получается гораздо быстрее, особенно если в одном городе. Так как скорость внутригородского пиринга может быть не ограничена, а дома чаще всего скорость кратно выше чем у публичного WiFi.
5. Приватность - вас становится сложнее отследить, так как всегда у вас будет показываться IP адрес вашей домашней точки доступа, а не того места где вы находитесь в данный момент. 
6. В отличие от платных VPN сервисов вы будете лишены всяческих лимитов (по типу, объёму трафика, скорости, посещаемых сайтов). Естественно вам не нужно будет платить за сервис (помимо стоимости самого микротик+домашнего интернет канала)

PS: Ссылки:
На вики:
http://ru.wikipedia.org/wiki/VPN
http://ru.wikipedia.org/wiki/PPTP
http://ru.wikipedia.org/wiki/MPPE
http://ru.wikipedia.org/wiki/IPsec
http://2ip.ru/ - здесь можно проверить текущий IP-адрес

PS2: Конечно это всё можно настроить гораздо более гибко (и для более серЪёзных сценариев) полностью вручную. Но ИМХО вся фишка именно в простоте реализации и лёгкости для обычного пользователя, которому нужно просто повысить свою безопасность.

Функционал IP Cloud (DDNS+NTP) от Mikrotik (встроенное решение)

В RouterOS версии 6.14 появилась новая функция - собственная реализация DynDNS. Пока функционал в статусе бета-версии, но им уже можно пользоваться. Не используя внешние сервисы и скрипты (типа http://arxont.blogspot.ru/2013/02/dns-mikrotik.html).

Настройка происходит в разделе ip cloud. В данный момент настроить можно только два параметра - "Enabled" и "Update Time".

С параметром "Enabled" всё просто - включает данный функционал.

Параметр update-time - делает следующее - после перезагрузки маршрутизатора и во время каждого обновления DDNS (когда у маршрутизатора изменяется внешний IP-адрес или после команды /ip cloud force-update). Если установлено значение "Enabled", то время маршрутизатора будет установлено на время, сервера DDNS ЕСЛИ не установлены (или не включены) SNTP или NTP. Если установлено значение "нет", то облачный сервис не обновит часы маршрутизатора.

Работает функционал DDNS  следующим образом -
Маршрутизатор проверяет изменение IP-адреса каждую минуту
Маршрутизатор ожидает реакции сервера DDNS: 15 секунд
Длительность TTL записи на DDNS: 60 секунд

Так как в данный момент сервис в статусе беты, то мы не можем выбирать имя для сервера, вместо этого проставляется имя вида %СерийныйНомер%.sn.mynetname.net, но даже в данном режиме мы можем использовать данную настройку. Надеюсь в дальнейшем сделают использование своего имени и можно будет указывать произвольно.

Так же ОЧЕНЬ серьёзным ограничением в данный момент является, то что нельзя указать конкретный интерфейс (или IP), адрес которого надо привязывать к DDNS сервису - но если у вас один внешний линк, то проблема не особо существенна.

PS: Работает только с устройствам RouterBOARD. Если у вас RouterOS x86, то данный функционал у вас работать не будет. Пруф - http://forum.mikrotik.com/viewtopic.php?f=2&t=85906#p431877

PS2: Если вам нужно, красивое имя, то наиболее простое решение это прописать CNAME на свой домен. Правда для этого нужно иметь зарегистрированный домен и возможность редактирования его DNS настроек.