Помогите мне остановить подмену MAC-адресов.

Невозможно полностью запретить подмену MAC-адреса, если у злоумышленника есть устройство с активным MAC-адресом в вашей точке доступа и у него рутованный телефон. Но вы можете предотвратить показ MAC-адресов ваших клиентов в сканерах Wi-Fi, изменив длину префикса сети с 24 на 32. Для этого в Winbox зайдите в IP → DHCP SERVER → NETWORKS, установите шлюз 2.2.2.2 и маску сети 32, затем примените.

Второй способ: когда клиент подключается к вашему хотспоту, система показывает MAC-адрес устройства, IP и имя хоста. Значит, если кто-то украдет MAC другого клиента, вы все равно сможете определить его по имени хоста. Например, если он подделал три разных MAC, DHCP-сервер покажет три MAC с одним и тем же именем хоста — если только он не настолько умный и не научился подделывать и имена хостов.

Ладно, перейдём к делу. Есть скрипт, который нужно вставить в новый терминал. Он каждые 20 секунд сканирует имена хостов, и если находит дубликат, автоматически кикает этот плохой хост, то есть злоумышленник сможет быть в системе максимум 20 секунд, а потом его выкинет. Надеюсь, это решит ваши проблемы.

Скрипт использует глобальную переменную hacklist:

#:log info ($hacklist)  
:foreach host in $hacklist do={  
 :foreach i in= [/ip dhcp-server lease find host-name $host] do={
   :local ipnum [/ip dhcp-server lease get $i address]
   :local unum [/ip hotspot active find address $ipnum]
   :if ([:len $unum] >0) do {
     :local usr [/ip hotspot active get $unum user]
     :log warning ($host . " " . $ipnum . " " . $usr)  
     # следующая строка сразу же кикает клиента, тут же можно добавить проверку pppoe  
     /ip hotspot active remove $unum  
     # дальше можно делать что-то ещё с найденным IP и пользователем  
   }  
 }  
}

Wi-Fi-сканеры сканируют диапазон IP-адресов, поэтому если не показывать IP-адреса, то и MAC-адреса тоже не будут отображаться.