Mikrotik как вывести взаимодействие с заданными сайтами через отдельный vpn интерфейс?

Question

[alz5]

В организации есть роутер Микротик, используется как основной шлюз для выхода в интернет и обслуживает внутреннюю сеть организации. Встала задача получить доступ к ряду сайтов через зарубежный vpn.
Что сделал:
1) настроил vpn туннель на Микротике, соединение прошло, попробовал внутренними средствами роутера осуществить трасерт до нужного сайта - пакет нормально трасируется через внешние узлы через vpnканал;
2) настроил маркировку пакетов из внутренней сети, которые идут до нужных узлов, и направил их в vpn по следующим правилам:

/ip firewall address-list
add address=x.x.x.x list=block_sites comment="www.kremlin.ru"
/ip firewall mangle

add action=mark-routing chain=prerouting comment=mark_for_routing_block_sites \
dst-address-list=block_sites new-routing-mark=block_sites

/ip route
add distance=1 gateway=xxxxxxxxxxxxx routing-mark=block_sites

3) стал проверять.. с роутера все идет до нужных узлов без затыков что по обычному ppoe соединению от провайдера, что через зарубежный vpn, однако от клиентов локальной сети доступ до этих узлов стал заблокирован, когда я заворачиваю помеченные пакеты на vpn. Также заметил, что из локальной сети не могу достучаться до шлюза к которому подцеплен зарубежный vpn. Т.е. если считать:
192.168.1.1 - внутренний адрес роутера для локальной сети
192.168.1.2 - адрес локального клиента- рабочей станции
145.x.x.1 - внешний адрес роутера у провайдера интернета
145.x.x.2 - адрес vpn сервера провайдера через который идет интернет
194.y.y.1 - внешний адрес роутера через зарубежный vpn
194.y.y.2 - адрес зарубежного сервера к которому подключаемся по vpn
8.8.8.8 - требуемый ресурс

то по факту:
- в принципе не получается даже пропинговать 8.8.8.8 с адреса 192.168.1.1 или с адреса 192.168.1.2, если я ставлю обязательную пересылку помеченных пакетов через 194.y.y.2,
- 192.168.1.2 и 192.168.1.1 пингует адрес 194.y.y.1 без проблем;
- в принципе не получается пропинговать шлюз 194.y.y.2 с ip адресов 192.168.1.1 или 192.168.1.2, хотя с адреса 194.x.x.1 он доступен;
- также не получается достучаться ни к 194.y.y.2 ни к 8.8.8.8 из внутренней локльной сети, если сделать локальный маршрут на компе клиента, который для этих ip адресов основным шлюзом делают 194.y.y.1;
- если поменять пересылку помеченных пакетов напрямую через 145.x.x.2 - пакеты начинают ходить и приниматься как надо до сайта 8.8.8.8 - т.е. правило маркировки и обработки помеченных пакетов выполняется;
- посмотрел все запрещающие\разрешающие правила - не выявил ничего подозрительного или лишнего.

Настраиваю Микротик впервые, подскажите пожалуйста что я упустил.

Answer 1

[dannyzubarev]

Похоже на то, что вы забыли про NAT. :)

/ip firewal nat add action=masquerade chain=srcnat out-interface=[YOUR_VPN_OUT_INTERFACE]

[YOUR_VPN_OUT_INTERFACE], соответственно, заменить на название вашего vpn-out интерфейса.