День добрый.
Захотел завернуть часть трафика в впн через address lists. Прочитал кучу мануалов, как должно работать стало понятно, но на практике не работает.
Краткая схема сети: Mikrotik hEX S, ether1 - интернет. ether2-4 объединены в мост (bridge_local, 192.168.1.3/24), на нем есть vlan (dmz_vlan, 192.168.88.1/24). В одном из этих vlan есть маршрутизатор с поднятым VPN (192.168.88.3), в интернет этот маршрутизатор ходит через этот же mikrotik.
Если писать правила в routes все работает,
/ip route add distance=1 dst-address=1.1.1.1/32 gateway=192.168.88.3
но это не удобно.
Создал address lists
/ip firewall address-list add address=1.1.1.1 list=blocked
Добавил маркировку соединения (если сразу делать mark routing тоже не работает)
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-list=blocked new-connection-mark=vpn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=vpn new-routing-mark=tovpn passthrough=no
Добавил маршрут в новую таблицу маршрутизации
/ip route add distance=20 gateway=192.168.88.3 routing-mark=tovpn scope=10
Судя по анализу трафика в впн все уходит и потом возвращается, но пропадает после входа из vlan. tcp dump на маршрутизаторе с впн показывает правльные src и dst адреса.
fast track отключен
Сложный
