Почему не работает mark routing mikrotik?

Question

[Олег Nerwin]

День добрый.
Захотел завернуть часть трафика в впн через address lists. Прочитал кучу мануалов, как должно работать стало понятно, но на практике не работает.
Краткая схема сети: Mikrotik hEX S, ether1 - интернет. ether2-4 объединены в мост (bridge_local, 192.168.1.3/24), на нем есть vlan (dmz_vlan, 192.168.88.1/24). В одном из этих vlan есть маршрутизатор с поднятым VPN (192.168.88.3), в интернет этот маршрутизатор ходит через этот же mikrotik.
Если писать правила в routes все работает,

/ip route add distance=1 dst-address=1.1.1.1/32 gateway=192.168.88.3

но это не удобно.
Создал address lists

/ip firewall address-list add address=1.1.1.1 list=blocked

Добавил маркировку соединения (если сразу делать mark routing тоже не работает)

/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-list=blocked new-connection-mark=vpn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=vpn new-routing-mark=tovpn passthrough=no

Добавил маршрут в новую таблицу маршрутизации

/ip route add distance=20 gateway=192.168.88.3 routing-mark=tovpn scope=10

Судя по анализу трафика в впн все уходит и потом возвращается, но пропадает после входа из vlan. tcp dump на маршрутизаторе с впн показывает правльные src и dst адреса.

снифер на микротике

fast track отключен

Comments

[Valentin Barbolin]

В новую таблицу добавил обратный маршрут в сеть 192.168.88.0/24 ?

[Олег Nerwin]

Andrey Barbolin, и 88 и 1 подсети добавлял, но он разве не должен из main маршрут взять? Локално тоже не работает (когда в output правила добавляю). И если с самого микротика пинговать src стоит интернетовский ip, а не 192.168.88.1, с которого пакет уходит

[AlexVWill]

Убрать VPN c маршрутизатора, поднять клиента VPN на микротике и запустить все тоже самое через VPN интерфейс на микротике по инструкции.

[Олег Nerwin]

AlexVWill, в чем принципиальная разница? Есть интерфейс dmz_vlan на котором по сути интернет от второго провайдера.

[AlexVWill]

Олег Nerwin, так проще и меньше промежуточных маршрутов, где может быть затык. Про сути вопроса

add action=mark-connection chain=prerouting dst-address-list=blocked new-connection-mark=vpn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=vpn new-routing-mark=tovpn passthrough=no

Оставь что-то одно. Если первое - то выглядит правильным, если второе, то надо Src. Address 192.168.1.0/24, и Dst. Address !192.168.1.0/24 указать, dst-address-list=blocked, и passthrough=yes

Answer 1

[Олег Nerwin]

Сам спросил, сам ответил.

IP/Settings
Warning: strict mode does not work with routing tables

Стоял как раз strict.

If using asymmetric routing or other complicated routing or VRRP, then loose mode is recommended.