Mikrotik, обновил ROS с 6 на 7 версию, как теперь настроить OVPN сервер шлюзом??
Всем привет! Я чет совсем уж разочаровался в ROS7, ибо там перелопатили всю сущность маршрутизации, если я правильно понял, в итоге стало как в Зоне после выброса: старые тропки стали непроходимые)) Вопрос - как обычо: кто виноват и что делать.
Итак, суть:
Имею парк микротов в личном хозяйстве (RB951ui на работе, AC2 дома и CHR в AWS в качестве VPN. Домашний АС2 служит основным, так сказать, OVPN сервером для физических железяк, рабочий подключается к нему с рабочего интернета, чтобы в мой внешний траффик не лезли чужие глазки и ручки, заодно удаленка для доступа к рабочим ресурсам. А CHR в облаке служит OVPN сервером для домашнего (и всех, кто за ним - локалка и ведомые через OpenVPN железки), чтобы обходить блокировку на некоторые вручную задаваемые ресурсы. На RouterOS 6 вот вообще не было проблем. Железки подключались по схеме:
-AC2 - поднят сервер OVPN, открыт наружу 1194 TCP порт лишь для некоторых 24-х провайдерских подсетей, чтобы не ломились все кому ни попадя.
-На рабочем микроте подключился к домашнему. В Mangle создано правило add chain=prerouting src-address-list=home action=mark-routing home
Траффик для локальных адресов из списка home заворачивается при помощи NAT и маршрута dst-address 0.0.0.0/0 на OVPN интерфейс для router mark home.
Ну и DNS, разумеется, тоже берется с дома.
-Остальные железки типа телефона или чего иного тоже подключаются к этому серверу при надобности, но все порты наружу по input закрыты, помимо вышеуказанного правила, для остальных OVPN порт открывается через порт кнокинг, при этом кто не угадал с размером пакета ICMP (кроме пингов со стандатным размером пакета) - отправляются в бан-лист на год и отсеиваются на этапе RAW.
-Траффик на микрот в AWS для обхода РКН заворачивается чутка по-другому - в Mangle правило: соединения на адреса dst-address-list RKN маркируются mark routing RKN, и далее в /ip/routing создан маршрут 0.0.0.0/0 на интерфейс OVPN до AWS для router mark RKN. Адреса в RKN-лист добавляются тупо DNS именем, к примеру, rutracker.org. Кстати, интересно, адреса без www резолвятся одни, а с www - другие.
В общем, работала эта себе схема, не знала баба горя, купила баба порося. Решил я освоить новую ROS7. Все бы хорошо, да вот оказалось, что маршрутизацию они там, по ходу. перелопатили. Началось все с того, что теперь нельзя просто так взять и маркирнуть mark routing - ее, эту марку, тупо теперь не создать в этом месте. Методом тыка выяснилось, что сначала надо тащиться в /routing/tables и создать новую таблицу маршрутизации, к примеру, та же RKN для доступа через AWS, или таблицу home для доступа в интернет через домашний роутер с работы На рабочем ведомом микроте соответственно тоже создана таблица home, чтобы mark routing был. Но траффик с работы через домашний микрот хоть и вроде как ходит, но что-то не то с DNS, или в другом дело - не пойму. Ибо упала отзывчивость, сайты открываются через раз, какие-то по минуте целой, а какие-то сразу грузятся. А иногда вообще не открываются. Тупит полминуты, затем бац ERR_TIMED_OUT в браузере. Иногда работают быстро - полный рандом короче. Отключаю правило Mangle, которое маркирует траффик - все идеально. Пробовал менять в Mangle правило с mark routing на тупое route и указывать напрямую адрес микрота на интерфейсе ovpn. Если убрать таблицу маршрутизации home, к примеру, на работе, и оставить одну main, но указать в route 0.0.0.0/0 в интерфейс OVPN c меньшим Distance, то траффик идет-таки через дом (internet.yandex.ru выдает мой внешний IP - домашний), но многие адреса, которые в запрещенном списке на шлюзе организации, перенаправляются на шлюзовую страницу, что, мол, иди на фиг, нельзя. Короче говоря, при казалось бы аналогичных настройках все стало работать через одно место.
Вопрос, как сказал выше, ясен: кто виноват и что бы рекомендовалось сделать.
з.ы. чутка подправил текст.
Абсолютно все что у вас написано у меня работает, также мангл со списками. Только ушел с ovpn на wg. Могу предположить что вы обновились на 7ку с сохранением конфигурации или востановили ее из бэкапа. У меня в таком случае тоже странности были, решилось все прошивкой без сохранений конфигов и настройкой с нуля.
Дык я тоже все с нуля настраивал. Кстати, с WG вообще лотерея, я пробовал настраивать. Соединение с телефона на микрот работает отлично, а между микротами (рабочий находится за NAT организации, а домашний с белым адресом) - это тупо лотерея. Настроил, пашет, а завтра (или через три часа, к примеру) вдруг бац, и не пашет с этими же настройками. А настройки простые:
MTU уменьшил до 1412
-На "сервере" : для пира allowed addresses адрес клиента, даваемый ему на интерфейсе, ну и обязательный параметр keealive iinterval не нулевой. Endpoind peer и address не указываю, ибо клиенты без белого IP.
-На клиенте то же самое, разве что endpoint адрес и порты указаны, allowed addresses - вообще вся 24 подсеть, в которой задаю адреса для WG интерфейсов. Плюс ессно keepalive time.
В итоге "хочу коннекчусь. хочу не коннекчусь". А в логах пишет "Handshake for peer did not complete after 5 seconds, retrying (try 8)".
Посему пока что забил болт WG между рабочим и домашним. Где-то, кстати, писали, что микрот как WG клиент работает нестабильно. OpenVPN по UDP, кстати, между ARM и MIPS микротами тоже не хочет подыматься - матерится на ошибку TLS. Так что между микротами пока OVPN@TCP, по старинке.
Ладно, не суть. Касаемо OVPN. В общем, я с нуля все настраивал дома и на работе - все равно все работает нестабильно. Траффик идет, но сайты работают рандомно. Такое все-таки ощущение, что с рабочего микрота DNS-запросы летают рандомно - то через провайдерский WAN, то через домашний микрот. Странно, но с шестеркой вообще все было как часы.
kurvimetr, могу только предположить что отваливается ovpn и маршрут меняется то через него, то через wan.
По wg, фиг знает, пожалуй это самое стабильное и простое решение нынче. Пробивает любые наты.
Попробуйте еще mss поправить. Если по какойто причине keealive iinterval не помогает, что странно кстати, попробуйте рауками пинги пихать каждые секунд 5.
Дмитрий Александров, решил дополнить ответ по WG. В организации хотспот-сеть вообще веселая, она, по ходу, не пропускает наружу некоторый (возможно, только исходящий) UDP трафик, поскольку не работает вообще никакой ни WG, ни OVPN через UDP. Долго в прошлом еще году долбился - нивкакую. Так что остается только OVPN через TCP, ну и на том спасибо.
1) Ovpn делается шлюзом по умолчанию одной галкой на клиенте «add to default route» в настройках интерфейса.
2) при маркировки трафика сначал должны отмаркировать соединения и только потом маркировать пакеты/маршруты. Далее как настраивать Вы уже знаете: в роутах добавить маршрут для четырех нулей в интерфейс овпн клиента для маркированных роутов. Чтобы не городить наты, добавить маршрутизацию между роутером с сетью локальной и сетью на сервере ВПН, статикой или динамикой - как вам удобнее
Обновлял, везде свежие firmware. Вообще, эта кутерьма постоянная еще с момента когда ставил семерку впервые (тогда была 7.1.2). Если какой-то сайт не пашет - приходится гнать траффик напрямую, отключяя правило Mangle
add chain=prerouting src-address-list=home action=mark-routing home
Вот яндекс почта, к примеру, может грузиться минуту целую. Другие сайты могут мгновенно загружаться. Вот сейчас с рабочего ПК, к примеру, сайт kp.ru может тупо не грузиться. То есть тупит полминуты, затем бац, ошибка страницы, причем нет, чтобы на DNS Response ругаться или там ресурс не отвечает - просто "ERR_TIMED_OUT"
Хотя с прямым маршрутом в интернет (через WAN) все пашет. Дома, ессно, сижу через АС2 напрямую, и тоже нет проблем с сайтами.
Может в файрволе что-то не так, хз.
/ip firewall filter
1. add action=accept chain=input comment="Allow input DNS from LTE" in-interface=lte1 protocol=udp src-address=192.168.8.1 src-port=53 - разрешает DNS запросы на резервный канал (свисток с симкой) в случае отвала основного интернета, свисток подключается редко на самом деле.
2. add action=accept chain=input comment="Allow input home IP only for LTE" in-interface=lte1 src-address=хх.хх.хх.хх - входящий траффик с домашнего роутера для LTE модема (чтоб остальные соединения от микрота траффик не жрали)
3. add action=drop chain=forward comment="Drop all forward except MASTERCOMP for LTE if" dst-address=!192.168.100.239 in-interface=lte1 out-interface=all-ethernet разрешает forward траффик со свистка только на админский комп - чтобы остальная сетка траффик не жрала
4. add action=drop chain=input comment="Drop all input from LTE" in-interface=lte1 Запрещает весь остальной input траффик со свистка. Чисто на всякий.
5. add action=accept chain=forward comment="Allow forward traffic from home OVPN" in-interface=ovpn-out1разрешает forward траффик с интерфейса OVPN до домашнего роутера
6. add action=accept chain=input comment="Allow NTP input" dst-port=123 in-interface-list=LAN protocol=udp Микрот является NTP серваком в сети
7. add action=accept chain=input comment="Defconf input accept all established, related, untracked" сonnection-state=established,related,untracked
8. add action=accept chain=forward comment="Defconf forward accept all established, related, untracked" connection-state=established,related,untracked
9. add action=drop chain=forward comment="Defconf forward drop all invalid" connection-state=invalid
10. add action=drop chain=input comment="Defconf input drop all invalid" connection-state=invalid ну это дефолтные правила
11. add action=drop chain=input comment=Drop_all_WAN_input in-interface-list=WAN
собсно тоже. Запрещает весь прочий траффик input WAN, не попавший в категории выше
kurvimetr, да, я не вдавался особенно, но вот, что написано:
Обнова 7.3.1
What's new in 7.3.1 (2022-Jun-09 11:58):
*) rb3011 - fixed RB3011 going into a reboot loop when the SFP module is present (introduced in v7.3);
*) wifiwave2 - fixed WPA3-PSK authentication incompatibility with certain vendor and model devices;
What's new in 7.3 (2022-Jun-06 11:38):
*) bgp - added "name" parameter for connections;
*) bgp - added initial support for prefix limit;
*) bgp - fixed "keepalive-timeout" value when upgrading from RouterOS v6;
*) bgp - fixed "l2vpn" distribution;
*) bgp - improved stability when editing BGP template;
*) bgp - moved "interface bgp-vpls" menu to "routing bgp vpls";
*) bgp - remove unused commands and parameters;
*) bluetooth - improved long-term service stability;
*) bonding - added "lacp-user-key" setting;
*) bonding - fixed LACP flapping for RB5009 and CCR2004-16G-2S+ devices;
*) bridge - added more details for loop detection warning;
*) bridge - do not set VLAN on inactive port with a "set" command;
*) bridge - fixed TCP, UDP port parsing for loop detect warning;
*) bridge - fixed packet marking for IP/IPv6 firewall;
*) bridge - ignore VLAN tagged BPDU;
*) capsman - fixed bridge disabling when using L2 connection;
*) capsman - fixed loss of manager configuration when "package-path" is set to external disk;
*) capsman - improved traffic processing over CAP communication tunnels:
*) ccr - added "passthrough" flag for interfaces on CCR2004-1G-2XS-PCIe;
*) ccr - added visible "passthrough" flag for interfaces on CCR2004-1G-2XS-PCIe;
*) ccr - improved interface link stability on CCR2004-16G-2S+PC;
*) ccr - usability and stability improvements for passthrough interfaces on CCR2004-1G-2XS-PCIe;
*) cd-install - allow selecting on which drive to install RouterOS;
*) chr - fixed Cloud DDNS update after license renewal;
*) conntrack - limited full Connection Tracking warning to 1 message per minute;
*) console - fixed "terminal inkey" command;
*) crs1xx/2xx - improved system stability during switch reset;
*) defconf - do not add passthrough ports to local bridge on CCR2004-1G-2XS-PCIe;
*) dhcpv4-server - added "age" parameter for dynamic leases;
*) dhcpv4-server - fixed conflicting or declined lease detection when IP pool differs from server's configuration;
*) dhcpv4-server - fixed minor logging typo;
*) dot1x - fixed RADIUS State attribute when client is reauthenticated;
*) dot1x - fixed port based VLAN ID assignment on devices without a switch chip;
*) dot1x - improved server stability when using re-authentication;
*) export - fixed value ID exporting that does not refer to any name;
*) fetch - fixed SFTP upload;
*) fetch - improved full disk detection;
*) filesystem - fixed possible boot failure on RB850Gx2 and RB1100AHx2;
*) filesystem - improved UBIFS stability and data integrity after downgrade to RouterOS v6 and upgrade to RouterOS v7;
*) filesystem - improved long-term filesystem stability and data integrity;
*) gps - added GPS package support for Chateau devices;
*) gps - fixed minor value unit typo;
*) ipsec - fixed IPsec IRQ initialization on startup on TILE;
*) ipsec - fixed printing of active peer statistics;
*) ipv6 - added "ra-preference" parameter support for RA;
*) ipv6 - fixed dynamic non link-local addresses displaying;
*) ipv6 - removed bogus commands from IPv6 neighbors menu;
*) l2tp - added VRF support for L2TP client;
*) l3hw - greatly improved route offloading speed;
*) l3hw - improved offloading for directly connected hosts on CRS305, CRS326-24G-2S+, CRS328, CRS318, CRS310;
*) l3hw - improved offloading in cases of HW table overflow for CRS305, CRS326-24G-2S+, CRS328, CRS318, CRS310;
*) l3hw - improved route table offloading for CRS317, CRS309, CRS312, CRS326-24S+2Q+, CRS354, CRS5xx, CCR2x16 devices;
*) l3hw - log HW routes count and the shortest offloaded subnet prefix if the HW memory gets full;
*) l3hw - offload only main routing table;
*) l3hw - optimized offloading when dealing with large volume of directly connected hosts;
*) l3hw - partial routing table offload for Marvell Prestera DX4000/DX8000 switch chip series;
*) leds - fixed ethernet LED behavior on wAP R ac;
*) leds - fixed wireless related LED behavior with WW2 package;
*) lhgg - improved system stability (introduced in v7.2);
*) lora - do not allow setting non-existing forwarding server;
*) lora - fixed bogus TOO_EARLY errors;
*) lora - removed TX lookup table;
*) lte - added SMS sending support for MBIM protocol;
*) lte - added support for generic PXA1802 based modems;
*) lte - allow only MCC/NMC format in "operator" parameter;
*) lte - clear SIM values when modem in "stopped" state;
*) lte - disabled extended signal info query for Telit LN940 module;
*) lte - disabled wait for LTE auto attach;
*) lte - expose diagnostics channel for all modems;
*) lte - fixed LTE firwmare upgrade on RBLtAP-2HnD with R11e-LTE6;
*) lte - fixed Sierra MC7455 modem initialization;
*) lte - hide slave interfaces from export;
*) lte - improved LTE interface initialization process on LtAP-2HnD;
*) lte - improved stability when configuring multiple APN's at the same time in MBIM mode;
*) lte - improved stability when upgrading LTE firmware on Chateau 5G;
*) mlag - fixed MAC address moving between bridge ports;
*) mpls - do MPLS forwarding for nexthops without mappings;
*) mpls - fixed MPLS MTU and path MTU selection;
*) mpls - fixed MPLS forwarding after any interface configuration parameter is changed;
*) mpls - improved LDP AF selection process and behavior;
*) mpls - made LDP bindings work on PPP interfaces;
*) ntp - do not allow setting port number in "server" parameter;
*) ntp - fixed "use-local-clock" behavior when enabling server;
*) ospf - fixed GRE interface compatibility with OSPF;
*) ospf - ignore instance route when originate-default=if-installed is enabled;
*) ospf - improved stability when enabling or removing interface-template entries;
*) ovpn - adjusted SHA2 authentication algorithm naming to allow legacy OpenVPN implementations to connect;
*) ovpn - fixed hardware offloading support on CHR;
*) ovpn - fixed memory leak on TILE architecture;
А ещё обнаружил, если например, из PONG-розетки от РТ берёшь Инет оптику (у меня 800Мб) и просто его в Микрот с настройками по умолчанию заводишь, то скорость так и есть, всё гут.
Но если, все абсолютно настройки сносишь и с нуля руками настраиваешь абсолютно так же, как и было в настройках по умолчанию, а Инет нихера - не даёт скорости!
Около 200 и баста!!!
Настройки просто один в один, а, вот, такая байда.
Сколько не крутил, сколько не лопатил интсрукций, нихера!
Вот, такое поведение...
И это с 6-ки так ещё...
*) ovpn - fixed packet processing on MT7621A;
*) ovpn - fixed server instance not responding to incoming connections after reboot on CHR;
*) ovpn - improved Windows client disconnect procedure in UDP mode;
*) ovpn - improved server stability under continous overload;
*) ovpn - improved service stability when outbound packets are blocked by firewall in UDP mode;
*) ovpn - improved service stability when processing frequent disconnects in UDP mode;
*) ovpn - improved stability when forwarding traffic on TILE;
*) ovpn - moved authentication failure messages to "info" logging level;
*) ovpn - reply with the same IP address that the connection was established to;
*) ping - fixed socket allocation after VRF change;
*) port - do not loose "parity" setting;
*) ppp - added support for VRF;
*) ppp - added warning when using prefix length other than /64 for router advertisement;
*) ppp - fixed "remote-ipv6-prefix" parameter unsetting;
*) ppp - fixed active sessions sometimes getting stuck;
*) ppp - fixed issue with multiple active sessions when "only-one" is enabled;
*) profile - added "wireguard" process classificator;
*) profile - added "zerotier" process classificator;
*) qsfp - reset module only when all ports are disabled;
*) queue - allow to set higher limits than 4G;
*) queue - display warning for CAKE type in simple and tree setups when "bandwidth" parameter is configured;
*) queue - improved stability in large list of queue scenarios;
*) rb5009 - fixed 10G linking issues with Intel X520, XXV710 NICs;
*) resource - fixed CPU type display under system resources for ARM and ARM64;
*) romon - fixed VLAN tagged packet processing;
*) route - fixed "nexthop" table printing;
*) route - fixed "table" menu emptying after RouterOS upgrade;
*) route - fixed IPv6 /127 route nexthop resolution;
*) route - fixed static routes in VRF becoming invalid after reboot;
*) route-filter - fixed community matchers;
*) routerboard - fixed USB bus numbering on LtAP and M33G;
*) routerboot - added extra shortcut information on how to boot into etherboot;
*) routerboot - prevent enabling "protected-routerboot" on unsupported factory firmware versions;
*) routerboot - properly reset system configuration when protected bootloader is enabled and reset button used;
*) rsvp-te - improved stability when "Resv" received for non-existing session;
*) sfp - added 2.5Gbps rate for SFP+ and QSFP+ interfaces on 98DXxxxx and 98PX1012 switches (requires disabled auto-negotiation);
*) sfp - hide empty monitor values in console;
*) sfp - improved Q/SFP interface initialization and stability for 98DXxxxx and 98PX1012 switches;
*) sfp - improved QSFP/SFP interface initialization for 98DXxxxx switches;
*) smb - fixed SMB2 file list reporting;
*) snmp - added VRF support (CLI only);
*) snmp - added VRF support;
*) snmp - fixed reported disk size when multiple external disks are attached;
*) snmp - hide Vendor ID in DHCP MIB when branding is present;
*) snmp - report "ifSpeed" as 0 if value out of bounds (use "ifHighSpeed" for high speed interfaces instead);
*) ssh - added AES-GCM cipher support;
*) ssh - fail non-interactive client after first invalid password;
*) ssh - fixed corrupt host key automatic regeneration;
*) ssh - fixed private key usage after downgrade;
*) ssh - removed DSA public key authentication support;
*) supout - added IGMP-Proxy section;
*) supout - added NTP servers section;
*) supout - added PIMSM section;
*) supout - added RIP section;
*) supout - added WireGuard section;
*) supout - added simplified IPv4 and IPv6 routing table prints;
*) switch - added option to match source and destination IP addresses in ARP packets for RB5009 (requires mac-protocol=arp setting);
*) switch - fixed missing stats from traffic-monitor for 98DXxxxx and 98PX1012 switches;
*) system - fixed IP service initialization in VRF after system startup;
*) system - fixed Kernel timer consistency;
*) system - fixed rare partial loss of RouterOS configuration after package upgrade/downgrade/install/uninstall;
*) torch - properly capture all related IPv6 traffic;
*) tr069-client - fixed RPC download of "1 Vendor Configuration File" with branding package;
*) tunnels - improved packet handling over EoIP, IPIP and GRE tunnels;
*) upnp - improved stability when processing incomplete HTTP header;
*) user-manager - added "Acct-Interim-Interval" to predefined attribute list;
*) user-manager - improved stability when received EAP attribute with non-existing state attribute;
*) vpls - fixed "pw-l2mtu" parameter usage;
*) vpls - fixed TE transport path usage after startup;
*) vrrp - fixed learning of bridged local MAC addreses;
*) w60g - improved stability on Cube 60Pro ac and CubeSA 60Pro ac;
*) webfig - properly show all routing table content;
*) wifiwave2 - fixed VLAN tag handling;
*) wifiwave2 - general stability and throughput improvements;
*) winbox - added "Comment" parameter for BGP templates and connections;
*) winbox - added "Default Cost" parameter under "Routing/OSPF/Area" menu;
*) winbox - added "ra-preference" parameter under "IPv6/ND" menu;
*) winbox - added SKID and AKID parameters under "Certificate" menu;
*) winbox - added missing "IBGP", "EBGP", "Limit Exceeded" and "Stopped" parameters under "Routing/BGP/Sessions" menu;
*) winbox - added missing "Keep Sent Attributes" parameter under "Routing/BGP/Connection" menu;
*) winbox - added missing "Scan List" parameter for W60G interfaces;
*) winbox - added missing BGP session commands;
*) winbox - added support for 2.5Gbps and 100Gbps Ethernet speed options;
*) winbox - added warning message for LTE upgrade process;
*) winbox - do not auto start Wireless Sniffer when opened;
*) winbox - do not show "Session Uptime" parameter under "LTE" menu if not supported by modem;
*) winbox - do not show "unknown" area under "Routing/OSPF/LSA" menu;
*) winbox - do not show type value for NXDOMAIN entries under "IP/DNS/Cache" menu;
*) winbox - fixed "Disconnect Timeout" parameter type under "CAPsMAN" menu;
*) winbox - fixed "IP/Cloud" window refreshing after changes are detected;
*) winbox - fixed "Type" values under "IP/Route" menu;
*) winbox - fixed graph drawing in QuickSet;
*) winbox - fixed hex type values under "User Manager" menu;
*) winbox - fixed minor typo in reboot confirmation prompt;
*) winbox - fixed typo in ZeroTier instance title;
*) winbox - made "Interface Templates" table sortable under "Routing/OSPF" menu;
*) winbox - made "MPLS Interface" table sortable under "MPLS" menu;
*) winbox - made 56 the default ping size;
*) winbox - made wireless access list entries sortable when using the wifiwave2 package;
*) winbox - minimal required version is v3.33;
*) winbox - moved "src-address-list" and "dst-address-list" parameters to "General" tab under "IP/Firewall" menu;
*) winbox - moved "src-address-list" and "dst-address-list" parameters to "General" tab under "IPv6/Firewall" menu;
*) winbox - properly clean up SFP module information after it is unplugged;
*) winbox - properly clean up disk after a failed file upload;
*) winbox - properly load band values under "LTE" menu;
*) winbox - removed obsolete "Routing Table" parameter under "IP/Firewall" menu;
*) winbox - show "System/RouterBOARD/Mode Button" on devices that have such feature;
*) winbox - show PVID column by default under "Bridge" menu;
*) winbox - show correct file system type under "System/Disks" menu;
*) winbox - take into account timezone for timed values under "User Manager" menu;
*) wireless - fixed "wmm-support=required" checking;
*) wireless - fixed EAP-TLS authentication;
*) wireless - fixed GUD version in 3gpp information;
*) x86 - added support for Solarflare SFC1920 NIC;
*) x86 - fixed soft-id reading on virtualized x86 installations (introduced in v7.2);
*) x86 - improved support for Intel E810 NIC;
*) zerotier - added support for Controller configuration;
Valdemar Smörman, ну да, кстати, бывают приколы, что с одними и теми же настройками в некоторых отличных обстоятельствах не работает. У меня уже ощущение, что какая-то дичь с провайдерским NAT. Ибо интернет берется с халявного вайфая завода. Там куча своих фильтров. VPN, к примеру, там не пашет никакой. Хотя с микрота OVPN нормально к дому бьет.
Valdemar Smörman, долго гуглил, ибо по ROS 7, скажем так, мало очень еще пока по специфическим настройкам, а очень многое из шестерки на семерке неактуально - на тех местах тупо нет таких пунктов или даже целых разделов настроек. Что-то разве что по логике получается настроить. По статьям сделал вообще все по-другому. AWS FREE TIER у меня все равно на аккаунте истекает в этом месяце. Настроил по статье "Настройка antifilter.download в связке с vpn сервисом cloudflare warp на mikrotik ROS v7.1" BGP и Wireguard до Cloudflare WARP, появилась куча маршрутов в обход отечественной цепочки маршрутизаторов. Это VPN наружу. Осталось в принципе настроить нормальное течение траффика до рабочего микрота, но если между рабочим и домашним микротом поднимать BGP, то роутер получит маршруты с домашнего, и тут может быть проблемка: все тащится через Cloudflare с IP 1.1.1.1, а WAN у меня в виде халявного вайфая, и там за шлюзом регистрация на хотспоте через местный 1.1.1.1, причем сессия убивается в полночь, плюс минус полчаса. Утром приходится снова заходить на страницу авторизации и жать кнопку входа. Как бы конфликта не возникло. Хотя, по идее, при потере доступа в интернет через WAN отключится OVPN до дома, и протухнут маршруты все, так что, думаю, норм все будет. Во вторник попробую этим заняться, как приеду на работу. Заодно попробую еще разок WG настроить между рабочим и домашним.
После обновления с сохранением настроек - рекомендую перейти в ip - firewall - Mangle
вкладка Action, в графе New Routing Mark - выбрать ранее использующийся маркер.
Средний
Простой
Средний
