Как в Mikrotik направить в VPN определенные сайты?

Question

[norevoh]

Классический вопрос: отправить часть сайтов в тоннель. Конфиг, касающийся впна ниже.
Ничего сложного, но сайт не открывается, таймаут. Я сделал 3 правила в Mangle для проверки, на prerouting, input и forward. Счетчик на прероутинге щелкает, но на форварде и инпуте нули.

/interface wireguard
add listen-port=12321 mtu=1420 name=wireguard1

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=11.22.33.44 endpoint-port=12321 interface=wireguard1 \
    persistent-keepalive=25s public-key="keykeyey"

/interface list
add name=WAN

/interface list member
add interface=ether1 list=WAN
add interface=wireguard1 list=WAN

/routing table
add disabled=no fib name=wg-my

/ip route
add disabled=no distance=10 dst-address=0.0.0.0/0 gateway=wireguard1 routing-table=wg-my scope=30 suppress-hw-offload=no target-scope=10
  
/ip firewall address-list
add address=2ip.ru list=vpnlist
  
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=vpnlist new-routing-mark=wg-my

/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN

Если же я жестко прописываю маршрут, то все работает

/ip route add dst-address=какой-там-айпи-у-сайта gateway=wireguard1

Но это неудобно заносить и нужно следить за сменой айпи, разумеется.

Не знаю, где вообще можно ошибиться:
1. Заносим список сайтов
2. Метим роутинг по направлению к этим сайтам.
3. профит

Но вот нет.

Answer 1

[norevoh]

Нужно было поставить
/ip settings rp-filter=loose

Стояло в strict

Answer 2

[Дмитрий Логвиненко]

Fasttrack там не мешает?

А вообще за сменой айпи и так придется следить: он (во всяком случае на моих hap (ac) lite) хватает ip по домену и заносит в список его, не сам домен

Comments

[norevoh]

Нет, fasttrack отключен, мне хватает производительности проца и без него.
Про айпи - если домен в address list'ах, оно само обновляется периодически, я не трогаю ничего (в другой ситуации, не с впном)

Answer 3

[Gregory]

покажите что у вас еще в /ip route есть

попробуйте так

/ip route
add distance=1 gateway=wireguard1  routing-mark=wg-my
add distance=1 gateway=ether1 (это уже скорее всего есть)

и еще это

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=vpnlist new-routing-mark=wg-my src-address=192.168.88.0/24

Comments

[norevoh]

Ничего, только динамические маршруты основной и гостевой сетей

(пока удалил маршрут к wg с меткой, поэтому в списке его нет)

[Gregory]

я обновил сообщение попробуйте

[Gregory]

и у подключений ether1 и wireguard1 уберите галку "Add Default Route"

[norevoh]

Gregory, ничего не меняется, картинка, как описал в первом посте.

[Gregory]

покажите /ip route через export

Answer 4

[Drno]

Добавляете сеть микротика в адрес лист
добавляете в адрес лист домены и делаем им одинаковый "name", например rkn

идем в мангл,
ставим prerouting
Advanced - Src- локалка миркотика(адрес лист), Dst - rkn (так же адрес лист)
идем в ip/routes
добавляем маршрут
Dst 0.0.0.0/0
Gateway - IPшник VPN сервака
routing table - rkn

незабываем разрешить NAT на VPN интерфейсе

всё...

Comments

[norevoh]

Ну, в посте я так и делаю, как видите.

[Drno]

norevoh, ну я навсякий, для проверки
У меня ovpn, мож у варегуарда есть какие то ньюансы...

Answer 5

[cd330]

Мучался с такой же проблемой. Изначально настроил сам и ничего не поехало, полез искать причины, но ничего не помогло. После включения и выключения WireGuard внезапно всё поехало.... Мучался целую неделю, уже думал весь конфиг микротика с нуля переписать, а оказалась какая то бага на микротике.