Как в Mikrotik направить в VPN определенные сайты?

Классический вопрос: отправить часть сайтов в тоннель. Конфиг, касающийся впна ниже.
Ничего сложного, но сайт не открывается, таймаут. Я сделал 3 правила в Mangle для проверки, на prerouting, input и forward. Счетчик на прероутинге щелкает, но на форварде и инпуте нули.
/interface wireguard
add listen-port=12321 mtu=1420 name=wireguard1

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=11.22.33.44 endpoint-port=12321 interface=wireguard1 \
    persistent-keepalive=25s public-key="keykeyey"

/interface list
add name=WAN

/interface list member
add interface=ether1 list=WAN
add interface=wireguard1 list=WAN

/routing table
add disabled=no fib name=wg-my

/ip route
add disabled=no distance=10 dst-address=0.0.0.0/0 gateway=wireguard1 routing-table=wg-my scope=30 suppress-hw-offload=no target-scope=10
  
/ip firewall address-list
add address=2ip.ru list=vpnlist
  
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=vpnlist new-routing-mark=wg-my

/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN


Если же я жестко прописываю маршрут, то все работает
/ip route add dst-address=какой-там-айпи-у-сайта gateway=wireguard1

Но это неудобно заносить и нужно следить за сменой айпи, разумеется.

Не знаю, где вообще можно ошибиться:
1. Заносим список сайтов
2. Метим роутинг по направлению к этим сайтам.
3. профит

Но вот нет.
  • Вопрос задан
  • 1606 просмотров
Решения вопроса 1
@norevoh Автор вопроса
Нужно было поставить
/ip settings rp-filter=loose

Стояло в strict
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
dmlogv
@dmlogv
Универсальный человек
Fasttrack там не мешает?

А вообще за сменой айпи и так придется следить: он (во всяком случае на моих hap (ac) lite) хватает ip по домену и заносит в список его, не сам домен
Ответ написан
Maxlinus
@Maxlinus
покажите что у вас еще в /ip route есть

попробуйте так
/ip route
add distance=1 gateway=wireguard1  routing-mark=wg-my
add distance=1 gateway=ether1 (это уже скорее всего есть)

и еще это
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=vpnlist new-routing-mark=wg-my src-address=192.168.88.0/24
Ответ написан
@Drno
Добавляете сеть микротика в адрес лист
добавляете в адрес лист домены и делаем им одинаковый "name", например rkn

идем в мангл,
ставим prerouting
Advanced - Src- локалка миркотика(адрес лист), Dst - rkn (так же адрес лист)
идем в ip/routes
добавляем маршрут
Dst 0.0.0.0/0
Gateway - IPшник VPN сервака
routing table - rkn

незабываем разрешить NAT на VPN интерфейсе

всё...
Ответ написан
@cd330
Мучался с такой же проблемой. Изначально настроил сам и ничего не поехало, полез искать причины, но ничего не помогло. После включения и выключения WireGuard внезапно всё поехало.... Мучался целую неделю, уже думал весь конфиг микротика с нуля переписать, а оказалась какая то бага на микротике.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы