Почему в mikrotik не отрабатывает правило маркировки (mangle) которое выше в списке?

Question

[ipoluda]

Есть два офиса, в каждом стоят микротики с простейшей конфигурацией сети (10.1.1.0/24 и 10.2.2.0/24).
Ввиду ограничений на внешние ресурсы, в обоих офисах поднят L2TP туннель (обычный купленный ВПН), работает по принципу маркировки трафика через Mangle, то есть
src.addr: 10.1.1.0/24 (на 2-м офисе соответственно 10.2.2.0/24)
action: mark route
route mark: to_vpn
Ну и прописан маршрут
dst.addr: 0.0.0.0/0
gateway: интерфейс L2TP
routing mark: to_vpn
Всё работает отлично. Но теперь потребовалось соединить офисы между собой, чтобы ходить с компа на комп по rdp.
Для этого поднял GRE туннель, присвоил адреса интерфейсам (10.3.3.1/30 и 10.3.3.2/30), прописал маршруты, роутеры видят и пингуют друг друга.
Соответственно для того чтобы и компы могли видеть друг друга, в списке Mangle, выше правила маркировки для L2TP, создал два правила:
src.addr: 10.1.1.0/24
dst.addr LIST: 10.2.2.0/24 и 10.3.3.0/30 (занес обе сети в список Address List)
action: mark route
routing mark: NO_VPN
PASSTHROUGH: no
Ну и на втором роутере тоже самое, только с соответствующими ему адресами.
По идее весь трафик который направляется между офисами (10.1.1.0/24 -> 10.3.3.2 -> 10.2.2.0/24) должен попадать под это правило, маркироваться как NO_VPN и из-за выключенного Passthrough сразу отправляться на коннект, не доходя до правила маркировки L2TP, которое расположено ниже в списке Mangle.
Но так не происходит и попытка подключиться к примеру с 10.1.1.10 на 10.2.2.20, отправляется через L2TP вместо GRE.
Определил это в Connections, по несоответствию src.addr и reply dst.addrr
Даже не знаю куда копать в этом случае. Гуру микрота, в чём может быть проблема?

Comments

[korsar182]

Смотрите не в Connections, а в Traceroute.

[ipoluda]

В общем, если кто-нибудь тоже столкнётся, может поможет.
Я нашёл баг. Если использовать последнюю версию винбокс, которая совместима с 7 версией РоутерОС, то при редактировании правила мангл галочка passthrough в любом случае будет оставаться активной. То есть, снимаете галочку, применяете, перезаходите в роутер обратно, а галочка снова стоит. Написал в поддержку микротик чтобы поправили баг. Временное решение - просто использовать более старую версию винбокс с 6 РоутерОС