@Dmitry27

Маршрутизация Mikrotik CHR, почему не маркируются пакеты?

Прошу помощи!
на впс1 установлен CHR.
для тестов запущен РРТР сервер, WireGuard интерфейс.
WG подключен пиром на другой впс2.
При обычном подключении к впс1 через РРТР - все нормально работает через впс1.
Пытаюсь разделить маршруты, что бы нужные уходили через WG на впс2.
По стандартным правилам в mangle маркировку пакетов на роутинг -> не работает, пакеты не доходят в мангл.
Если в mangle убираю dst.adr.list и устанавливаю src.adr сеть бриджа(или клиента рртр) - то все пакеты уходят в впс2 без разделения.
Почему не видит адрес лист и не маркирует как нужно?
spoiler

/interface pptp-server add name=pptp-in1 user=vpnuser
/interface bridge add arp=proxy-arp name=bridge1
/interface ethernet set [ find default-name=ether1 ] disable-running-check=no

/interface wireguard add listen-port=63370 mtu=1420 name=wireguard-out
/interface list add name=WAN
/interface list add name=TUN
/interface list add name=WG
/ip pool add name=pool-vpn ranges=172.1.1.10-172.1.1.20

/ppp profile add change-tcp-mss=yes interface-list=TUN local-address=172.1.1.1 name=vpn-profile remote-address=pool-vpn use-compression=no use-encryption=required use-ipv6=no use-mpls=no use-upnp=no
/routing table add disabled=no fib name=wg-mark
/interface bridge port add bridge=bridge1 interface=TUN
/interface bridge settings set use-ip-firewall=yes
/ip neighbor discovery-settings set discover-interface-list=none
/interface list member add interface=ether1 list=WAN
/interface list member add interface=wireguard-out list=TUN
/interface list member add interface=wg1 list=WG
/interface pptp-server server set authentication=mschap2 default-profile=vpn-profile enabled=yes

/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=91.149.1.2 endpoint-port=32532 interface=wireguard-out persistent-keepalive=25s public-key="wC6vBlc"

/ip address add address=37.1.2.3/24 interface=ether1 network=37.1.2.0
/ip address add address=10.0.0.2 interface=wireguard-out network=10.0.0.0
/ip address add address=172.1.1.1/24 interface=bridge1 network=172.1.1.0
/ip dns set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1,9.9.9.9 verify-doh-cert=yes

/ip firewall address-list add address=myip.com list=rkn-wg

/ip firewall filter add action=accept chain=input comment="accept established,re
lated,untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=input comment="drop invalid" connectio
n-state=invalid

/ip firewall filter add action=accept chain=input comment=PPTP dst-port=1723 pro
tocol=tcp

/ip firewall filter add action=drop chain=input comment="drop all WAN" in-interf
ace-list=WAN
/ip firewall filter add action=accept chain=forward comment="accept established,
related, untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=forward comment="drop invalid" connect
ion-state=invalid
/ip firewall filter add action=drop chain=forward comment="drop all from WAN not
 DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=rkn-wg new-routing-mark=wg-mark passthrough=no src-address=172.1.1.0/24
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=TUN
/ip firewall nat add action=masquerade chain=srcnat disabled=yes out-interface=w
ireguard-out
/ip route add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=37.1.2.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=wireguard-out
 pref-src="" routing-table=wg-mark scope=30 suppress-hw-offload=no target-scope=10

/ppp secret add name=vpnuser profile=vpn-profile
/routing rule add action=lookup-only-in-table disabled=no routing-mark=wg-mark table=wg-mark
  • Вопрос задан
  • 251 просмотр
Пригласить эксперта
Ответы на вопрос 1
@Stariyded
Сетевой админ
Объясните в чем смысл строчки
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=TUN

Зачем маскарадить трафик идущий в бридж? Это вполне может быть причиной ваших проблем.
И непонятно, зачем засовывать wireguard-out в один лист с входящими коннектами, если потом это все еще и в бридж собирается.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы