Как заставить mikrotik тунелировать трафик только для одного входного интерфейса?

Question

[JohnSmith278]

Я поставил wireguard на роутер, но не хочу тунелировать весь трафик, только трафик идущий по интерфейсу ether2. Трафик по wifi и другим интерфейсам тунелироваться не должен. Как это правильно реализовать?

ROS 7.15.2

Comments

[velosipedist]

Создать локалку и тегировать часть трафика?

[JohnSmith278]

velosipedist, Локалка это Vlan? Это не изобыточно для моей задачи?

[velosipedist]

JohnSmith278, не избыточно.
Раз уж вы упомянули, что не можете в сеть, я бы посоветовал или найти сетевика, или (если это вы на работе строите), попросить имеющегося сисадмина/сетевика/etc.)

[JohnSmith278]

velosipedist, я для себя дома строю. Просто нужно, чтобы с одного хоста и всех виртуалок на нем подключенных по bridge трафик шел на mullvad.
Задача не очень сложная, чтобы целого сетевика нанимать, тем более я микротик купил как раз, чтобы получше разобраться в сетях.

Answer 1

[Юрий MikroTik]

Правильно будет подать на этот порт отдельную сеть, которую маршрутизируем в туннель.

Comments

[JohnSmith278]

По возможности конкретизируйте, в терминах микротика, я не сетевик, мне слово сеть ни о чем конкретном не говорит. Vlan нужно создать?

Из тех сопособов, что я находил - в firewall добавить правило с маркировкой трафика на forward. in Interface: ether2, Routing mark: "pass-to-vpn" action: passthrough.
Дальше в роутах добавить правило: Dst Address: 0.0.0.0/0, Routing Table: "pass-to-vpn", но пока ничего не выходит.
Не могу отдельно для ether2 правило создать, пишет что это slave интерфейс и нужно bridge1 использовать.

[Юрий MikroTik]

JohnSmith278, если без Vlan, то исключить порт из bridge и повесить на него отдельную адресацию
Далее эту у сеть через Mangle или Route Rules завернуть в таблицу маршрутизации pass-to-vpn которая для маршрута 0.0.0.0/0

[JohnSmith278]

Юрий MikroTik, Сделал как вы описали, все работает, но очень медленно. Если при обычной конфигурации скорость 200+ mb/s, то сейчас 20mb/s download и 0 upload. У меня кроме defconf, правила с маркировкой и роута для маркированного трафика ничего нет. Железка hap ax^3.

/interface wireguard
add listen-port=13231 mtu=1420 name=mullvad
/ip pool
add name=dhcp_ether2 ranges=192.168.77.10-192.168.77.254
/ip dhcp-server
add address-pool=dhcp_ether2 interface=ether2 name=dhcp1
/routing table
add disabled=no fib name=to_mullvad
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=XXX.XX.XXX.XX endpoint-port=\
    51820 interface=mullvad name=mullvad-fin public-key=\
    "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=10.66.48.239 interface=mullvad network=10.66.48.239
add address=192.168.77.1/24 interface=ether2 network=192.168.77.0
/ip dhcp-server network
add address=192.168.77.0/24 dns-server=192.168.77.1 gateway=192.168.77.1
/ip firewall address-list
add address=192.168.77.0/24 list=local-for-eth2

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!local-for-eth2 \
    in-interface=ether2 new-routing-mark=to_mullvad passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=mullvad out-interface=mullvad \
    routing-mark=to_mullvad
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=mullvad routing-table=\
    to_mullvad scope=30 suppress-hw-offload=no target-scope=10