Как правильно направить 1 IP внутрь впн на микротике?

Question

[Drno]

Всем доброго. Имеем
Микротик, опенВПН сервер(работает, не блочится, проверено), ПК в локалке.
Хотим - направить этот 1 ПК внутрь ВПН.

Сделал маркировку траф, сделал route с этой маркировкой внутрь ВПН, сайты показывают IP адрес ВПН сервера.
Скорость - никакая, судя по всему даже DNS нормально не ходит. Оч долго грузится весь веб
Но! Если выставить для опенВПН клиента на Микроте Add default rout - всё начинает летать. Но тогда понятно что все ПК идут в впн.
Что я делаю не так?
Тесты опенВПН сервака с ПК(клиентом опенВПН) показывают более 300мб\с.
Тесты с микрота при defaul route показывают порядка 100мб\с
Тест при ипользовании mark route - около 2-5 мб\с

Переадерсация сделана так:

Mangle Rule - 
Chain - Prerouting
SRC - 192.168.88.179
Dst - 0.0.0.0/0
Action - mark routing, маркировка vpn

Routes - 
Dst - 0.0.0.0/0
Gateway - openvpn
Routing Table -vpn

Comments

[Ziptar]

Исходя из описанного проблемы быть не должно, но проблема может возникать из-за взаимодействия с другими правилами маркировки и другими настройками маршрутизации, если они есть.
ЗЫ dst 0.0.0.0/0 в правилах маркировки - некрасиво; кошерно просто пустым оставлять, ибо это критерий отбора, а для любого адреса он, собственно, не нужен

[Drno]

Ziptar, убрал 0.0.0.0/0 - но ничего не поменялось
собственно других правил нет, микрот чистый

[Артём]

Drno, фаервол настроен?

[Drno]

Артём, ну там то что по дефолту, ничего стороннего. входящее закрыто, исходящее открыто. всё как обычно на шлюзах

[Артём]

Drno, прошу прощения, невнимательно прочитал ваш вопрос, показалось что у вас не работает совсем. По поводу низкой скорости: в винбоксе можно включить отображение текущей нагрузки CPU, посмотрите какая она

[Ziptar]

Drno, а я и не говорил, что что-то поменяется, просто некошерно)

Артём, там, в общем-то, и профайлер есть

[Дмитрий]

А если вместо маркировки в Mangle использовать Routing rules? Это самый простой способ избирательно маршрутизировать трафик для конкретного ip.

[Drno]

Дмитрий, подскажите как? Я только про маркировку вкурсе)

[Drno]

Артём, да cpu простаивает по сути

[Gynaecologist]

у вас в правиле mangle указан src address того компа/сети, которые хотите отправлять в интерфейс VPN?
в /ip/routes у вас должно быть два правила 0.0.0.0/0 - и для main, и для vpn-таблицы
аналогично в /ip/firewall/nat у вас должно быть два правила маскарадинга, для обоих интерфейсов

[Drno]

Gynaecologist, да именно такой src и указан
да все таблицы есть, иначе не было бы инета на микроте и не работал бы впн)

[Ziptar]

Drno,

подскажите как? Я только про маркировку вкурсе)

На ROS 7+ в routing -> rules. На 6~ в окне роутинга отдельная вкладка была. Посмотри, там, в целом, достаточно очевидно всё.

[Gynaecologist]

протрассируйте какой-нибудь внешний ип с того компа, который должен выходить в инет через впн, например,tracert 8.8.8.8
так вы поймете, пытается ли хоть микрот перенаправить трафик или нет

[Drno]

Gynaecologist, да микрот перенаправляет траффик, только почему то это происходит дико медленно. как будто плохой сигнал 3g \ wifi (для примера) как будто идут огромные потери пакетов

[Артём]

Drno, с MTU может быть проблема?

[Ziptar]

Артём, была бы проблема с mtu - и при дефолт гейте в туннель была бы та же проблема

[Артём]

Drno, и ещё, я бы из интереса попробовал бы заменить VPN протокол, к примеру на GRE или что вам хорошо знакомо, и уже там протестировать маркировку

[Артём]

Drno, и ещё: в разделе Queue никаких правил нет? А перезагружать микротик пробовали? А сбрасывать к дефолту?

[Drno]

Артём, если уж менять буду то на sstp тогда виидмо
Queue - пусто
Перезагружать - да
К дефолту сбрасывать не буду, железка стоит на удаленном объекте

Answer 1

[Сергей Иванов]

Советовали уже ?: Маршрут до сервера опенвпн укажи через шлюз провайдера, а уже потом 0.0.0.0 через впн