Как сделать src-nat в esp тоннель на mikrotik?

Question

[Николай Секрет]

Здравствуйте!
Такая история был такой тоннель 192.168.0.0/24 <-> 1.1.1.1 <-> 2.2.2.2 <-> 192.168.1.0/24
Ip адреса в сетях 192.168.0.1 и 192.168.1.1 соответственно.
В правила src-nat стоит ipsec-policy=out,none и там и там.
Вот мне понадобилось одну машину 192.168.0.9/24 отправить в интернет через ip 2.2.2.2.
Я подумал, легко, сделал в mangle add src=192.168.0.9 mark routing=to-sec-office,
/ip route add distance=1 gateway=192.168.1.1 routing-mark=to-sec-office
Но нет, 192.168.1.1 unreachable

Что я упускаю?

Comments

[Николай Секрет]

Я конечно вопрос свой решил, сделал ip-ip тоннель и пусть трафик через него и всё получилось, но почему не пошло через esp не понял.

[Лев Забудкин]

Николай Секрет, /ip route add distance=1 gateway=192.168.1.1 (тут бы 0.1 наверное? ) routing-mark=to-sec-office

Не получилось, потому что ты указал дальний шлюз, который для твоей подсети недоступен по маске сети.