Почему в одном случае идут пакеты, во втором нет?

Question

[Олег]

Всем привет.

/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=Test-conn \
    passthrough=yes
add action=mark-routing chain=prerouting connection-mark=Test-conn \
    new-routing-mark=to-gre passthrough=yes src-address=192.168.100.0/24

/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=Test-conn \
    passthrough=yes src-address=192.168.100.0/24
add action=mark-routing chain=prerouting connection-mark=Test-conn \
    new-routing-mark=to-gre passthrough=yes

Второй вариант, с указанием src-address в марке соединений, не пускает трафик. На клиентах его нет.
Но стоит перенести адрес в маркировку роута, как все начинает работать.

Разве это не масло масляное?

Answer 1

[Valentin Barbolin]

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/...

Fortunately if connection tracking is enabled, we can use connection marks to optimize our setup.

Comments

[Олег]

И?
У него в марка на соединение, потом так же на пакеты.
В моем случае это не пакеты, а роут. И не работает такая связка у меня. (что и вызывает удивление и данный вопрос на этом ресурсе)
Только если срц адрес указать на роут и не указывать на соединения.

[Valentin Barbolin]

passthrough видишь в примере с маркировкой?

[Олег]

Andrey Barbolin, Я почему-то полагал, что если я запрещу прохождение трафика ниже после марки, я его уже не встречу в пакетах - хммм.

Спасибо.