Как в Mikrotik направить в VPN определенные сайты?

@norevoh

Классический вопрос: отправить часть сайтов в тоннель. Конфиг, касающийся впна ниже.
Ничего сложного, но сайт не открывается, таймаут. Я сделал 3 правила в Mangle для проверки, на prerouting, input и forward. Счетчик на прероутинге щелкает, но на форварде и инпуте нули.

/interface wireguardadd listen-port=12321 mtu=1420 name=wireguard1
/interface wireguard peersadd allowed-address=0.0.0.0/0 endpoint-address=11.22.33.44 endpoint-port=12321 interface=wireguard1 persistent-keepalive=25s public-key="keykeyey"
/interface listadd name=WAN
/interface list memberadd interface=ether1 list=WANadd interface=wireguard1 list=WAN
/routing tableadd disabled=no fib name=wg-my
/ip routeadd disabled=no distance=10 dst-address=0.0.0.0/0 gateway=wireguard1 routing-table=wg-my scope=30 suppress-hw-offload=no target-scope=10 
/ip firewall address-listadd address=2ip.ru list=vpnlist 
/ip firewall mangleadd action=mark-routing chain=prerouting dst-address-list=vpnlist new-routing-mark=wg-my
/ip firewall natadd action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN

Если же я жестко прописываю маршрут, то все работает

/ip route add dst-address=какой-там-айпи-у-сайта gateway=wireguard1

Но это неудобно заносить и нужно следить за сменой айпи, разумеется.

Не знаю, где вообще можно ошибиться:
1. Заносим список сайтов
2. Метим роутинг по направлению к этим сайтам.
3. профит

Но вот нет.


Решения вопроса 1

@norevoh Автор вопроса

Нужно было поставить
/ip settings rp-filter=loose

Стояло в strict


Ответы на вопрос 3

@dmlogv

Fasttrack там не мешает?

А вообще за сменой айпи и так придется следить: он (во всяком случае на моих hap (ac) lite) хватает ip по домену и заносит в список его, не сам домен

@Maxlinus

покажите что у вас еще в /ip route есть

попробуйте так

/ip routeadd distance=1 gateway=wireguard1 routing-mark=wg-myadd distance=1 gateway=ether1 (это уже скорее всего есть)

и еще это

/ip firewall mangleadd action=mark-routing chain=prerouting dst-address-list=vpnlist new-routing-mark=wg-my src-address=192.168.88.0/24

@Drno

Добавляете сеть микротика в адрес лист
добавляете в адрес лист домены и делаем им одинаковый «name», например rkn

идем в мангл,
ставим prerouting
Advanced — Src- локалка миркотика(адрес лист), Dst — rkn (так же адрес лист)
идем в ip/routes
добавляем маршрут
Dst 0.0.0.0/0
Gateway — IPшник VPN сервака
routing table — rkn

незабываем разрешить NAT на VPN интерфейсе

всё…

Друзья помогите этому контенту стать доступнее в социальных сетях.

Не проходи мимо жмакни по кнопке возможно кому то еще он будет полезен!