Добрый день. Помогите, пожалуйста, разобраться с маркировкой маршрута для одного пользователя => VPN. Создаю VPN-клиента в /ppp. Коннект создаётся. Если я этому интерфейсу ставлю галочку "маршрут по умолчанию", то через VPN работают все пользователи домашней сети. Speedtest.net выдаёт скорость ~25 mbps на приём и ~25 mbps на отправку. Всё отлично: Но вот если галочку "маршрут по умолчанию" я не ставлю (требуется только для одного компьютера), то маршрут приходится прописывать в /firewall mangle. Вот так я прописал правило: Код: /ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=vpn-mark passthrough=no connection-nat-state=!dstnat src-address-list=grp-ToVPN dst-address-list=!local Где local - локальная сеть, например, 192.168.88.0/24; grp-ToVPN - IP компьютера, который выходит в интернет через VPN, например, 192.168.88.254. Маркировку vpn-mark отрабатываю в /ip route, заворачивая в vpn-интерфейс: Код: /ip route add distance=1 gateway=vpn routing-mark=vpn-mark Вроде бы интернет должен работать так же. Но вот Speedtest.net при такой конфигурации выдаёт скорость ~25 mbps на приём и 0 mbps на отправку: На отправку - 0! И что бы я не пробовал - без толку. Что я пробовал: менял оператора услуги VPN; менял вид VPN (OVPN, L2TP+IPSec, IPSec); сбрасывал конфигурацию на Default и на "чистой" добавлял VPN; менял устройство Mikrotik (hAP ac lite, hAP ac, hEX). Подскажите, что может влиять на "невозможность отправки пакетов"?
Если вам нужно чтобы только один пользователь домашней сети работал через vpn то может проще только на нём и поднять vpn client, а не соединять через два микротика и т.д. ?
Вопрос резонный, но не так всё просто. Под словом "один", я подразумеваю "группу" (список). На следующем этапе я должен буду создать правило "когда включать/выключать выход через VPN".
Может ли такое происходить из-за пустых полей Local address и Remote address вкладки "Status" VPN-соединения?
Да, Илья. Вот так настроен: Код: /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN add action=masquerade chain=srcnat out-interface=all-ppp Первое правил от дефолтного конфига. Второе - я добавил, но оно не отрабатывается, потому что созданный VPN-интерфейс добавлен в список WAN.
Извините, слона-то я и не заметил. Конечно может. Маскарад в этой ситуации не понимает в какой адрес NAT-ить,
Как быть? Интересно, что в /ip routes ip-адреса есть: Я пробовал для этого соединения создавать профиль (на основе default-encryption), где указывал Local-address и Remote-address, но это ни на что не повлияло. Поля у установившегося соединения не заполнились.
Поменял OVPN на L2TP+IPSec. IP-адреса у такого соединения отображаются: Но дело со скоростью не изменилось: Разве что 0,00 сменился 0,05
