Не работают правила firewall с активным VPN

[valeriy.osodoev]

Всем привет!
Дано: Mikrotik RB3011UiAS прошивка v6.47.7 (stable) + Wireguard-сервер на DigitalOcean.
Задача:
1. Настроить firewall на микротике таким образом, чтобы пользователи без активного VPN не имели доступ в интернет средствами браузеров.
2. Закрыть доступ, силами микротика, к некоторым стриминговым платформам(twitch, youtube, rutube).
Реальность: Доступ в интернет закрыл простым правилом:

Код: Выделить всё

/ip firewall filter
add action=reject chain=forward protocol=tcp reject-with=tcp-reset

То есть, у всех кто сидит без VPN, будут дропнуты попытки захода на сайты по tcp.

Далее. Из-за того, что VPN-сервер находится не на микротике, все правила firewall не распространяются на клиентские машины с активным VPN. По идее, если бы не было VPN, можно было бы ограничиться к примеру правилами типа:

Код: Выделить всё

/ip firewall filter
add action=reject chain=forward content=youtube.com protocol=tcp \
    reject-with=tcp-reset

но как вы уже поняли, эти правила не работают.
Вопрос: как заставить VPN следовать правилам firewall на микротике? Может быть эту задачу можно решить другими способами? Буду рад любой помощи

 Конфиг firewall

Код: Выделить всё

# nov/16/2020 12:41:43 by RouterOS 6.47.7
# software id = F6TA-D857
#
# model = RB3011UiAS
# serial number = B8950C342130
/ip firewall filter
add action=reject chain=forward content=www.youtube.com protocol=tcp \
    reject-with=tcp-reset
add action=reject chain=forward content=ivi.ru protocol=tcp reject-with=\
    tcp-reset
add action=reject chain=forward content=rutube.ru protocol=tcp \
    reject-with=tcp-reset
add action=reject chain=forward content=vk.com protocol=tcp reject-with=\
    tcp-reset
add action=reject chain=forward content=vimeo.com protocol=tcp \
    reject-with=tcp-reset
add action=reject chain=forward protocol=tcp reject-with=tcp-reset
/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=isp1-conn \
    new-routing-mark=isp1-rt passthrough=yes src-address=10.20.1.0/24
add action=mark-routing chain=prerouting connection-mark=isp2-conn \
    new-routing-mark=isp2-rt passthrough=yes src-address=10.20.2.0/24
add action=mark-connection chain=forward in-interface=ether1 \
    new-connection-mark=isp1-conn passthrough=yes
add action=mark-connection chain=forward in-interface=pppoe-out1 \
    new-connection-mark=isp2-conn passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=pppoe-out1

[xvo]

Если я правильно понимаю, то клиенты подключаются напрямую со своих машин.
Тогда не очень понятно, что вы там хотите пытаться фильтровать firewall'ом на микротике, если клиентский трафик ходит внутри впн.

[valeriy.osodoev]

Если я правильно понимаю, то клиенты подключаются напрямую со своих машин.
Тогда не очень понятно, что вы там хотите пытаться фильтровать firewall'ом на микротике, если клиентский трафик ходит внутри впн.

Всё верно, клиенты подключаются к впн со своих машин. Да, я уже понял, что средствами микротика фильтровать VPN-трафик не выйдет.
Как же всё-таки можно решить мою задачу?

[xvo]

Никак, весь смысл использования впн, чтобы вы не знали, что у него внутри.
Так что только на клиенте или на сервере.