Использование Mangle для маршрутизации

[someone_strange]

Что-то вы намудрили в своем конфиге
Рабочий вариант на ROS v6 и OVPN:

Код: Выделить всё

/ip firewall
mangle add action=mark-routing chain=prerouting new-routing-mark=go_vpn passthrough=yes dst-address-list=facebook_list
nat add action=masquerade chain=srcnat out-interface=my_vpn_interface routing-mark=go_vpn
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=my_vpn_interface routing-mark=go_vpn

my_vpn_interface замените на свой тоннель (например ovpn-out1) и теперь то что указано в facebook_list полетит через него.

Так у меня, по сути, сделано абсолютно всё то же самое. Но не работает.

[hardrockbaby]

Так у меня, по сути, сделано абсолютно всё то же самое. Но не работает.

Это (у вас) в таком виде будет работать?
/ip firewall nat add action=masquerade chain=srcnat

[someone_strange]

Это (у вас) в таком виде будет работать?
/ip firewall nat add action=masquerade chain=srcnat

Так тоже пробовал. Один NAT на все маршруты. Не работает.
Только что проверил на другом микроте (есть еще один, 952). Сбросил конфиг, настроил по минимуму с нуля: OVPN, Mangle, Route с route-table - всё заработало. Почему на 4011 работать не хочет - не понимаю...

Рабочий конфиг:

Код: Выделить всё

# apr/25/2022 00:38:14 by RouterOS 7.2.1
# software id = JEII-3S4R
#
# model = RB952Ui-5ac2nD
# serial number = **********

/interface bridge
add arp=proxy-arp name=Bridge-LAN

/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp comment=GAME name=Interface-ETH01-LAN
set [ find default-name=ether2 ] arp=proxy-arp comment=NOTER disabled=yes name=Interface-ETH02-LAN
set [ find default-name=ether3 ] arp=proxy-arp comment=AP2 disabled=yes name=Interface-ETH03-LAN
set [ find default-name=ether4 ] arp=proxy-arp disabled=yes name=Interface-ETH04-LAN
set [ find default-name=ether5 ] arp=proxy-arp name=Interface-ETH05-WAN

/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik

/interface list
add name=InterfaceList-WAN
add name=InterfaceList-LAN-Wired
add name=InterfaceList-LAN-Wireless
add include=InterfaceList-LAN-Wired,InterfaceList-LAN-Wireless name=InterfaceList-LAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=Pool-IPv4-LAN ranges=192.168.222.100-192.168.222.200

/ip dhcp-server
add add-arp=yes address-pool=Pool-IPv4-LAN interface=Bridge-LAN name=DHCP-IPv4-LAN

/ppp profile
add name=OVPN-Profile-Fornex use-encryption=required

/interface ovpn-client
add connect-to=vpnnl02.fornex.org disconnect-notify=no mac-address=02:CA:D1:77:B9:A9 max-mtu=1400 name=Interface-OVPN-Fornex password=********** port=443 profile=OVPN-Profile-Fornex protocol=udp use-peer-dns=no user=**********

/routing table
add disabled=no fib name=route-mark-fornex

/interface bridge port
add bridge=Bridge-LAN interface=InterfaceList-LAN

/interface bridge settings
set allow-fast-path=no

/ip neighbor discovery-settings
set discover-interface-list=!InterfaceList-WAN

/interface list member
add interface=Interface-ETH01-LAN list=InterfaceList-LAN-Wired
add interface=Interface-ETH02-LAN list=InterfaceList-LAN-Wired
add interface=Interface-ETH03-LAN list=InterfaceList-LAN-Wired
add interface=Interface-ETH04-LAN list=InterfaceList-LAN-Wired
add interface=Interface-ETH05-WAN list=InterfaceList-WAN
add interface=wlan1 list=InterfaceList-LAN-Wireless
add interface=wlan2 list=InterfaceList-LAN-Wireless
add interface=Interface-OVPN-Fornex list=InterfaceList-WAN

/ip address
add address=192.168.222.254/24 interface=Bridge-LAN network=192.168.222.0

/ip dhcp-client
add interface=Interface-ETH05-WAN

/ip dhcp-server lease
add address=192.168.222.150 client-id=1:30:9c:23:8e:26:d5 mac-address=30:9C:23:8E:26:D5 server=DHCP-IPv4-LAN

/ip dhcp-server network
add address=192.168.222.0/24 dns-server=192.168.222.254 gateway=192.168.222.254 ntp-server=192.168.222.254

/ip dns
set allow-remote-requests=yes

/ip firewall address-list
add address=2ip.ru list=facebook_list
add address=facebook.com list=facebook_list

/ip firewall filter
add action=accept chain=input comment="Related Established Untracked Allow" connection-state=established,related,untracked
add action=accept chain=input comment="ICMP from ALL" protocol=icmp
add action=accept chain=forward comment="Established, Related, Untracked allow" connection-state=established,related,untracked
add action=drop chain=input comment="All other WAN Drop" in-interface-list=InterfaceList-WAN
add action=drop chain=forward comment="Invalid drop" connection-state=invalid
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=InterfaceList-WAN

/ip firewall mangle
add action=mark-routing chain=prerouting comment="Mark FornexVPN" dst-address-list=facebook_list log=yes log-prefix=_______ new-routing-mark=route-mark-fornex passthrough=no src-address=192.168.222.0/24

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT LAN to Fornex" log=yes log-prefix=__NAT_to_Fornex out-interface=Interface-OVPN-Fornex
add action=masquerade chain=srcnat out-interface=Interface-ETH05-WAN

/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=Interface-OVPN-Fornex pref-src=0.0.0.0 routing-table=route-mark-fornex scope=30 suppress-hw-offload=no target-scope=10
add comment=2ip.ru disabled=yes distance=1 dst-address=195.201.201.32/32 gateway=Interface-OVPN-Fornex pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10

/system clock
set time-zone-name=Europe/Moscow

/tool mac-server
set allowed-interface-list=InterfaceList-LAN

/tool mac-server mac-winbox
set allowed-interface-list=InterfaceList-LAN

[someone_strange]

В общем экспортировал конфиг 4011, сделал полный сброс и затем построчно импортировал.
В итоге всё заработало...
Что было не так - непонятно...