Пускаю пакеты из локальной сети на внешние IP-адреса из списка (список составлен в основном по данным Роскомнадзора) по альтернативному маршруту (туннель) с помощью такой конфигурации (лишнее вырезано):
Код: Выделить всё
/ip firewall mangle print
4 chain=prerouting action=mark-routing new-routing-mark=11 passthrough=no dst-address-list=censor in-interface=bridge log=no
log-prefix=""
Сам маршрут:
Код: Выделить всё
/ip route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 A S ;;; censorship circumvention
dst-address=0.0.0.0/0 gateway=192.168.5.52 gateway-status=192.168.5.52 reachable via tun-goro distance=1 scope=30
target-scope=10 routing-mark=11
И тут fasttrack всё ломает! Мои самые первые три правила из таблицы filter фаервола:
Код: Выделить всё
/ip firewall filter print detail
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward
1 ;;; fasttrack
chain=forward action=fasttrack-connection connection-state=established,related in-interface=!tun-goro out-interface=!tun-goro
log=no log-prefix=""
2 ;;; accept established,related
chain=forward action=accept connection-state=established,related log=no log-prefix=""
Как видите, в правиле #1 пришлось добавить
Код: Выделить всё
in-interface=!tun-goro out-interface=!tun-goro
Если выключить это правило, либо добавить данное ограничение, то всё бегает как надо.
Вопрос: что происходит?
Трафик с помощью Wireshark ещё не изучал, так как пока не разобрался, как это делать в Mikrotik.