При этом, WEB сервер должен иметь возможность доступа в интернет через 89.99.99.99/23 . Это нужно для того что когда к нему идет запрос через тунель, серверу нужно обращаться в интернет. В итоге сделал 3-мя способами:
1. Через Policy Routing (наверно самый правильный вариант):
Код: Выделить всё
/ip route rule
add dst-address=33.33.33.1/23 src-address=10.10.0.248/32 table=t1
и добавляем 2-ой маршрут:
Код: Выделить всё
/ip route
add distance=1 gateway=10.255.4.1 routing-mark=t1
2. Через маркировку Mangle (самый распространенный):
Код: Выделить всё
/ip firewall mangle print
chain=prerouting action=mark-routing new-routing-mark=t1 passthrough=no
src-address=10.10.0.248 dst-address-list=clients log=no
маршрут точно такой же:
Код: Выделить всё
/ip route
add distance=1 gateway=10.255.4.1 routing-mark=t1
3. Через Mangle ( action=route ) без лишних маршрутов и маркировки. Всего лишь 1 правило!!!:
Код: Выделить всё
/ip firewall mangle
add action=route chain=prerouting dst-address=33.33.33.1/23 in-interface=bridge1 passthrough=yes protocol=tcp route-dst=10.255.4.1 src-address=10.10.0.248
P.S. Кстати, явный плюс 2 и 3-го варианта в том что если IP адресов клиентов (33.33.33.1/23) много, то их можно добавить в Address List и указать в правиле Dst. Address List, т.е.:
Код: Выделить всё
/ip firewall mangle
add action=route chain=prerouting dst-address-list=clients in-interface=bridge1 passthrough=yes protocol=tcp route-dst=10.255.4.1 src-address=10.10.0.248
Тогда как в 1-ом варианте придется добавлять столько правил сколько клиентов. Т.е. через Mangle более универсально.