Есть тоннель тик-тик, используется что бы видеть то, что по мнению ркн видеть низя.
Есть удаленный CHR, у него есть только внешний адрес и всего один интерфейс. Поднимаем до него тоннель и получаем тоннельные адреса, допустим 192.168.YYY.1 у CHR и 192.168.YYY.2 с нашей стороны, при этом основная адресация на нашей стороне отлична от тоннельной 192.168.XXX.0/24
На стороне "клиента" берем мангл и делаем раз
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=freeVPN new-routing-mark=freeVPN passthrough=no
Код: Выделить всё
add distance=1 gateway=chr routing-mark=freeVPN
Код: Выделить всё
add distance=1 dst-address=192.168.XXX.0/24 gateway=192.168.YYY.2
Но тут появляется желание попробовать натификяшки от роутера через телегу и поскольку она заблочена, то мы понимаем что работать это не будет, пока мы не завернем трафик самого роутера до телеграма в тоннель.
На этом этапе у меня начались сомнения в том, правильно ли я делаю, но сделал еще вот так
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=output dst-address-list=freeVPN new-routing-mark=freeVPN passthrough=no
Как выкрутиться я конечно нашел, но больше хотелось бы понять, почему оно так (почему не работает без маскарада всего что уходит от меня в тоннель) и где я сделал не правильно.