Для теста максимально все упростил, оставив 1 WiFi, в рабочем варианте будет основной,
через провайдера, второй через VPN.
Имеем:
MikroTik cAP lite
Интернет через ether1 (для теста просто в лакальной сети)
WiFi
WireGuard до VPS
Wi-Fi в отдельной подсети, добавил правило маршрутизации
src-address wi-fi(172.16.15.0/24) в отдельную таблицу маршрутизации (wg)
и маршрут по умолчанию для таблицы wg на wireguard.
Сразу скажу, пробовал делать через mark routing, результат аналогичный.
В итоге работает это работает, но плохо:
- сайты некоторые открываются быстро, некоторые медленно (особенно первый раз),
некоторые (2ip.ru например) не открываются, телнет на 80 порт заходит.
- пинги и трассировка нормальные через vpn(в том числе и до 2ip.ru)
- янедкс показывает ip от VPN, нормальную скорость входящего траффика
и очень медленную исхдящего
- при пиге счетчик NAT правила показывает пакеты, но при тесте скорости и
открытыие сайта счетчик может стоять или очень мало прибавлять.
Есть ощущение, что часть пакетов идут не через Wireguard или что-то подобное.
Wiregard c ПК работает без проблем.
Что проверить, куда капнуть? Похоже что-то пропустил или не учел.
Код: Выделить всё
/ip address
add address=192.168.15.251/24 interface=ether1 network=192.168.15.0
add address=10.10.10.31 interface=wg-germ-21 network=10.10.10.31
add address=172.16.15.1/24 interface=wlan1 network=172.16.15.0
Код: Выделить всё
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=wg-germ-21 pref-src="" routing-table=wg scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.15.100 pref-src="" routing-table=main scope=30 \
suppress-hw-offload=no target-scope=10
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wg-germ-21 src-address=172.16.15.0/24 to-addresses=10.10.10.31
Код: Выделить всё
/routing rule
add action=lookup-only-in-table disabled=no src-address=172.16.15.0/24 table=wg