Как перенаправить трафик одного хоста в впн?

[bga]

Добрый день.
Есть два офиса в разных городах, и там и там микротики v.7.12.1.
Между ними поднят туннель wareguard, локалки видят друг друга.
Задача настроить так, чтобы определённый хост из одной подсети, выходил в интернет через шлюз другой.
Пробовал без Mangle из статьи на Хабре, но у меня не работает.

Можете поделиться рабочим решением?

[karton]

В офисе-1 (в котором сидит тот хост) в Routing Table создайте ещё одну таблицу, потом в IP Route делаем маршрут до 0.0.0.0/0 через адрес wireguard офиса-2, в качестве Routing Table указываем новую таблицу. После в Routing Rules делаем правило где src-address это хост/32, action=lookup table=*имя новой таблицы*. Только после этого тот узел будет в любую подсеть ходить через второй шлюз, и если о какой-то сети знает только первый маршрутизатор то пакеты того хоста умрут на втором и всё, тут уже смотреть надо на топологию, по вашему описанию ничего не должно поломаться.

[bga]

Именно так всё сделано, но почему то не работает.
На самом деле офисов несколько, все с туннелями на основной, назовём его номер 1.
Маршруты для локалок прописаны, все друг друга видят.
При включении нового правила в Routing Rules, на нужном хосте пропадает интернет, и доступ к другим сетям, кроме офиса1.
По идее, в моём случае, и нужен доступ только с офису1, но вот проблема с выходом в интернет через его шлюз.

[karton]

Могу предположить что правило NAT на офисе-1 натит только сеть из своей локалки, и надо ещё сеть хоста добавить, ну или только его. Без конфига только гадать.
Если доступ к другим сетям в локалках критичен то можно попробовать создать Routing Rule до них через main, так он будет идти к перечисленным сетям через main таблицу, а к остальным (по правилу к 0.0.0.0/0) через новую таблицу

[bga]

Скорее всего так.
Сейчас в офисе2 только одно правило
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

Мне нужно добавить -
/ip firewall nat

add action=masquerade chain=srcnat src-address=192.168.1.10/32 out-interface-list=WG1

Не пинайте сильно, только пытаюсь разобраться, опыта нет.

[karton]

Я там сообщение изменил, правило в офисе-1. Там может быть условие для NAT Masquerade и указана в src-address локалка офиса 1. Если это так то нужно правило написать такое же как и там есть, только в src-address указать тот хост. Ну или вообще убрать из того правила условие на src-address

[bga]

В офисе1 написал -

/ip firewall nat

add action=masquerade chain=srcnat src-address=192.168.1.10/32 out-interface-list=WAN

ну или 192.168.1.0/24 результат то же.

Может в Rout List неправильно. Смущает unreachable.
Вначале писал имя шлюза WG, тогда интернет пропадал совсем.
Теперь пишу адрес интерфейса WG, интрнет есть, но через свой шлюз.

[bga]

[karton]

Шлюз должен указывать на адрес WG на другом конце (т.е. wg-адрес офиса-1), а то у вас получается он должен сам себе пакет переслать, думаю поэтому и unreachable

[bga]

Да, это я тормознул. Исправил на 10.0.2.1 интернет пропал совсем.