Russian Users MikroTik | Форум пользователей MikroTik

Добрый день.
Есть два офиса в разных городах, и там и там микротики v.7.12.1.
Между ними поднят туннель wareguard, локалки видят друг друга.
Задача настроить так, чтобы определённый хост из одной подсети, выходил в интернет через шлюз другой.
Пробовал без Mangle из статьи на Хабре, но у меня не работает.

Можете поделиться рабочим решением?

В офисе-1 (в котором сидит тот хост) в Routing Table создайте ещё одну таблицу, потом в IP Route делаем маршрут до 0.0.0.0/0 через адрес wireguard офиса-2, в качестве Routing Table указываем новую таблицу. После в Routing Rules делаем правило где src-address это хост/32, action=lookup table=*имя новой таблицы*. Только после этого тот узел будет в любую подсеть ходить через второй шлюз, и если о какой-то сети знает только первый маршрутизатор то пакеты того хоста умрут на втором и всё, тут уже смотреть надо на топологию, по вашему описанию ничего не должно поломаться.

Именно так всё сделано, но почему то не работает.
На самом деле офисов несколько, все с туннелями на основной, назовём его номер 1.
Маршруты для локалок прописаны, все друг друга видят.
При включении нового правила в Routing Rules, на нужном хосте пропадает интернет, и доступ к другим сетям, кроме офиса1.
По идее, в моём случае, и нужен доступ только с офису1, но вот проблема с выходом в интернет через его шлюз.

Могу предположить что правило NAT на офисе-1 натит только сеть из своей локалки, и надо ещё сеть хоста добавить, ну или только его. Без конфига только гадать.
Если доступ к другим сетям в локалках критичен то можно попробовать создать Routing Rule до них через main, так он будет идти к перечисленным сетям через main таблицу, а к остальным (по правилу к 0.0.0.0/0) через новую таблицу

Скорее всего так.
Сейчас в офисе2 только одно правило
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

Мне нужно добавить -
/ip firewall nat

add action=masquerade chain=srcnat src-address=192.168.1.10/32 out-interface-list=WG1

Не пинайте сильно, только пытаюсь разобраться, опыта нет.

Я там сообщение изменил, правило в офисе-1. Там может быть условие для NAT Masquerade и указана в src-address локалка офиса 1. Если это так то нужно правило написать такое же как и там есть, только в src-address указать тот хост. Ну или вообще убрать из того правила условие на src-address

В офисе1 написал -

/ip firewall nat

add action=masquerade chain=srcnat src-address=192.168.1.10/32 out-interface-list=WAN

ну или 192.168.1.0/24 результат то же.

Может в Rout List неправильно. Смущает unreachable.
Вначале писал имя шлюза WG, тогда интернет пропадал совсем.
Теперь пишу адрес интерфейса WG, интрнет есть, но через свой шлюз.

Шлюз должен указывать на адрес WG на другом конце (т.е. wg-адрес офиса-1), а то у вас получается он должен сам себе пакет переслать, думаю поэтому и unreachable

Да, это я тормознул. Исправил на 10.0.2.1 интернет пропал совсем.