PCC με vpn

[mogsub]

Καλησπέρα,

Έχω ένα mikrotik και 2 WAN γραμμές (μία 100 fiber και μία 24 vdsl) και έχω ρυθμίσει ένα mirkotik RB4011 σε PCC. Επίσης έχω ένα vpn σε wireguard για τους εξωτερικούς μου χρήστες. Όλα έπαιζαν μια χαρά μέχρι που τώρα τελευταία έχω διάφορα προβλήματα (1-2 client δεν μπορούν να συνδεθούν σε διάφορες internet υπηρεσίες - αν και ping κάνουν κανονικά) και θα ήθελα να μάθω άμα το config μου είναι σωστό. Επίσης άμα προσπαθήσω να κάνω traceroute την ip του wireguard (10.23.5.1) εσωτερικά πάει και την κάνει από το εξωτερικό interface ενώ από το terminal του mikrotik το κάνει σωστά - φαντάζομαι ότι δεν κάνω σωστά mark αυτό το είδος traffic.

Κώδικας:

/ip address
add address=192.168.0.1/24 interface=LAN1_BRIDGE network=192.168.0.0
add address=192.168.20.2/24 interface=WAN1 network=192.168.20.0
add address=192.168.30.2/24 interface=WAN2 network=192.168.30.0


/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.20.0/24 in-interface=\
    LAN1_BRIDGE
add action=accept chain=prerouting dst-address=192.168.30.0/24 in-interface=\
    LAN1_BRIDGE
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=WAN1 new-connection-mark=WAN1_conn passthrough=no
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=WAN2 new-connection-mark=WAN2_conn passthrough=no
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=LAN1_BRIDGE new-connection-mark=WAN1_conn passthrough=yes \
    per-connection-classifier=both-addresses:5/0
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=LAN1_BRIDGE new-connection-mark=WAN1_conn passthrough=yes \
    per-connection-classifier=both-addresses:5/3
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=LAN1_BRIDGE new-connection-mark=WAN1_conn passthrough=yes \
    per-connection-classifier=both-addresses:5/2
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=LAN1_BRIDGE new-connection-mark=WAN1_conn passthrough=yes \
    per-connection-classifier=both-addresses:5/1
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=LAN1_BRIDGE new-connection-mark=WAN2_conn passthrough=yes \
    per-connection-classifier=both-addresses:5/4
add action=mark-routing chain=prerouting connection-mark=WAN1_conn \
    in-interface=LAN1_BRIDGE new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=WAN2_conn \
    in-interface=LAN1_BRIDGE new-routing-mark=to_WAN2 passthrough=yes
add action=mark-routing chain=output connection-mark=WAN1_conn \
    new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=output connection-mark=WAN2_conn \
    new-routing-mark=to_WAN2 passthrough=yes
    
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2
add action=dst-nat chain=dstnat dst-port=51820 in-interface=WAN1 log=yes \
    protocol=udp to-addresses=192.168.0.47 to-ports=51820
add action=dst-nat chain=dstnat dst-port=51820 in-interface=WAN2 log=yes \
    protocol=udp to-addresses=192.168.0.47
    
/ip route
add check-gateway=ping distance=1 gateway=192.168.20.1 routing-mark=to_WAN1
add check-gateway=ping distance=1 gateway=192.168.30.1 routing-mark=to_WAN2
add check-gateway=ping distance=1 gateway=192.168.20.1
add check-gateway=ping distance=2 gateway=192.168.30.1
add distance=1 dst-address=10.23.5.0/24 gateway=192.168.0.47

θα μπορούσε κάποιος να βοηθήσει;

[macro]

To LB σου δουλευει σωστα? Επειδη passthrough=yes θελει μονο στους dividers και εσυ εχεις σχεδον σε ολα.

[mogsub]

To LB σου δουλευει σωστα? Επειδη passthrough=yes θελει μονο στους dividers και εσυ εχεις σχεδον σε ολα.

ναι δουλεύει σωστά το LB. Στην αρχή έτσι το είχα (passthrough=no) αλλά τώρα που είχα θέμα με το vpn τα γύρια σε =yes επειδή δεν βρήκα κάποια αναφορά στο wiki της mikrotik.

Όταν το είχα passthrough=yes είχα παρατηρήσει ήταν ότι μερικές φορές ερχόταν κάποιος από το WAN1 για το vpn (nat),το mikrotik το χαρακτήριζε ως WAN2 traffic με αποτέλεσμα να μην μπορεί να δει το εσωτερικό δίκτυο και ήθελε restart το ΜΚ για να "ξεχάσει" αυτό το connection

[macro]

Πρεπει να κανεις mark routing σε ποια wan θες να σου πεφτει τι, για να μην εχεις αυτο το θεμα.

[mogsub]

Πρεπει να κανεις mark routing σε ποια wan θες να σου πεφτει τι, για να μην εχεις αυτο το θεμα.

καλησπέρα,

μπορείς να μου δώσεις ένα παράδειγμα; ευχαριστώ