(hAP ac^3 с прошивкой 7.2rc1) У меня правильно настроены сети IPv4 и IPv6. IPv4 работает с NAT, IPv6 с префиксом /64 приходит с WAN (PPPoE) через DHCPv6 PD и затем отправляется в LAN через Router Advertisements. Я хочу направлять часть исходящего трафика через VPN WireGuard с использованием NAT. Для этого я:
- создал новую таблицу маршрутизации;
- добавил маршруты 0.0.0.0/0 и ::/0 через VPN-интерфейс в эту таблицу;
- добавил правила NAT;
- добавил правила mangle для маркировки маршрутов.
Счётчик пакетов в mangle-правиле растёт, но это не работает для IPv6. Помеченный IPv6-трафик всё равно уходит напрямую в интернет, а не через VPN. Интересно, что такая же конфигурация отлично работает для IPv4.
Делаю ли я что-то не так? Или это баг в RouterOS v7?
Вот важные части моей конфигурации:
/interface wireguard
add listen-port=51820 mtu=1432 name=vpn
/interface wireguard peers
add allowed-address=0.0.0.0/0,::/0 interface=vpn
/ip address
add address=172.16.0.2 interface=vpn network=172.16.0.2
/ipv6 address
add address=fd00:a:b:c:d:e:f:1234/128 advertise=no interface=vpn
/routing table
add fib name=vpn
/ip route
add dst-address=0.0.0.0/0 gateway=vpn routing-table=vpn
/ipv6 route
add dst-address=::/0 gateway=vpn routing-table=vpn
/ipv6 firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=no src-mac-address=AA:BB:CC:DD:EE:FF
/ipv6 firewall nat
add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none out-interface=vpn
Кстати, случайно заметил, что если поиграться с /routing/rule/ (например, добавить, а потом удалить несколько правил), то помеченный трафик начинает идти через VPN, даже если все правила потом удалить. Похоже на какую-то проблему с кэшированием маршрутов?
Спасибо заранее!
- создал новую таблицу маршрутизации;
- добавил маршруты 0.0.0.0/0 и ::/0 через VPN-интерфейс в эту таблицу;
- добавил правила NAT;
- добавил правила mangle для маркировки маршрутов.
Счётчик пакетов в mangle-правиле растёт, но это не работает для IPv6. Помеченный IPv6-трафик всё равно уходит напрямую в интернет, а не через VPN. Интересно, что такая же конфигурация отлично работает для IPv4.
Делаю ли я что-то не так? Или это баг в RouterOS v7?
Вот важные части моей конфигурации:
/interface wireguard
add listen-port=51820 mtu=1432 name=vpn
/interface wireguard peers
add allowed-address=0.0.0.0/0,::/0 interface=vpn
/ip address
add address=172.16.0.2 interface=vpn network=172.16.0.2
/ipv6 address
add address=fd00:a:b:c:d:e:f:1234/128 advertise=no interface=vpn
/routing table
add fib name=vpn
/ip route
add dst-address=0.0.0.0/0 gateway=vpn routing-table=vpn
/ipv6 route
add dst-address=::/0 gateway=vpn routing-table=vpn
/ipv6 firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=no src-mac-address=AA:BB:CC:DD:EE:FF
/ipv6 firewall nat
add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none out-interface=vpn
Кстати, случайно заметил, что если поиграться с /routing/rule/ (например, добавить, а потом удалить несколько правил), то помеченный трафик начинает идти через VPN, даже если все правила потом удалить. Похоже на какую-то проблему с кэшированием маршрутов?
Спасибо заранее!
