https://lifestratus.com/openforum/vsluhforumID6/24026.html Схема сети:<br>Mikrotik RouterOS v7.19 в качестве шлюза, на нем так же поднят VPN Server<br>Внутренняя сеть на бридже 192.168.11.252/24<br>Сеть для подключенных ВПН клиентов 10.22.11.0/24<br>Внутренний впн сервер на freebsd на нем тоже стоит впн клиент, он разделяет трафик, часть уходит в впн, часть должно обратно возвращаться на шлюз микротик 192.168.11.252 и уже с него уходить в интернет.<br><br>Моя логика такая c впн клиентов на mikrotik маркеруем маршрут и перенаправляем на внутренний впн шлюз<br><br>[CODE]<br>ip/firewall/mangle/add chain=prerouting action=mark-routing new-routing-mark=rt2vpnsplit passthrough=yes src-address=10.22.11.0/24 dst-address=!192.168.11.0/24<br>[/CODE]<br><br>Соответственно маркированный маршрут отправляем на врутренний шлюз с впн<br><br>[CODE]<br>ip/route/add dst-address=0.0.0.0/24 gateway=192.168.11.17 distance=1 routing-table=rt2vpnsplit<br>[/CODE]<br><br>Ну и я повешал нат, что бы во внутреннюю сеть пакеты уходили с адресом внутренней подсети на бридже микрота<br><br>[CODE]<br>ip/firewall/nat/add chain=srcnat src-add https://lifestratus.com/openforum/vsluhforumID6/24026.html#3 Wed, 11 Feb 2026 08:49:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 10.22.11.0/24 в сторону фряхи.<br>&gt;&gt; 2. На фряхе прописываем обратный маршрут до сети vpn клиентов через микрот.<br>&gt;&gt; 3. Cмотрим tcpdump'ом что трафик от vpn клиента летит до фряхи.<br>&gt;&gt; 4. Настраиваем nat на фряхе, по желанию <br>&gt; freebsd нужен, потому что именно на нем настроен исходящий vpn канал. И <br>&gt; на то есть причина, микрот не умеет того, что мне нужно <br>&gt; для впн клиента.<br>&gt; В каком смысле помечать не нужно? Ведь в таблице маршрутизации нельзя указывать <br>&gt; источник, там можно только сеть назначения и с нулевой маской можно <br>&gt; назначить маршруты для разных таблиц маршрутизации.<br><br>https://help.mikrotik.com/docs/spaces/ROS/pages/59965508/Policy+Routing полиси на src net<br>&gt; Поэтому и помечаю в мангле маршрут.<br><br>тоже варик, но немного странный, робит и ладно<br>&gt;[оверквотинг удален]<br>&gt; Вот так без ната на фрии: <br>&gt; [code] <br>&gt; 1 1 ms <br>&gt; &lt;1 мс &lt;1 мс 10.22.11.1 <br>&gt; 2 1 ms <br>&gt; 1 ms 1 ms 192.168.11.17 <br>&gt; 3 * <br>&gt; * <br>&gt; * Превышен и https://lifestratus.com/openforum/vsluhforumID6/24026.html#2 Tue, 10 Feb 2026 01:37:34 GMT <br>&gt; нафига тут фряха, если ты всех клиентов натишь одним ip?<br>&gt; итак, терминируем всех клиентов vpn на микротике.<br>&gt; 1. У них своя сеть и кроме фильтров на для маршрутизации трафика <br>&gt; на фряху ничего помечать не нужно, просто указывает маршрут для сети <br>&gt; 10.22.11.0/24 в сторону фряхи.<br>&gt; 2. На фряхе прописываем обратный маршрут до сети vpn клиентов через микрот. <br>&gt; 3. Cмотрим tcpdump'ом что трафик от vpn клиента летит до фряхи.<br>&gt; 4. Настраиваем nat на фряхе, по желанию <br><br>freebsd нужен, потому что именно на нем настроен исходящий vpn канал. И на то есть причина, микрот не умеет того, что мне нужно для впн клиента. <br><br>В каком смысле помечать не нужно? Ведь в таблице маршрутизации нельзя указывать источник, там можно только сеть назначения и с нулевой маской можно назначить маршруты для разных таблиц маршрутизации. <br><br>Поэтому и помечаю в мангле маршрут. <br><br>tracert показывает, что трафик идет до фряхи и обратно до микрота и вот там какой то затык. <br>Вот так без ната на фрии:<br>[code]<br> 1 1 ms &lt;1 https://lifestratus.com/openforum/vsluhforumID6/24026.html#1 Mon, 09 Feb 2026 12:25:25 GMT &gt;[оверквотинг удален]<br>&gt; firewall_script="/etc/firewall.rules" <br>&gt; [/CODE] <br>&gt; /etc/firewall.rules <br>&gt; [CODE] <br>&gt; ipfw -q flush <br>&gt; ipfw nat 1 config if em0 reset same_ports <br>&gt; ipfw add 300 nat 1 ip from 192.168.11.252 to any via em0 <br>&gt; [/CODE] <br>&gt; Может кто то сталкивался с решением данной проблемы. Уже очень долго бьюсь, <br>&gt; но он никак не хочет работать.<br><br>нафига тут фряха, если ты всех клиентов натишь одним ip?<br><br>итак, терминируем всех клиентов vpn на микротике. <br>1. У них своя сеть и кроме фильтров на для маршрутизации трафика на фряху ничего помечать не нужно, просто указывает маршрут для сети 10.22.11.0/24 в сторону фряхи. <br>2. На фряхе прописываем обратный маршрут до сети vpn клиентов через микрот.<br>3. Cмотрим tcpdump'ом что трафик от vpn клиента летит до фряхи. <br>4. Настраиваем nat на фряхе, по желанию<br> <br>