RouterOS a 2x WAN - problém s routováním

m4rk3J

Zdravím, mám menší trable s konfigurací jakoby dvou WAN rozhraní na MikroTiku.

Popis je jednoduchý: na ether1 mám přivedenou konektivitu, MikroTik vytáčí L2TP tunel...

Cílem je:

Provoz z místní sítě poteče skrz tunel.
Skrz ether1 poteče komunikace s VPN serverem.
Input pakety na router potečou zpět tím rozhraním, odkud přišly. (tj. abych se dostal do administrace jak z internetu, tak z VPN)
Forward dst-nat pakety potečou zpět tím rozhraním, odkud přišly. (tj. abych se dostal na svůj webový server jak z VPN, tak z internetu)

Aktuální konfiguraci přikládám, input na router z obou WAN funguje, nicméně jsem si všiml, že provoz z internetu na IP 10.0.0.50 teče zpět tím tunelem, nicméně by měl téct skrz ether1. Aktuálně není v nejlepším stavu, snažil jsem si s tím hrát, nicméně jsem to nevyřešil.

Děkuji předem za rady.

/ip address
add address=10.0.0.50/24 interface=ether1 network=10.0.0.0

#Díky tomuto pravidlu jsem přišel na chybu.
/ip firewall filter
add action=drop chain=output disabled=yes out-interface=l2tp-out1 src-address=!192.168.51.250

/ip firewall mangle
add action=mark-connection chain=input connection-mark=no-mark in-interface=ether1 new-connection-mark=ether1 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether1 new-connection-mark=ether1 passthrough=no
add action=mark-routing chain=output connection-mark=ether1 new-routing-mark=ether1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=ether1 new-routing-mark=ether1 passthrough=no
add action=mark-connection chain=input connection-mark=no-mark in-interface=l2tp-out1 new-connection-mark=l2tp-out1 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=l2tp-out1 new-connection-mark=l2tp-out1 passthrough=no
add action=mark-routing chain=output connection-mark=l2tp-out1 new-routing-mark=l2tp-out1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=l2tp-out1 new-routing-mark=l2tp-out1 passthrough=no

/ip route
add distance=1 gateway=10.0.0.1 routing-mark=ether1
add distance=1 gateway=l2tp-out1 routing-mark=l2tp-out1
add distance=10 gateway=l2tp-out1

#Routa pro VPN server
/ip route rule
add dst-address=1.2.3.4/32 table=ether1`