PBR: NAT + VPN

[vss]

добрый день,

есть RB951G-2HnD (3.33) RoS 6.39.2

пытаюсь настроить таким образом, чтобы виртуальный "гостевой" wifi интерфейс маршрутизировался в PPTP тоннель. делаю так:

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-type="" in-interface=\
    guest new-routing-mark=pia passthrough=no tcp-flags=""
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pptp-pia src-address-list=\
    guest-list
add action=masquerade chain=srcnat out-interface=ether1-wan src-address=\
    192.168.0.0/24
/ip route
add distance=1 gateway=pptp-pia routing-mark=pia

в итоге получается что пинг и трассировка при подключении к "гостевой" сети проходят, а вот http/https не соединяется.

полная конфигурация в аттаче. подскажите, пожалуйста, что я не учитываю и как следует изменить конфигурацию?

[Chupaka]

Доброго.

Я бы на всякий случай поубирал все эти лишние dst-address-type="" и прочие tcp-flags=""; в маскарадинге тоже src-address=192.168.0.0/24 без надобности, если только нет трафика, который сознательно не маскарадится на этом интерфейсе.

Затем подозрение на TCP MSS при входе в тоннель:

Код: Выделить всё

/ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1361-65535 action=change-mss new-mss=1360

где MSS в идеале равен MTU-40 (не забыть подправить tcp-mss соответственно).

[vss]

Затем подозрение на TCP MSS при входе в тоннель:

Код: Выделить всё

/ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1361-65535 action=change-mss new-mss=1360

где MSS в идеале равен MTU-40 (не забыть подправить tcp-mss соответственно).

помогло! спасибо огромное. совершенно забыл, что на уровень выше у меня устройство с PPPoE и MSS там устанавливается в 1440.