PPPoe + WireGuard + L2TP цепочка

[mrin]

Добрый день!

Имеется RouterOS 7.4.1, на котором подняты PPPOE к Byfly, L2TP клиент к VPN серверу, и WireGuard интерфейс для удаленных клиентов.
WG клиенты подключаются на PPPOE со статичным IP, им доступен LAN/Byfly интернет.
Некоторые LAN клиенты ходят в интернет через L2TP (mangle pre-route+routing mark и route прописан)
Нужно некоторых WG клиентов отправить через L2TP. Пробовал аналогично mangle прописать - у клиента пропадает доступ к LAN/Byfly.
Подскажите куда копать/как настроить?

Спасибо

Код: Выделить всё

/interface wireguard
add listen-port=XXXXX mtu=1420 name=wireguard1

/interface wireguard peers
add allowed-address=172.16.1.2/32 comment="Remote client #1" interface=\
    wireguard1 public-key="XXXXXXXXXXX"

/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
add address=172.16.1.1/24 interface=wireguard1 network=172.16.1.0

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=vpn \
    src-address=172.16.1.2
	
/ip firewall nat
add action=masquerade chain=srcnat comment=HAIRPIN dst-address=192.168.1.0/24 \
    src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=ByFly/VPNs out-interface-list=VPN

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=l2tp-out1 pref-src=\
    0.0.0.0 routing-table=vpn scope=30 suppress-hw-offload=no target-scope=\
    10
	
/ip firewall filter
add action=accept chain=input comment="WireGuard allow establish connection" \
    dst-port=XXXXX protocol=udp
add action=accept chain=input comment="WireGuard services" \
    in-interface=wireguard1 src-address=172.16.1.0/24
	
/interface list member
add interface=l2tp-out1 list=VPN
add interface=pppoe-out1 list=VPN

[Chupaka]

Здравствуйте.

Т.е. вы удивлены тем, что если направляете весь трафик в L2TP - то клиент WG не может попасть в LAN, а его трафик вместо этого уходит в L2TP?..

Просто добавьте выше в firewall mangle правило, которое не будет метить трафик к LAN:
/ip fi fi man action=accept dst-address=192.168.1.0/24 comment="Route LAN traffic locally"

[mrin]

С локальным трафиком разобрался, не получается отправить wg клиентов в L2TP. Lan клиенты ходят норм.

[Chupaka]

Что делаете и что показывает трассировка от wg-клиента в l2tp?

[mrin]

Если LAN устройство, то 2 hops:
- 172.16.1.1
- 192.168.1.1
Если адрес в интернет - то затык после 172.16.1.1

Правило mangle:
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=\
!192.168.1.0/24 new-routing-mark=vpn passthrough=yes src-address=172.16.100.2

Прописан route:
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=l2tp-out1 pref-src=\
0.0.0.0 routing-table=vpn scope=30 suppress-hw-offload=no target-scope=\
10

Аналогично прописано правило mangle для LAN клиентов, которые пробрасываются через l2tp успешно.
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=yes src-address=192.168.1.30

[Chupaka]

М-м-м... И в Firewall Filter Forward правил нет? А то "chain=input comment="WireGuard services"" какое-то подозрительное...

[mrin]

Не было возможности ответить, проблема проброса wg клиентов через l2tp решилась - основная загвоздка была в том, что DNS запросы падали на wg интерфейс 172.16.1.1 и помечались mangle для отправки в l2tp - т.е. решение либо не помечать эти запросы, либо пробросить их через l2tp c заменой, к примеру на 8.8.8.8 (dstnat/dstnat).

[Chupaka]

Странно, что трассировка не выявила проблему с доступом к LAN через DNS-имя