L2TP. Маркированный трафик компа с lookup only in table к другому WAN - RDP к нему с другой локалки

Как? Он смотрит только в L2TP-WAN: look only in table

 

Эх ( Понял. Спасибо!

 

Никак не могу догнать. Мне всё объяснил ответ:

Но ваши последние слова вернули меня в прежний тупик
Вот рабочий конфиг:
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=IPO passthrough=yes src-address=192.168.30.64
add action=mark-connection chain=prerouting dst-address=192.168.30.64 in-interface=Nick new-connection-mark=X passthrough=yes
add action=mark-routing chain=prerouting connection-mark=X in-interface=!Nick new-routing-mark=Y passthrough=yes
/ip route
add check-gateway=ping distance=1 gateway=192.168.8.1 routing-mark=Huawey
add distance=1 gateway=Nick routing-mark=Y
add check-gateway=ping distance=1 gateway=172.16.30.4 routing-mark=IPO
add check-gateway=ping distance=1 gateway=176.62.88.1
add check-gateway=ping distance=1 dst-address=192.168.2.0/24 gateway=172.16.30.3 pref-src=172.16.30.1
add check-gateway=ping distance=1 dst-address=192.168.6.0/24 gateway=172.16.30.6 pref-src=172.16.30.1
/ip route rule
add action=lookup-only-in-table routing-mark=Y table=Y
add action=lookup-only-in-table routing-mark=Huawey table=Huawey
add action=lookup-only-in-table routing-mark=IPOsipov table=IPO

Из филиала (Nick) все спокойно заходят, как по локалке, на 192.168.30.64.
Как по 3389 зайти на 192.168.30.64 из вне Nick, набирая пользователю ip адрес маршрутизатора с проброшенный портом, например, 187.43.34.43:64?

Пришло в голову сделать в mangle только это и пакеты приходят туда из Ether1, если добавить:

add action=mark-connection chain=prerouting dst-port=64 in-interface=ether1 new-connection-mark=Z passthrough=yes protocol=tcp

А что с этим делать дальше? Куда поведёт это отловленное соединение? В случае с Nick мне всё понятно: там явно прописан 192.168.30.64 в Dst.Address, а тут только порт 64. Если добавлю так же 192.168.30.64 в Dst.Address - пинги уже не идут.
Ещё попробовал добавить строку:

add action=mark-routing chain=prerouting connection-mark=X in-interface=!Nick new-routing-mark=Y passthrough=yes​

где вместо Nick поставил Ether1 - у всех вылетел интернет ))
Вот всё, что я смог "поймать" своим мозгом (

 

Заметил такой момент, когда выходили на одну площадку для закрытых торгов. Там повышенная безопасность, заходить туда надо через VipNet в режиме внутренняя сеть, когда блокируется любое соединение, кроме разрешенного с данной площадкой. Так вот, именно в режиме этой закрытой сети строка вкладки NAT, где маркированный ip смаршрутизирован на конкретный WAN - показывает НОЛЬ трафика! А закрытая площадка открывается, всё работает. Строка вкладки Mangle, где этот ip отмаркирован на конкретный WAN трафик показывает, трафик идет. Но ведь в Route list стоит lookup in table! Что происходит? Неужели VipNet может игнорировать маркировку на Mikrotik, несмотря на lookup in table и лезть в интернет через main?

 

Уверен. Ему больше неоткуда идти, кроме основного интернета. Никакой вай-фай не подключен в это время, только LAN. При чём эта ситуация с двух ноутбуков на этой площадке: как только VipNet переключаем в режим "внутренняя сеть" для защищенной площадки - трафик в NAT останавливается, а сайт работает и всё там открывается. Переключаем обратно, на "интернет" - трафик снова пошел