Помощь в настройке Mangle

[Nambelad]

Добрый день!
Прошу помочь решить задачку если это возможно.
Есть два провайдера и впн канал через который обходятся блокировки. Блокировки обходятся по адрес листу под именем Zapret.
Хочу перенаправить часть клиентов через второго провайдера и плюсом чтоб обход блокировок при таком перенаправлении тоже работал.
Есть такое правило

chain=prerouting action=mark-routing new-routing-mark=To-ISP-2 passthrough=yes src-address-list=Beeline dst-address-list=!HomeNet log=no

То есть клиенты из листа Beeline уходят на второго провайдера и плюсом из перенаправления исключаются мои локальные сети из адрес листа HomeNet. Но при этом не работает обход блокировок по правилу

chain=prerouting action=mark-routing new-routing-mark=vpn_rout passthrough=yes dst-address-list=Zapret log=no log-prefix=""

что собственно логично.
Вложенности групп в микротике к сожалению нет. Есть какой то другой способ это реализовать?

Вот полный список правил мангл относящихся к маркировке трафика у меня в сети

chain=input action=mark-connection new-connection-mark=From-ISP-1 passthrough=yes in-interface=ether1-seven-sky log=no log-prefix=""

chain=input action=mark-connection new-connection-mark=From-ISP-2 passthrough=yes in-interface=ether2-beeline log=no log-prefix=""

chain=prerouting action=mark-routing new-routing-mark=To-ISP-1 passthrough=yes connection-mark=From-ISP-1 in-interface-list=!lst-WAN log=no

chain=prerouting action=mark-routing new-routing-mark=To-ISP-2 passthrough=yes connection-mark=From-ISP-2 in-interface-list=!lst-WAN log=no

chain=output action=mark-routing new-routing-mark=To-ISP-1 passthrough=yes connection-mark=From-ISP-1 log=no log-prefix=""

chain=output action=mark-routing new-routing-mark=To-ISP-2 passthrough=yes connection-mark=From-ISP-2 log=no log-prefix=""

chain=forward action=mark-connection new-connection-mark=From-ISP-1 passthrough=yes in-interface=ether1-seven-sky log=no log-prefix=""

chain=forward action=mark-connection new-connection-mark=From-ISP-2 passthrough=yes in-interface=ether2-beeline log=no log-prefix=""

chain=prerouting action=mark-routing new-routing-mark=vpn_rout passthrough=yes dst-address-list=Zapret log=no log-prefix=""

chain=prerouting action=mark-routing new-routing-mark=To-ISP-2 passthrough=yes src-address-list=Beeline dst-address-list=!HomeNet log=no

[Illinory]

Выглядит перегружено, конечно.
Зачем вам тут passthrough?
chain=prerouting action=mark-routing new-routing-mark=vpn_rout passthrough=yes dst-address-list=Zapret log=no log-prefix=""

Если не менять логику и ничего не сломать, добавьте между последним и предпоследним правилами, потом conntrack почистите на всякий. Должно работать.

chain=prerouting action=mark-routing new-routing-mark=vpn_rout src-address-list=Beeline dst-address-list=Zapret log=no log-prefix=""

[Nambelad]

Выглядит перегружено, конечно.
Зачем вам тут passthrough?
chain=prerouting action=mark-routing new-routing-mark=vpn_rout passthrough=yes dst-address-list=Zapret log=no log-prefix=""

Если не менять логику и ничего не сломать, добавьте между последним и предпоследним правилами, потом conntrack почистите на всякий. Должно работать.

chain=prerouting action=mark-routing new-routing-mark=vpn_rout src-address-list=Beeline dst-address-list=Zapret log=no log-prefix=""

Спасибо! Убрав тут passthrough все заработало без дополнительного правила!
chain=prerouting action=mark-routing new-routing-mark=vpn_rout passthrough=yes dst-address-list=Zapret log=no log-prefix=""

Видимо я просто не понимаю как работает passthrough

[Illinory]

Видимо я просто не понимаю как работает passthrough

Passthrough обеспечивает нетерминальность действия в цепочке, т.е. при его выполнении пакет продолжает идти дальше по цепочке. В iptables специфичные действия в mangle, не считаются терминальными, а в реализации MikroTik это обеспечивает флаг passthrough.
То есть у вас вешалась метка vpn_rout , но passthrough позволял пакету идти дальше по цепочке и выполнялось следующее правило, где метка менялась на To-ISP-2.