Затуп с маршрутизацией

[Hett]

Всем привет.
Есть роутер MT Hex, подключен в провайдерский роутер.
С роутера подключаюсь к openvpn (интерфейс ovpn).
Хочу чтобы только на некоторые ресурсы из списка `address-list=vpn_list` трафен шел через vpn (в этом списке всякие глобальные адреса).
Всё работает, но с затупами и очень низкой скоростью.

что делал:

Код: Выделить всё

[admin@Microtik] > /routing/table print detail
Flags: D - dynamic; X - disabled, I - invalid; U - used 
 0 D   name="main" fib 

 1     name="vpn" fib 

Код: Выделить всё

[admin@Microtik] > /ip/firewall/mangle print  
Flags: X - disabled, I - invalid; D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=prerouting action=passthrough 

 1  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 2  D ;;; special dummy rule to show fasttrack counters
      chain=postrouting action=passthrough 

 3    chain=prerouting action=mark-routing new-routing-mark=vpn passthrough=no dst-address-list=vpn_list in-interface-list=LAN log=no log-prefix="" 

Код: Выделить всё

[admin@Microtik] > /ip/firewall/nat print
Flags: X - disabled, I - invalid; D - dynamic 
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none 

 1    chain=srcnat action=masquerade out-interface=ovpn log=no log-prefix="" 

Тут дальше стоит пояснить, что моя локалка 10.0.0.0/24, еще есть роуты в соседнюю локалку (с роутера поднят l2tp туннель до дачи), а еще хожу в локалку которая перед роутером, и в локалку которая перед роутером на даче. Это все давно работает и проблем с настройкой не было.
Мой шлюз (WAN сеть для моего микротика, и LAN сеть для роутера провайдера): 192.168.1.1/24

Для vpn тут добавил только последнее правило:

Код: Выделить всё

[admin@Microtik] > /ip/route print detail
Flags: D - dynamic; X - disabled, I - inactive, A - active; 
c - connect, s - static, r - rip, b - bgp, o - ospf, i - is-is, d - dhcp, v - vpn, m - modem, y - bgp-mpls-vpn; H - hw-offloaded; + - ecmp 
 0  Xs   ;;; Old router network
         dst-address=192.168.1.0/24 gateway=bridge 

 1  As   dst-address=0.0.0.0/0 routing-table=main gateway=192.168.1.1 immediate-gw=192.168.1.1%ether1 distance=1 scope=30 target-scope=10 suppress-hw-offload=no 

   DAc   dst-address=10.0.0.0/24 routing-table=main gateway=bridge immediate-gw=bridge distance=0 scope=10 suppress-hw-offload=no local-address=10.0.0.1%bridge 

 2  As   ;;; bliz cross network route
         dst-address=10.0.1.0/24 routing-table=main pref-src=10.0.0.1 gateway=172.16.0.2 immediate-gw=172.16.0.2%l2tp-bliz distance=1 scope=30 target-scope=10 
         suppress-hw-offload=no 

   DAc   dst-address=172.16.0.2/32 routing-table=main gateway=l2tp-bliz immediate-gw=l2tp-bliz distance=0 scope=10 suppress-hw-offload=no 
         local-address=172.16.0.1%l2tp-bliz 

 3  Is   dst-address=192.168.0.0/24 routing-table=main pref-src=10.0.0.1 gateway=l2tp-bliz immediate-gw=l2tp-bliz check-gateway=ping distance=1 scope=30 target-scope=10 
         suppress-hw-offload=no 

   DAc   dst-address=192.168.1.0/24 routing-table=main gateway=ether1 immediate-gw=ether1 distance=0 scope=10 suppress-hw-offload=no local-address=192.168.1.254%ether1 

   DAc   dst-address=192.168.219.0/24 routing-table=main gateway=ovpn immediate-gw=ovpn distance=0 scope=10 suppress-hw-offload=no local-address=192.168.219.4%ovpn 

 4  As   dst-address=0.0.0.0/0 routing-table=vpn gateway=ovpn immediate-gw=ovpn distance=1 scope=30 target-scope=10 suppress-hw-offload=no 

Так вот интересно, что если я запускаю Torch и жму start выбрав ovpn интерфейс, то все начинает прекрасно работать. Стоит нажать Stop как VPN опять тупит.
Я уже голову сломал, не очень силен в iptables

[Hett]

Помогло отключение fasttrack в filter rules!
UPD:

Включил обратно это правило, но только для общения по внутренним интерфейсам. Нагуглил, что при fasttrack трафик не проходит mangle, отсюда и проблемы. Не знаю на сколько это верное утверждение.

Код: Выделить всё

[admin@Microtik] > /ip/firewall/filter print
Flags: X - disabled, I - invalid; D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 2    chain=input action=accept connection-state=new src-address=10.0.1.0/24 log=no log-prefix="" 

 3    chain=input action=accept connection-state=new src-address=x.x.x.x log=no log-prefix="" 

 4    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid 

 5    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 

 6    ;;; defconf: accept to local loopback (for CAPsMAN)
      chain=input action=accept dst-address=127.0.0.1 

 7    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN 

 8    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec 

 9    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec 

10    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related in-interface-list=LAN out-interface-list=LAN log=no log-prefix="" 

11    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked 

12    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid 

13    ;;; defconf: drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN 

[Hett]

Как вариант можно еще fasttrack сделать чтобы работал для всего кроме ovpn интерфейса.