abaixo é a minha configuração atual do meu mikrotik hAP lite. Como você vê, a configuração é bem básica. Eu tenho outro roteador na minha rede (192.168.178.1) que faz DHCP e fornece conectividade com a Internet. A porta ether1 é o uplink para este roteador.
Todos os dispositivos conectados a ether2, ether3 e wlan devem estar na rede como se estivessem conectados por meio de um switch normal.
Isso funciona, mas a configuração pode não ser ideal para isso. Se eu puder fazer melhor, por favor, avise.
O dispositivo em ether4 também deve estar disponível na rede e também deve ser capaz de acessar todos os outros dispositivos na rede normalmente, no entanto, quando o dispositivo conectado em ether4 deseja acessar a internet (= ou seja, fazer solicitações DNS para ou envia tráfego através do gateway padrão 192.168.178.1), este tráfego deve ser reencaminhado e enviado através da VPN configurada. O gateway padrão da VPN é atribuído dinamicamente (é a interface l2tpclient chamada my-vpn) e atualmente possui o ip 10.9.9.1.
Como você provavelmente pode dizer, tentei isso com a regra mangle do firewall, mas isso não funcionou.
O que preciso remover / alterar / adicionar para que isso funcione?
Felicidades,
Sebastian
# jul/02/2017 19:49:03 by RouterOS 6.39.2
/interface bridge
add admin-mac=AA:BB:CC:AA:BB:CC auto-mac=no comment=defconf fast-forward=no \
name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=germany disabled=no \
frequency=auto mode=ap-bridge ssid=test wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
/interface l2tp-client
add connect-to=some.vpn.com disabled=no name=my-vpn password=\
test user=test
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \
wpa-pre-shared-key=test wpa2-pre-shared-key=test
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=wlan1
add bridge=bridge interface=ether4
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
bridge
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
# in/out-interface matcher not possible when interface (ether1) is slave - use master instead (bridge)
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
/ip firewall mangle
add action=route chain=prerouting dst-address=192.168.178.1 log=yes \
log-prefix=test passthrough=yes route-dst=10.9.9.1
/system clock
set time-zone-name=Europe/Berlin