LAN Mikrotik mangle

add action=mark-connection chain=input dst-address=206.188.193.174 dst-port=8081 \
add action=mark-connection chain=input dst-address=2.20.254.82 dst-port=8081 \
неправильно.

Для начала делаем так
1. Маркируем коннекшины mark-connection в цепочках prerouting и output
2. Маркируем маршруты в этих же цепочках.

Маркировать в input бесполезно. Эта цепочка идет уже за принятием решения об маршрутизации. И как следствие у вас в коннекшн трекер прилетает не то, что вы ожидаете. Так как первый пакет соединения УЖЕ прошел маршрутизацию без маркировки.

link

LAN Mikrotik FAQ базовая настройка

Обновление прошивки

Выставить часы

Прописать статику для локальной сети

Прописать статику для WAN

Добавить NAT

DNS

DHCP-Server

Перенос настроек с одного на другой

SNTP client

Wireless

Packages

Services

IP Settings

Neighbors

Шейпинг

Certificates

OVPN-Client

Identity

Users

LAN Mikrotik натим маркированный маршрут

Есть ovpn-туннель с маршрутом сеть 172.32.0.0/24 gateway 172.32.0.10. В сети есть сервер 172.32.0.10. Сеть натится. За туннелем появился сервер 172.16.1.123. За текущим натом не виден.

При добавлении маршрута через шлюз ovpn-туннеля для сервера 172.16.1.123 через gateway 172.32.0.10 с самого маршрутизатора пинг идет. Нужно занатить сервер для локальной сети.

Придумал такое решение.
В Mangle, маркируем маршрут, правило переносим в начало:
Chain - prerouting, src - 192.168.1.0/24 (локальная сеть), dst - 172.16.1.123, action - mark_routing, New routing mark - ovpn-to172.16.1.123, passtrough - none.

В NAT натим маркированный маршрут:
Chain - srcnat, src - 192.168.1.0/24 (локальная сеть), dst - 172.16.1.123, Routing mark - ovpn-to172.16.1.123, action - masquerade.

Заработало.