Сетевое оборудование: роутер. Имеется роутер MikroTik с поднятым и рабочим тоннелем WireGuard. Необходимо реализовать policy-based routing: весь трафик одной внутренней подсети должен уходить через WireGuard-тоннель, при этом доступ к ряду заданных внешних IP-адресов должен осуществляться исключительно через WAN, минуя тоннель. Предпринималась попытка решения через mangle + routing marks, однако корректного результата добиться не удалось. На текущий момент трафик через тоннель проходит, но отсутствует доступ во внешнюю сеть. При замене клиента (Keenetic или официальный WireGuard-клиент) схема работает корректно, что указывает на ошибку именно в конфигурации MikroTik (маршрутизация, NAT, firewall или WireGuard peer settings). Дополнительно требуется настроить обратный WireGuard-тоннель для доступа из внешних сетей во внутреннюю локальную сеть (site-to-site или road-warrior сценарий). В результате внешний клиент должен иметь доступ к заданным подсетям LAN с корректной маршрутизацией, NAT (при необходимости) и правилами firewall. Решение должно учитывать порядок обработки пакетов (mangle ? routing ? NAT), корректные allowed-address, таблицы маршрутизации и отсутствие конфликтов с fasttrack.