Mikrotik: Jak uruchomić VPN na backupowym łączu WAN2 DSL?

Witam,

Zaciąłem się na pewnym temacie.

Jest sobie router MT który posiada 2 WAN.
WAN1 - LTE, trasa active.
WAN2 - DSL Orange. Backup.

Router przełącza trasy na zasadzie pingowania określonych 2 adresów w internecie. (check gateway ping) i w przypadku awarii WAN1 przełącza na WAN2. Działa okay w oparciu o recursive routing.

Pytanie - jak uruchomić dostęp VPN do łącza WAN2 gdzie mamy publiczny adres.
Na torchu interfejsu WAN2 pakiety VPN (testowo pptp) dolatują. Firewall ma regułę zezwalająca na inpucie.
Klienty VPN się nie łączą.

Da się to zrobić bez markowania ruchu? Czy trasa musi być active aby przyjąć te połączenia VPN?

Będę wdzięczny za wszelkie rady.

Typowy problem z adresami source/destination, routingiem i utrzymaniem sesji:
Post 4
https://www.elektroda.pl/rtvforum/topic3467903.html

Czyli pakiety przychodzą pod wskazany adres publiczny (backup gateway) i odpowiedzi lecą przez bramę domyślną.
Dobra czyli muszę zmusić router żeby odpowiadał tym samym gatewayem na który otrzymał pakiet, tak?
Żeby to zrobić potrzebuję zamarkować połączenia i routing dla obu łącz i w tablicy routingu wymusić bramę dla GW1 dla Mark1 i GW2 dla Mark2 tak?
Testuję to, gdyż pewien "fachman" "podpowiedział mi", że to "powinno" śmigać bez markowania jeżeli na GW2 jest publiczny adres.

Teraz pytanie jak to połączyć z failoverem opartym na recursive routingu.
Próbowałem to uczynić. Siedziałem kilka godzin, nie działa mi to. Gdzieś się mylę, lub mam za małą wiedzę.

Dokładnie tak. Musisz odpowiedzieć z adresu, na który pakiet był wysłany.
Z MT korzystam tylko jak jestem mocno do tego zmuszony, więc mógł bym Ci coś niechcąco źle doradzić w konfiguracji.

Jak markować i kierować odpowiednio ruch, to od razu pewnie tam coś jeszcze ciekawego namieszam.
Chciałem się bardzo obejść bez markowania - lenistwo. Ale że dzisiaj się dowiedziałem że temat jest na połowę przyszłego miesiąca - to jestem spokojny.
Dzięki IC_Current za wyleczenie chwilowej zapaści mózgowej