Схема сети:
Mikrotik RouterOS v7.19 в качестве шлюза, на нем так же поднят VPN Server
Внутренняя сеть на бридже 192.168.11.252/24
Сеть для подключенных ВПН клиентов 10.22.11.0/24
Внутренний впн сервер на freebsd на нем тоже стоит впн клиент, он разделяет трафик, часть уходит в впн, часть должно обратно возвращаться на шлюз микротик 192.168.11.252 и уже с него уходить в интернет.

Моя логика такая c впн клиентов на mikrotik маркеруем маршрут и перенаправляем на внутренний впн шлюз

ip/firewall/mangle/add chain=prerouting action=mark-routing new-routing-mark=rt2vpnsplit passthrough=yes src-address=10.22.11.0/24 dst-address=!192.168.11.0/24

Соответственно маркированный маршрут отправляем на врутренний шлюз с впн

ip/route/add dst-address=0.0.0.0/24 gateway=192.168.11.17 distance=1 routing-table=rt2vpnsplit

Ну и я повешал нат, что бы во внутреннюю сеть пакеты уходили с адресом внутренней подсети на бридже микрота

ip/firewall/nat/add chain=srcnat src-address=10.22.11.0/24 out-interface=br_ikc routing-mark=rt2vpnsplit action=masquerade

После данных манипуляций по моей логике пакеты должны улететь на внутренний интерфей шлюза на фрибсд с адресом источника 192.168.11.252

На нем определяется по адресу назначения куда отправить пакет, в впн или вернуть обратно на шлюз. Вот тот трафик что уходит в впн, с ним нет проблем. А вот тот что должен вернуться обратно на микрот и с него уже улететь в интенет через ван интерфейс проблемы. Он не идет никуда.

На внутреннем шлюзе фрибсд включен форвардин и пробовал с натом и без. Если с натом то добавляю такие правила в фаервол:

/etc/rc.conf

firewall_enable="YES"
firewall_nat_enable="YES"
firewall_script="/etc/firewall.rules"

/etc/firewall.rules

ipfw -q flush
ipfw nat 1 config if em0 reset same_ports
ipfw add 300 nat 1 ip from 192.168.11.252 to any via em0

Может кто то сталкивался с решением данной проблемы. Уже очень долго бьюсь, но он никак не хочет работать.