Сложный роутинг через mikrotik + linux PC

но вот ответ на эти пакеты не покидает линуксовую машину.

Как вы это определили? У вас, скорее всего, линуксовая машина шлёт ответный пакет напрямую, а не через microtik. Но в этой теме вы описали работающую часть (настройки micrtik), а про настройки linux и про то, по какому пути должны идти ответные пакеты — ничего.

микротик является default gateway как для «ничего не подозревающего клиента», так и для линуксового пк.

masquerade

А локальная сеть?

На вопрос вы отвечать не стали, ну, думайте сами, как работает маршрутизация. masquerade на микротике вам посоветовали, если не подходит то CONNMARK на линуксовой машине...

Сейчас в mangle на prerouting в микротике стоит mark routing. А masquerade куда вставлять?

• локальная сеть: 192.168.88.0/24
• mikrotik: 192.168.88.1
• linux pc: 192.168.88.2
• тестовый пк: 192.168.88.223
• тестовый адрес для перехвата: 5.255.255.242

Чего хочется: на тестовом ПК mikrotik прописан как default gateway. Хочется, чтобы тестовые адреса, отправленные с тестового пк на тестовый адрес пересылались микротиком на linux pc, а тот уже обрабатывал их и роутил через микротик.

hairpin nat смотри

и роутил через микротик.

Маршрутизировал с какими src и dst ip-адресами? Вот у вас пакет:
192.168.88.223->5.255.255.242
снача попадает на mikrotik, то его маркирует, маршрутизирует и пакет попадает на linux pc. И дальше что? Если linux pc этот пакет отправит на mikrotik, то там он ничем не будет отличаться от исходного пакета, исходящего от тестового пк. И пакет опять отправится на linux pc...

А, если у вас в этой схеме где-то NAT или используется поле ToS пакета, чтобы как-то различать пакеты от тестового пк и от linux pc, то про это надо написать подробно.

Если linux pc этот пакет отправит на mikrotik, то там он ничем не будет отличаться от исходного пакета

На linux pc есть правило masquerade. Если прописать на тестовом пк default gw 192.168.88.2 (linux pc), то пакеты будут успешно ходить.

Хм, такое ощущение, что в схеме через mikrotik действительно не хватает masquerade.

Установка соединения выглядит так (заснифано на linuxpc):

test -> WWW
linuxpc -> WWW
WWW -> linuxpc
WWW -> test

То есть, действительно надо добавить маскардинг где-то на микротике, но вот только не пойму, где.

UPD: если добавить masquerade на микротике ко всем пакетам с меткой linux_route, то получится что-то странное (через / обозначил mac адрес):

[SYN] mikrotic -> WWW / linuxpc
[SYN] linuxpc -> WWW
[SYN,ACK] WWW -> linuxpc
[SYN,ACK] WWW -> mikrotik
[ACK] mikrotik -> WWW / linuxpc
[ACK] linuxpc -> WWW
  <test pc сразу же отправил tls hello>
!!! задержка 1,7 сек !!!
[TLS HELLO] mikrotik -> WWW / linuxpc
[TLS HELLO] linuxpc -> WWW
...
[FIN] WWW -> linuxpc
[FIN] WWW -> mikrotik
[RST] mikrotik -> WWW / linuxpc
[RST] linuxpc -> WWW

+UPD: посмотрел, что происходит на testpc: там после отправки ack сразу же идет отправка TLS hello, который «доходит» до linuxpc спустя 1.7 секунды.

Я глупость написал, сейчас прочитал, и понял так что хочется такое test -> mik -> lin -> 5.* А ответ 5.* -> test.
И мне кажется что ответ с 5.* идёт в итоге на linux-pc, потому что mikrotik открытое соединение lin -> 5.* nat-ит, т.е. делает уже masquerade.

имхо: Есть вероятность что даже если linux-pc подменяет исходящий ip на ip test-pc или никак его не меняет на уровне протокола ip, то факт что соединение открыто может заставить пакеты идти обратно от 5.* на linux-pc по тому же пути, но уже на канальном уровне.

Меня вполне устроит, если трафик будет ходить test -> mik -> lin -> mik -> 5.* -> mik -> lin -> mik -> test. Главное чтоб стабильно.