Ich habe meine Maschine nach dem Tutorial eingerichtetHierum eine Wireguard-Schnittstelle zur einzigen Schnittstelle zu machen (sodass alle meine Anwendungen nur diese für den Internetzugriff verwenden können).
Dies funktioniert wie vorgesehen, aber jetzt möchte ich mein LAN (192.168.0.0/16) davon ausschließen, damit ich per SSH darauf zugreifen, einen HTTP(S)-Reverse-Proxy verwenden usw. kann.
Neu bei IP. Ich habe versucht, ein (vethVPN/vethPhys)-Paar einzurichten vethund die Route für 192.168.0.0/16 über die vethPhys-IP festzulegen:
ip link add name vethVPN type veth peer name vethPhys
ip link set vethPhys netns physical
ip -n physical addr add 10.0.0.1/32 dev vethPhys
ip -n physical link set vethPhys up
ip link set vethVPN up
ip -n physical route 192.168.0.0/16 via 10.0.0.1
Was mache ich falsch? Wie erreiche ich das richtig?
Antwort1
Sehr kurz:
Indem Sie Ihren Hauptnetzwerk-Namespace vom LAN trennen, können Sie ihn nicht länger zu einem „Teil“ des LAN machen.
Sie können Ihren Hauptnamespace als ein vom LAN verschiedenes Segment behandeln und zwischen diesem und dem LAN über den „physischen“ Namespace routen. Dazu sind jedoch auf allen anderen mit dem LAN verbundenen Maschinen korrekte Routen erforderlich (die Sie z. B. per DHCP verteilen können, sofern das Gerät, auf dem der DHCP-Server ausgeführt wird, dazu in der Lage ist).
Oder Sie können ein anderes Setup verwenden: Behalten Sie den Haupt-Namespace mit dem LAN verbunden, erstellen Sie einen "Wireguard"-Namespace mit einem Macvlan und dem Wireguard-Prozess, verschieben Sie die wg0Schnittstelle von diesem Haupt-Namespace in Ihren Haupt-Namespace und machen Sie wg0denStandard-Gateway.
Dadurch wird sichergestellt, dass jede Zieladresse außer Ihrem LAN durch die Wireguard-Schnittstelle geht.