Configuré mi máquina siguiendo el tutorial.aquípara hacer que una interfaz Wireguard sea la única interfaz (para que cualquiera de mis aplicaciones solo pueda usarla para acceder a Internet).
Esto funciona según lo previsto, pero ahora quiero excluir mi LAN (192.168.0.0/16), para poder acceder a ella mediante SSH, usar un proxy inverso HTTP(S), etc.
Nuevo en ip, intenté configurar un vethpar (vethVPN/vethPhys) y configuré la ruta para 192.168.0.0/16 a través de vethPhys IP:
ip link add name vethVPN type veth peer name vethPhys
ip link set vethPhys netns physical
ip -n physical addr add 10.0.0.1/32 dev vethPhys
ip -n physical link set vethPhys up
ip link set vethVPN up
ip -n physical route 192.168.0.0/16 via 10.0.0.1
¿Qué hago mal? ¿Cuál es la forma correcta de lograr esto?
Respuesta1
Muy corto:
Al desconectar el espacio de nombres de su red principal de la LAN, ya no podrá hacerlo "parte" de la LAN.
Puede tratar su espacio de nombres principal como un segmento diferente de la LAN y enrutarlo entre él y la LAN utilizando el espacio de nombres "físico", pero esto requerirá rutas correctas en todas las demás máquinas conectadas a la LAN (que puede distribuir, por ejemplo). por DHCP, si el dispositivo en el que se ejecuta el servidor DHCP puede hacerlo).
O puede usar una configuración diferente: mantenga el espacio de nombres principal conectado a la LAN, cree un espacio de nombres "wireguard" con un macvlan y el proceso wireguard, mueva la wg0interfaz de ese espacio principal a su espacio de nombres principal y haga wg0quepuerta de enlace predeterminada.
Eso garantizará que todas las direcciones de destino, excepto su LAN, pasen por la interfaz Wireguard.