В настоящее время у меня есть WireGuard VPN (интерфейс wg0), работающий на устройстве Linux, который используется для удаленного доступа к другим устройствам на данном интерфейсе, например eth0.vlan1. У меня уже есть рабочая конфигурация nftables, которая позволяет пересылать только трафик между этими интерфейсами с IP-адресами из соответствующих подсетей, чтобы предотвратить пересылку трафика между другими интерфейсами (и, следовательно, в обход VPN и доступа к eth0.vlan1).
использует подсеть 10.0.0.0/16, а eth0.vlan1 — 192.168.0.0/24.
У меня есть две основные проблемы с этой настройкой:
- Устройствам, подключающимся к VPN, требуется вручную добавить новый маршрут для подключения к устройствам на eth0.vlan1 - например. IP-маршрут добавьте 192.168.0.0/24 через .
- Если бы у меня было несколько таких устройств и я открыл несколько VPN-туннелей (в разных подсетях, скажем, последующие устройства — 10.x.0.0/16), устройства на каждом из их интерфейсов eth0.vlan1 имели бы конфликтующие IP-адреса.
Поэтому я хотел бы иметь возможность NAT IP-адресов из диапазона 192.168.1. диапазон до 10. с помощью nftables. Существующая информация, которую я могу найти, по-видимому, не охватывает сопоставление такого диапазона, а скорее просто сопоставление одного IP-адреса или маскирование нескольких IP-адресов в один.
Подробнее здесь:
https://stackoverflow.com/questions/798 ... interfaces
Мобильная версия