Как направить трафик из внутреннего интерфейса на внутренний интерфейс, вне зависимости от default getway?

Question

[Bright144]

У меня имеется ПК с ОС Ubuntu 22.04 server который установлен wireguard server с интерфейсом wg0 и VPN client с интерфейсом vpn_vpn. ПК сейчас используется в качестве роутера для подсети 192.168.1.0/24(мои устройства).
Интерфейсы ПК:
eth0 с IP 192.168.1.103/24 (c выходом на интернет);
vpn_vpn с IP 10.211.1.90/16
wg0 с IP 172.26.3.155/16
и в ip route по default eth0

default via 192.168.1.1 dev eth0 proto dhcp src 192.168.1.103
8.8.8.8 via 10.211.254.254 dev vpn_vpn

.
Теперь мне нужен направить весь трафик wg0 на vpn_vpn не изменяя default eth0 в ip route, как мне это сделать с помощью iptables? Когда мне нужен обычный интернет, ПК будет работать как обычный маршрутизатор с dns через vpn. Когда нужен интернет с VPN, включаю Wireguard client на устройстве и вес трафик будет проходить через VPN не смотря на defaul via 192.168.1.1 dev eth0, вся суть в этом.

Answer 1

[Alexey Dmitriev]

С помощью iptables вы можете перенаправить трафик, только используя NAT. Это упрощает жизнь, так как не требует настройки маршрутизации на всем пути следования.
Можно также маршрузитировать трафик в зависимости от ip адреса источника, это позволяет сделать iproute2

Comments

[Bright144]

я раньше ни когда не работал с таблицей NAT, мне было достаточно таблица filter и ip route. Сегодня начал читать доки про NAT. По моему мнение NAT умеет менять заголовки IP и порт, но не может назначить определенному пакету определенный шлюз(если мое мнение ошибочный или NAT умеет большего пожалуйста подскажите). Можете показать пример для моего ситуации?

iptables -t nat -I POSTROUTING -s 172.26.0.0/16 -o vpn_vpn -j MASQUERADE

не помогло.

[Alexey Dmitriev]

Bright144, POSTROUTING, как видно из названия - срабатывает после принятия решения о маршрутизации. Она может использоваться в вашем случае только для "Это упрощает жизнь, так как не требует настройки маршрутизации на всем пути следования".
Вам нужно или попытаться обработать пакеты в -t nat -I PREROUTIN|G, либо все-таки организовать маршрутизацию в iproute2.

[Bright144]

Alexey Dmitriev, вот решение:

iptables -t nat -A POSTROUTING -o vpn_vpn -j MASQUERADE 
ip route add default via 10.211.254.254 dev vpn_vpn table 120    #шлюз vpn подключение
ip rule add from 172.26.0.0/16 table 120                         #подсеть wg0

окажется все проще, всего 3 строка команд. у меня все работает отлично.

[Bright144]

Alexey Dmitriev, и еще по этой стати "Роутинг и policy-routing в Linux при помощи iproute2" я убедился что NAT не может маршрутизировать пакет, NAT может изменить заголовки IP, порт и отметить пакет с помощи таблицы mangle(опят же может я ошибаюсь и сделаю поспешный вывод не дочитав доки). Но все равно спасибо за подсказку iproute2.

Answer 2

[Bright144]

Добавляешь в таблице nat

iptables -t nat -A POSTROUTING -o vpn_vpn -j MASQUERADE

для интерфейса vpn.
Дальше следуешь по этой инструкции Роутинг и policy-routing в Linux при помощи iproute2. Окажется все было проще.
Вот команды в моем случи:

iptables -t nat -A POSTROUTING -o vpn_vpn -j MASQUERADE 
ip route add default via 10.211.254.254 dev vpn_vpn table 120    #шлюз vpn подключение
ip rule add from 172.26.0.0/16 table 120                         #подсеть wg0

В итоге у меня:
вывод команды ip route show

default via 192.168.1.1 dev eth0 proto dhcp src 192.168.1.103
155.155.155.155 via 192.168.1.1 dev eth0                                   #это публичный IP VPN сервера интерфейса vpn_vpn
8.8.8.8 via 10.211.254.254 dev vpn_vpn
10.211.0.0/16 dev vpn_vpn proto kernel scope link src 10.211.1.90
172.26.0.0/16 dev wg0 proto kernel scope link src 172.26.3.155
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.103 metric 100
192.168.1.1 dev eth0 proto dhcp scope link src 192.168.1.103 metric 100

вывод команды ip route show table 120:
default via 10.211.254.254 dev vpn_vpn