shurshur

"Сниффить" может только root.

Когда мы идём с самого сервера 192.168.11.3 в 192.168.1.* и 192.168.2.*, то в качестве исходящего адреса выставляется IP местного конца туннеля, в данном случае 10.8.2.3, поэтому всё и работает. Это легко проверить с помощью команды типа:

ip route get 192.168.1.77

Когда же подобный трафик приходит с телефона, у него IP-адрес 10.1.3.2. С таким адресом трафик попадает на astrave-mainsrv и в дальнейшем роутится в openvpn либо не пропускается на astrave-mainsrv (смотря как там настроено). Аналогичная фигня происходит с трафиком из сетей 192.168.11.* и 192.168.12.* - он не будет уходить в туннель с адресом источника 10.8.2.3.

Решение: на astrave-mainsrv весь трафик, уходящий в openvpn, NATить в 10.8.2.3.

Вот так (тут tun666 - интерфейс openvpn):

iptables -t nat -A POSTROUTING -s 10.1.3.0/24 -o tun666 -j SNAT --to 10.8.2.3

Или даже так (тогда можно не задумываться о том, какой IP на нашей стороне туннеля, особенно если он динамический):

iptables -t nat -A POSTROUTING -s 10.1.3.0/24 -o tun666 -j MASQUERADE

Или даже можно не особо разбираться с конкретным адресом (тогда заодно с любых IP типа 192.168.11.* заработает, если трафик от них как-то попадёт на astrave-mainsrv):

iptables -t nat -A POSTROUTING -o tun666 -j MASQUERADE

Общий смысл: если компания хочет видеть у себя весь трафик подключающегося по VPN сотрудника c адреса 10.8.2.3, то мы весь трафик должны посылать именно с этого адреса, подменяя адрес источника.

Как написано - так и работает.

Вот, например, правило:

-A POSTROUTING -s 10.1.3.0/24 -o br0 -j SNAT --to-source 192.168.11.3

Оно должно подменять source у пакетов, прилетевших с адресов 10.1.3.0/24 на выходе в интерфейс br0. Однако если мы пингуем 192.168.1.72, обратно пакеты приходят с адреса 192.168.1.72 и нигде не подменяются на 10.1.3.0/24. А, собственно, зачем их подменять?

Решать задачу надо иначе. Надо или сделать SNAT (MASQUERADE) на 192.168.1.44 с адресов не только 10.1.3.0/24, но и 192.168.11.0/24 (в этом случае в wg-туннеле будут ходить адреса 192.168.11.0/24):

192.168.1.44:
-A POSTROUTING -s 10.1.3.0/24 -o enp4s0 -j MASQUERADE
-A POSTROUTING -s 192.168.11.0/24 -o enp4s0 -j MASQUERADE

Либо надо на 192.168.11.3 делать подмену в туннельные адреса, которые в свою очередь заменяются в местный IP уже на "той" стороне (в этом случае в туннеле будут ходить только адреса 10.1.3.0/24):

192.168.11.3:
-A POSTROUTING -o wg0 -j MASQUERADE

192.168.1.44:
-A POSTROUTING -s 10.1.3.0/24 -o enp4s0 -j MASQUERADE

cat sorted | cut -f 1 -d ' ' | uniq |
while read line
...

Явно система установлена чересчур минимально, без графического окружения. Если при установке слишком активно задать галочками "это и это и это не ставить", то такое вполне ожидаемо.

Для исправления компьютер долежн быть подключен к Internet.

Введи свой логин, Enter, пароль (он не будет отображаться), Enter. Появится приглашение командной строки, оканчивающееся на символ $. Далее надо сделать:

sudo apt install task-XXX-desktop

Вместо XXX нужно указать желаемую оболочку: kde, gnome, xfce4... Лично я предпочитаю xfce4 за её легковесность, но gnome и kde более распространены, и в debian традиционно по умолчанию ставится gnome

У тебя спросит ещё раз твой пароль (sudo выполняет действия от пользователя root, но вводить надо свой пароль). Затем будут скачаны из интернета вагон и тележка нужных пакетов. По окончании надо перезагрузиться и должен будет появиться графический вход в систему.

PS: Впрочем, сообщение ядра, высыпавшееся сразу после приглашения логина, намекает на отсутствие нужных для работы сетевухи Realtek 8168 firmware. Все нужные firmware можно установить пакетом firmware-linux, но при отсутствии сети это проблема. Вот из официального руководства по установке как их подсовывать https://www.debian.org/releases/stable/armhf/ch06s...

Все указанные программы под Linux производителем не выпускаются, так что тебе переходить точно не имеет смысла, ты не сможешь в нём работу работать.

Можешь ради интересу и первичного освоения поставить на домашний компьютер, где будешь смотреть кино и рассматривать котиков в инстаграме, но не работать.

dpkg -L fdisk покажет все файлы в пакете fdisk.
which fdisk найдёт полный путь к fdisk по каталогам в $PATH.

Скорее всего нужный будет в /sbin/fdisk. И скорее всего не файл отсутствует, а в $PATH нет каталога /sbin.

Нужно перед восстановлением размонтировать раздел, а после восстановления смонтировать обратно. Если восстанавливать "на живую", то данные будут неконсистентны.