LINUX.ORG.RU

История изменений

Исправление intelfx, (текущая версия) :

Зависит от того, как именно вашей машине назначен IPv4 и IPv6 (либо диапазоном на интерфейсе, либо маршрутизируемым диапазоном)

IPv6-префикс — routed, второй IPv4 — я так понимаю, что on-link.

Настроить IPv4+IPv6 адреса в конфигурационном файле WireGuard на сервере для пира;

На каком сервере? Какие IPv4+IPv6 адреса? Те, которые я хочу завернуть в туннель в конечном итоге (скажем, A2 и A3::1) или какие-то промежуточные? Ничего не понятно.

Самое простое, что можно сделать для разделения трафика: назначить железке 2 IP-адреса, для одного из которых создать policy wireguard, а для другого — нет. Выбор source ip в программах будет управлять маршрутом на маршрутизаторе.

В смысле, 2 внутренних IP-адреса из локальной подсети роутера B и железки C (назовём их C1 и C2)?

Интересный хак, но

  • что касается исходящих запросов, я не уверен, что интересующий меня серверный софт вообще так умеет;
  • что касается входящих запросов, это мне придётся дублировать все правила DNAT и вручную следить, чтобы правила DNAT из туннеля (т.е. с src=A2 или src=A3::1) уходили в этот второй внутренний адрес C2, иначе всё развалится. Это грязно. Не хочу так.

Исходная версия intelfx, :

Зависит от того, как именно вашей машине назначен IPv4 и IPv6 (либо диапазоном на интерфейсе, либо маршрутизируемым диапазоном)

IPv6-префикс — routed, второй IPv4 — я так понимаю, что on-link.

Настроить IPv4+IPv6 адреса в конфигурационном файле WireGuard на сервере для пира;

На каком сервере? Какие IPv4+IPv6 адреса? Те, которые я хочу завернуть в туннель в конечном итоге (скажем, A2 и A3::1) или какие-то промежуточные? Ничего не понятно.

Самое простое, что можно сделать для разделения трафика: назначить железке 2 IP-адреса, для одного из которых создать policy wireguard, а для другого — нет. Выбор source ip в программах будет управлять маршрутом на маршрутизаторе.

В смысле, 2 внутренних IP-адреса из локальной подсети роутера B?

Интересный хак, но

  • что касается исходящих запросов, я не уверен, что интересующий меня серверный софт вообще так умеет;
  • что касается входящих запросов, это мне придётся дублировать все правила DNAT и вручную следить, чтобы правила DNAT из туннеля уходили в этот второй внутренний адрес, иначе всё развалится. Это грязно. Не хочу так.