маршрутизация amneziawg

Свежий перл от дипсика:

Чтобы изолировать AmneziaWG на сервере А, сохранив при этом возможность перенаправлять трафик клиента на Сервер Б, необходимо создать отдельное сетевое пространство (netns). Основная система не будет видеть VPN-интерфейсы, но сможет транслировать входящие запросы от Клиента (10.7.7.2) в это пространство.

Это правильное направление?

ip route del default

ip route add default dev tun1 via 10.9.9.5 table 100

ip route add default dev eth0 via 150.200.100.100 table 101

ip rule add src 10.7.7.0/24 lookup 100

ip rule add lookup 101

Где-то так

Имена интерфейсов расставишь сам

Отдельный netns это оверкил

Хотя знаешь, делай как тебе дипсик сказал. Пользователи амнезии этого достойны.

После первой команды он потеряет доступ.

Если по одной команде вводить, то да, а если в скрипт запихнуть, то нет. Ну и с учетом описания задачи и самого вопроса в топике скорее всего сервера это не bare metal, а какие-нибудь vds.

Чтобы ничего не сломалось - нужно в начале статические маршруты добавить через текущий шлюз до IP с которого подключаются по SSH и до IP других WG.

По одной команде без screen тоже отвалится, в screen выполнится, но не будет доступа всё равно. Но правильный подход - добавить статические специфические маршруты.

Чтобы ничего не сломалось - нужно в начале статические маршруты добавить через текущий шлюз до IP с которого подключаются по SSH и до IP других WG.

Это вариант «maybe yes, maybe no» ну или «зависит от обстоятельств» или «как повезет».

Но правильный подход - добавить статические специфические маршруты.

Правильный подход исходя из конкретной темы это запилить по крону ребут удаленного сервака. Т.е. попробовал, а в этот момент и у тебя IP по какой-то причине сменился и всё, карета превратилась в тыкву. Но сервак после ребута вернулся к старому конфигу, можно продолжать эксперименты.
Но повторю, если это не bare metal, а какая-нибудь vds, там всё проще, консоль в наличие присутствует, можно поправить то, что поломал.

вы правы, vps и консоль есть всегда. жаль, что нет простого решения.

Простое решение вам описали, дальше как-то сами, кнопки «сделай мне зашибись» на ЛОР-е нет. Но если что-то не будет получаться, то попробуем помочь.

и то правда, благодарствую!

если поставить вопрос по другому - можно ли сделать так, чтобы в awg1 заходило только то, что выходит из awg0? Или все сводится к алгоритму выше с делом дефолта и др. путей нет?

можно ли сделать так, чтобы в awg1 заходило только то, что выходит из awg0?

А у вас что-то ещё в awg1 заходит?

Если у тебя сервер-А исключительно как мост к серверу-Б для клиента(10.7.7.2), то не делай два ВПН, а средствами iptables на серере-А перенаправь udp (wireguard) на сервер-Б и у тебя получится «прямой» туннель от клиента к серверу-Б

Совет уровня «ну такое себе» или по другому «тему не понял, но мнение имею». Вас похоже даже ничего не смутило в «Клиент (10.7.7.2)» раз вы это упомянули.