Chỉ định tuyến mạng riêng trong VPN bảo vệ dây

Tôi có một vài máy chủ phía sau bộ định tuyến NAT mà tôi muốn truy cập thông qua VPN bảo vệ dây. Tôi có thể cấu hình thành công mạng riêng, nhưng vẫn có điều gì đó khiến tôi bối rối.

Tôi muốn mỗi người ngang hàng:

• truy cập lẫn nhau (172.9.9.*) qua VPN (thông qua wg0)
• truy cập mọi máy chủ khác bên ngoài VPN (thông qua eth0).

Đây là lược đồ của mạng và cấu hình hiện tại:

âââââââ ââââââââââ ââ âââââââ
â S âââââ⤠Internet âââââ⤠A â
âââââââ âââââ¬âââââ ââ âââââââ
               â
               â
          ââââââ´ââââââ
          â NAT DHCP â
       âââ⤠Bộ định tuyến ââââ
       â ââââââââââââ â
       â â
    ââââ´âââ ââââ´âââ
    â X â â B â
    âââââââ âââââââ

• S là máy chủ VPN và có thể truy cập trên internet thông qua IP tĩnh;
• X là một "máy chủ tính toán", nó có thể truy cập internet, nhưng đứng sau NAT và IP của nó là động và không được biết trước;
• Một là một "máy khách từ xa" muốn kết nối với X;
• b là một "máy khách cục bộ" muốn kết nối với X và nó nằm trong cùng một mạng cục bộ.

tôi muốn cái đó Một và b có thể kết nối với X xuyên qua S, nhưng tất cả các máy chủ này chỉ nên sử dụng VPN khi liên hệ với nhau chứ không phải khi truy cập internet.

Vì vậy, ví dụ, Một có thể ping trực tiếp tới google.com, nhưng sẽ ping X qua S.

Sau khi tìm kiếm và đọc tài liệu, tôi vẫn chưa rõ liệu có thể thực hiện việc này mà không cần sử dụng iptables và nếu có thể làm như vậy chỉ bằng cách sử dụng cấu hình wireguard.

Cấu hình hiện tại như sau:

## S wg0.conf

[Giao diện]
PrivateKey = S-khóa-riêng
Địa chỉ = 172.9.9.1/24
PostUp = iptables -A FORWARD -i wg0 -j CHẤP NHẬN; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j CHẤP NHẬN; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Cổng nghe = 51820

[Ngang nhau]
# MỘT
PublicKey = Khóa công khai
IP được phép = 172.9.9.100/32

[Ngang nhau]
#B
Khóa công khai = B-khóa công khai
IP được phép = 172.9.9.101/32

[Ngang nhau]
# X
PublicKey = X-khóa công khai
IP được phép = 172.9.9.10/32

# Một wg0.conf

[Giao diện]
Địa chỉ = 172.9.9.100/24
PrivateKey = A-khóa-riêng
DNS = 1.1.1.1

[Ngang nhau]
PublicKey = S-khóa công khai
Điểm cuối = S-ip-address:51820
IP được phép = 0.0.0.0/0, ::/0

bcấu hình của nó tương tự như Một, nhưng với IP 172.9.9.101 và khóa riêng khác nhau.

# X wg0.conf

[Giao diện]
Địa chỉ = 172.9.9.10/24
Khóa riêng = X-khóa riêng
DNS = 1.1.1.1

[Ngang nhau]
PublicKey = S-khóa công khai
Điểm cuối = S-ip-address:51820
IP được phép = 0.0.0.0/0, ::/0
PersistentKeepalive = 25 # Để giữ cho máy chủ có thể truy cập được

Cấu hình này hoạt động và tất cả các máy chủ có thể truy cập lẫn nhau thông qua VPN, nhưng tôi muốn lưu lượng truy cập CHỈ đó được hướng đến các máy chủ 172.9.9.* đi qua VPN này. Lưu lượng truy cập khác sẽ được định tuyến bởi cổng mặc định.

Điều khiến tôi bối rối là, nếu tôi thay đổi cấu hình của Một để có thể

IP được phép = 172.9.9.0/24

Sau đó Một, các gói được định tuyến như dự định (ví dụ: tôi có thể cuộn tròn ifconfig.me và lấy MộtIP công khai của tôi), nhưng nếu tôi làm tương tự trên X, nó sẽ không hoạt động và các gói sẽ không hoạt động 172.9.9.0/24 sẽ không được giao.

CHỈNH SỬA#1

Quên đề cập rằng tôi cũng sẽ thích nếu khi kết nối với X, các khách hàng địa phương như b sẽ không gửi các gói bên ngoài mạng cục bộ, vì vậy B -> Bộ định tuyến -> X và không B -> Bộ định tuyến -> S -> Bộ định tuyến -> X.

Tôi gặp sự cố với DNS: sử dụng IP được phép = 172.9.9.0/24 cho phép tôi ping 8.8.8.8, nhưng không google.com.

Tôi đã giải quyết bao gồm DNS giao diện trong các IP được phép, vì vậy tôi nhận được độ phân giải DNS qua VPN, nhưng lưu lượng truy cập không có trong VPN:

[Giao diện]
...
DNS = 1.1.1.1

[Ngang nhau]
...
IP được phép = 172.9.9.0/24, 1.1.1.1/32

Điều này không trả lời câu hỏi thứ hai mà tôi có: nếu có thể thực hiện X và b giao tiếp trực tiếp mà không cần thông qua S. Câu trả lời khác giúp hiểu điều đó.

CHỈNH SỬA

Có vẻ như nó cũng hoạt động bằng cách thả DNS trường, vì vậy nó sẽ sử dụng cùng một máy chủ DNS cho cả hai giao diện.