É possível enviar pacotes entre namespaces de rede usando apenas interfaces TUN/TAP?

Uma interface tun/tap sempre pertence a algum aplicativo: os pacotes enviados para a interface são lidos pelo aplicativo e os pacotes escritos pelo aplicativo entram na pilha de rede do kernel por meio dessa interface.

Normalmente, você conectará o namespace de rede com pares de ethernet virtuais (veth). Eles apenas encaminham pacotes para a outra interface do par.

Nada impede você de escrever um aplicativo que faça exatamente isso: abra duas interfaces tun/tap, leia os pacotes de uma e encaminhe para a outra e vice-versa. Também existem aplicativos prontos que você pode usar para fazer isso, por exemplo, socat.

Você pode até escrever dois aplicativos, onde cada aplicativo abre uma única interface tun/tap e os aplicativos se comunicam entre si usando outros meios e implementam o encaminhamento dessa maneira. Basicamente, todos os aplicativos VPN funcionam dessa maneira (embora para aplicativos VPN "por outros meios" seja normalmente "através de uma conexão de rede existente", isso realmente não conta).

Então, sim, com o(s) aplicativo(s) certo(s), você pode conectar namespaces com interfaces tun/tap. No entanto, em geral, não faz muito sentido fazer isso, porque você precisa escrever tal aplicativo e será menos eficiente do que apenas usar um par de veth.

Editar

Eu tentei mover uma interface tun socatpara um namespace de rede ns0que criei e funciona bem como eu esperava, apesar socatde ser executado no namespace de rede principal:

socat TUN:10.1.0.254/24,tun-name=tun0a,iff-up TUN:10.1.0.1/24,tun-name=tun0b
ip link set tun0b netns ns0

e então você novamente tem que definir o endereço para tun0bdepois da mudança.

Portanto, o "crossover" acontece por ter uma (ou ambas) interface(s) de rede tun/tap em um namespace diferente do processo.