假设我有 node1 和 node2,通过互联网连接。node1 上的应用程序服务器具有 node2 的 IP 的 IP acl。
出于安全原因,我在节点之间打开了一个 Wireguard 隧道。我想保持应用程序的配置相同(因此问题标题中的“透明”),但是我遇到了以下问题:
节点 2 在与节点 1 上的应用程序服务器通信时使用其 vpn 源地址,节点 1 的 ACL 中没有该 IP。
这是 VPN 设置中的常见问题,还是只是 Wireguard 的实施选择?有谁知道一个优雅的解决方案?网络级别的额外配置会很好。在这种情况下,不能在应用程序级别更改 ACL
到目前为止,我尝试的是通过引入策略 source-nat 将 node1 的公共地址用作 vpn 地址,但是在使用 Wireguard 时会严重失败,它将远程隧道端点的静态路由添加到路由表中;结果如下:
- Node2 成功使用其现有 IP 与 node1 通信
- Node1 的应用服务器看到数据包进来并回复
- Node1 的 IP 堆栈通过 wan 路由数据包,而不是通过 Wireguard 隧道。
如果您想将“正常”主机 IP 用于通过隧道的传出流量,则在我的情况下,执行以下操作就足够了:
所以基本上你设置了一个简单的wireguard隧道,并且只有使用iptables魔法,你才能将你的源地址(如果它是隧道源IP)更改为最近的“正常”IP地址(
POSTROUTING)