VPS и туннель как IP(v4/v6)-баунсер

Необходимо помечать и роутить трафик по своим таблицам. Смотри multiisp.

Openwrt policy based routing настроить по адресу железки и номерам портов

Зависит от того, как именно вашей машине назначен IPv4 и IPv6 (либо диапазоном на интерфейсе, либо маршрутизируемым диапазоном), но рецепт усреднённый:

1. Настроить IPv4+IPv6 адреса в конфигурационном файле WireGuard на сервере для пира;
2. В OpenWrt настроить новое соединение WireGuard, в настройках интерфейса задать «Override IPv4 routing table» (ip4table) в 1000, аналогично для IPv6;
3. Создать новое policy для IP-адреса вашей железки, указать ей ip4table 1000. Весь трафик будет направляться в туннель.

Самое простое, что можно сделать для разделения трафика: назначить железке 2 IP-адреса, для одного из которых создать policy wireguard, а для другого — нет. Выбор source ip в программах будет управлять маршрутом на маршрутизаторе.

Зависит от того, как именно вашей машине назначен IPv4 и IPv6 (либо диапазоном на интерфейсе, либо маршрутизируемым диапазоном)

IPv6-префикс — routed, второй IPv4 — я так понимаю, что on-link.

Настроить IPv4+IPv6 адреса в конфигурационном файле WireGuard на сервере для пира;

На каком сервере? Какие IPv4+IPv6 адреса? Те, которые я хочу завернуть в туннель в конечном итоге (скажем, A2 и A3::1) или какие-то промежуточные? Ничего не понятно.

Самое простое, что можно сделать для разделения трафика: назначить железке 2 IP-адреса, для одного из которых создать policy wireguard, а для другого — нет. Выбор source ip в программах будет управлять маршрутом на маршрутизаторе.

В смысле, 2 внутренних IP-адреса из локальной подсети роутера B и железки C (назовём их C1 и C2)?

Интересный хак, но

• что касается исходящих запросов, я не уверен, что интересующий меня серверный софт вообще так умеет;
• что касается входящих запросов, это мне придётся дублировать все правила DNAT и вручную следить, чтобы правила DNAT из туннеля (т.е. с src=A2 или src=A3::1) уходили в этот второй внутренний адрес C2, иначе всё развалится. Это грязно. Не хочу так.

ставь nat

На каком сервере?

У вас их два, разве?

Какие IPv4+IPv6 адреса? Те, которые я хочу завернуть в туннель в конечном итоге (скажем, A2 и A3::1) или какие-то промежуточные?

Те, которые хотите использовать.

В смысле, 2 внутренних IP-адреса из локальной подсети роутера B и железки C (назовём их C1 и C2)?

С внутренними будет проще, да. Тогда для VPN нужен NAT.

что касается исходящих запросов, я не уверен, что интересующий меня серверный софт вообще так умеет;

Можно настроить с помощью ip rule, он поддерживает UID’ы, например.

что касается входящих запросов, это мне придётся дублировать все правила DNAT и вручную следить, чтобы правила DNAT из туннеля (т.е. с src=A2 или src=A3::1) уходили в этот второй внутренний адрес C2, иначе всё развалится. Это грязно. Не хочу так.

Не понял вопроса. О каких правилах DNAT речь? Для вашей настройки NAT не нужен, но даже если вы его будете использовать, вроде никаких подобных проблем быть не должно. TCP-сокет же знает, с какого IP-адреса ему пришло соединение. Это наоборот нужно приложить усилия, чтобы ответить с другого адреса.

У вас их два, разве?

Есть сервер-VPS (A), есть сервер физический, на котором крутится полезная нагрузка (C).

Не понял вопроса

А я не понял ответа.

О каких правилах DNAT речь? Для вашей настройки NAT не нужен, но даже если вы его будете использовать, вроде никаких подобных проблем быть не должно. TCP-сокет же знает, с какого IP-адреса ему пришло соединение. Это наоборот нужно приложить усилия, чтобы ответить с другого адреса.

О тех, которые настроены на роутере (B). Раньше публичный IPv4-адрес был присвоен внешнему интерфейсу роутера, и на нём есть пачка DNAT-правил, перенаправляющих интересующие запросы на сервер (aka port forwarding).

Так вы хотите после вашей настройки и принимать запросы на свеженастроенный адрес, и продолжать принимать запросы на старый провайдерский? Тогда либо NAT с трекингом соединений на оба адреса (в openwrt есть удобный пакет для настройки — mwan3), либо два внутренних IP-адреса с DNAT на каждый.

Так вы хотите после вашей настройки и принимать запросы на свеженастроенный адрес, и продолжать принимать запросы на старый провайдерский?

У меня также есть внутренние клиенты, которые стучатся 1) на внутренний адрес сервера (C), и 2) на внутренний адрес роутера (B).

Точнее, как: есть клиенты внутри сети (B), которые будут стучаться на внешнее DNS-имя (которое будет ресолвиться в A2 и A3::1). Я очень сильно не хочу настраивать split DNS, но поскольку (A) в другой стране, видимо что придётся. Хотя я бы предпочёл вариант, при котором роутер (B) сам каким-либо образом отзывается на адреса A2 и A3::1 (изнутри) и дальше hairpin NAT.

2. запускать софт в netns/контейнере с определенным IP, а на шлюзе на роутить на базе source IP (ip rule add from x.x.x.x)