将流量从 VLAN 转发到隧道

2024-11-17 • tag-icon

我在家里使用 Mikrotik 路由器。我正在运行一个 OpenVPN、一个 IPSec IKEv2 和 2 个 wireguard 隧道。但是，Mikrotik (CCR1009) 上的加密性能低于标准，所以我决定添加一个树莓派。我想做的是为 RPi 创建 3 个不同的 vlan，每个隧道一个，并在 RPi 上转发它们之间的流量。但是到目前为止我还没有做到这一点。我设置了 vlan 和 wg，向 iptables 和 nat masquerade 添加了接受规则，添加了路由，但它仍然不起作用。

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.15.1.2  netmask 255.255.255.0  broadcast 10.15.1.255

eth0.10: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.15.10.2  netmask 255.255.255.0  broadcast 10.15.10.255

eth0.11: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.15.11.2  netmask 255.255.255.0  broadcast 10.15.11.255

eth0.12: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.15.12.2  netmask 255.255.255.0  broadcast 10.15.12.255

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0

wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP>  mtu 1420
        inet 10.8.175.136  netmask 255.255.255.255  destination 10.8.175.136

IP表：

iptables -L -v
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  eth0.10 wg0     anywhere             anywhere

iptables -t nat -L -v
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  any    wg0     10.15.0.0/16         anywhere

iptables -t mangle -L -v
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    4   688 MARK       all  --  eth0.10 any     anywhere            !10.15.0.0/16         MARK set 0xfc

ip 规则

from all fwmark 0xfc lookup vlan10

路由

default dev wg0 table vlan10 scope link

我的想法是，为来自目标地址为 !10.xxx 的 VLAN 的流量设置一个路由标记，然后为该标记添加一个路由条目，但我的执行并没有按计划进行...如能提供任何帮助，不胜感激。

相关内容