Как направить трафик из другой сети в интернет

Question

Я немного экспериментирую с моей домашней сетью и имею следующую настройку:

+---------+      +----------+       +-----------+       +----------+
| Host A  |_WiFi_| Router A =1)___(2=  Linux    =1)___(1= Internet =)_____ *** Internet **
|         |      |          |       |  Server   |       |  Router  |
+---------+      +----------+       +-----------+       +----------+
                                                             |
                                                        +----------+
                                                        |   PC     |
                                                        +----------+

• Маршрутизатор A (DDWRT) обеспечивает NAT и DHCP и имеет статический IP-адрес в соединении 1 из 10.0.0.2
• Хост A получает IP 10.1.0.2 по DHCP от маршрутизатора A, который имеет IP-адрес 10.1.0.1 на стороне Wi-Fi, шлюз, предоставленный DHCP, равен 10.1.0.1.
• Сервер Linux имеет интерфейс 10.0.0.1, подключенный к маршрутизатору А через соединение 2
• Сервер Linux имеет статический IP 192.168.0.2 на соединении 1, которое подключено к интернет-маршрутизатору
• Сервер Linux предоставляет DHCP, DNS и т.д. Для сети 192.168.0. *

Я настроил таблицы маршрутизации на сервере Linux так, что кажется, что внутренний трафик маршрутизируется нормально. Я также настроил статический маршрут для 10.0.0.0/16 на интернет-маршрутизаторе для маршрутизации к маршрутизатору A (192.168.0.2).

Так что я могу пинговать с хоста А до интернет-роутера. Если я выполняю трассировку на внешнем IP-адресе, таком как google.com, от Host AI, получаю следующее:

10.1.0.1 (Router A) -> 10.0.0.1 (Linux Server) -> 192.168.0.1 (Internet Router)

Итак, что мне нужно установить на интернет-маршрутизаторе (который выполняет NAT и т.д.), Чтобы он правильно маршрутизировал интернет-трафик?

Немного контекста / второстепенный вопрос: общая цель (и я знаю, что это довольно сумасшедший способ сделать это) - попытаться отделить трафик WiFi от остальной части сети. Возможно ли это при такой настройке с использованием конфигурации брандмауэра на сервере Linux? И поэтому требовать, чтобы кто-нибудь по WiFi подключился к VPN на сервере linux, если им нужен доступ к проводной сети (192.168.0.*)

К вашему сведению вот таблицы маршрутов:

Маршрутизатор A:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.1        0.0.0.0         255.255.255.255 UH    0      0        0 vlan2
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 vlan2
10.1.0.0        0.0.0.0         255.255.255.0   U     0      0        0 br0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 br0
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 vlan2

Сервер Linux:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Интернет-роутер:

Destination     Gateway         Genmask         Flags Metric Iface
<External IP>   0.0.0.0         255.255.255.255 UH    0      pppoa0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      br0
10.0.0.0        192.168.0.2     255.255.0.0     UG    0      br0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      pppoa0