Este pensamento me ocorreu outro dia, mas não tenho como testar, então vou perguntar. Por favor, me perdoe se não usar a terminologia de rede correta.
Tenho um homelab com alguns serviços expostos à internet através de túneis do cloudflare, e alguns outros dispositivos acessíveis apenas pela rede. Se eu estiver fora de casa, como no trabalho, e quiser me conectar a um desses serviços apenas locais, começo o wireguard, conecto à minha rede doméstica, e posso navegar diretamente para os serviços locais da minha casa a partir da rede do meu trabalho. Tudo que preciso fazer é navegar para o mesmo URL local que usaria em casa, algo como 192.168.1.20
Minha dúvida é, o que acontece se meu local de trabalho usar a mesma faixa de IPs e TAMBÉM tiver um dispositivo na sua própria rede local em 192.168.1.20? Entendo que, se não estiver conectado à minha VPN Wireguard, então, claro, acessarei apenas o dispositivo na rede local do local de trabalho, mas o que acontece uma vez que estou conectado à VPN? Existe alguma prioridade de roteamento para local versus VPN?
Sua gateway padrão atual é 192.168.1.1. Para estabelecer seu túnel, você envia seu tráfego para o IP público do seu roteador via essa gateway padrão.
Uma vez que sua VPN conecta, você agora tem uma rota que, se tiver precedência, envia o tráfego para 192.168.1.1 através do túnel. A interface do túnel recebe os pacotes, encapsula-os, e depois os envia pelo gateway padrão - mas esse gateway aponta para ele mesmo. Isso será detectado como um loop recursivo e o túnel será desconectado.
Agora que seu túnel foi desconectado, seu gateway padrão volta a funcionar e seus pacotes podem alcançar seu IP público de casa e o túnel é reestabelecido. Agora que o túnel foi reestabelecido, seu gateway padrão quebra novamente, etc, etc.
Isso é conhecido como flapping de túnel e é o que acontece quando suas rotas overlay se sobrepõem às suas rotas de underlay e então ganham prioridade.
Isso pode ser resolvido excluindo o IP do gateway (provavelmente 192.168.1.1) da rota do túnel, MAS seu gateway WireGuard provavelmente tem exatamente esse IP, então isso meio que derrota o propósito. O IP que importa é o gateway. Desde que esse não se sobreponha ao seu gateway WireGuard e tudo seja roteado corretamente, então você pode ter redes sobrepostas.