NetBird 子网路由与 Access Policy 配置

Tue, 23 Jun 2026 18:25:39 +0800

场景链接到标题

办公室有大量 VM（host-a、host-b、host-c 等），它们无法或不适合安装 NetBird agent。家里的笔记本需要能直接通过这些机器的 LAN IP 访问（RustDesk、SSH 等），而不能逐个安装 agent。

方案：路由 peer 链接到标题

NetBird 的 Network Route 功能允许将整个子网通过一个路由 peer 暴露给 VPN 网络。

家里笔记本 ── NetBird 隧道 ── gateway(路由 peer) ── 办公室 LAN 192.168.0.0/24
                                                    ├── host-a      (192.168.0.*)
                                                    ├── host-c      (192.168.0.*)
                                                    └── 其他无 agent 节点

路由 peer（gateway）对流量做 Masquerade（NAT），将来自 NetBird 的包源 IP 替换为自己的 LAN IP，这样目标机器的回包就能正确路由回来。

前置条件链接到标题

路由 peer 需要开启 IP 转发：

echo "net.ipv4.ip_forward=1" | sudo tee /etc/sysctl.d/99-netbird-forward.conf
sudo sysctl -p /etc/sysctl.d/99-netbird-forward.conf

第一步：创建 Network Route 链接到标题

source .env

curl -X POST "https://your-management/api/routes" \
  -H "Authorization: Token $NETBIRD_PAT" \
  -H "Content-Type: application/json" \
  -d '{
    "description": "Office LAN",
    "network_id": "office-lan",
    "enabled": true,
    "peer": "<gateway_peer_id>",
    "network": "192.168.0.0/24",
    "metric": 100,
    "masquerade": true,
    "groups": ["<all_group_id>"]
  }'

关键参数：

Access-Policy on OHTLY Blog

NetBird 子网路由与 Access Policy 配置

场景 链接到标题

方案：路由 peer 链接到标题

前置条件 链接到标题

第一步：创建 Network Route 链接到标题

场景链接到标题

前置条件链接到标题