Есть потребность запускать определённые программы в своих сэндбоксах и каждое со своим VPN-подключением. С сэндбоксингом как таковым firejail справляется прекрасно. Также прекрасно справляется, если подключить VPN глобально, а сэндбокс направить через eth0. Но вот наоборот — основаная система через eth0, а остальное через wg0, wg1, и т.д. — с этим затык.
Если я делаю wg-quick up ./wg0.conf, а затем firejail --private --net=wg0, получаю:
Error: the software is not supported for /31 networks
Если попробовать наоборот, без подключения VPn просто firejail --private, а уже внутри сэндбокса wg-quick up ./wg0.conf, то получаю закономерное:
sudo: The «no new privileges» flag is set, which prevents sudo from running as root. sudo: If sudo is running in a container, you may need to adjust the container configuration to disable the flag.
Кто-нибудь сталкивался с таким? И куда копать?
Альтернативные варианты решения без firejail (bubblewrap?) в принципе тоже рассматриваются. Но доккер и тем более QEMU/VirtualBox просьба не предлагать.
P.S. конфиг для wireguard беру, например отсюда (не реклама, просто первый попавшийся бесплатный для чистоты эксперимента). Запустить надо, допустим, firefox (на самом деле надо будет ещё кое-что, но если firefox запустится, я дальше уже сам разберусь).
