Fat32alist

Провел дополнительно расследование с debug режимом. -отключение от wg на телефоне ~6 min 40 sec 2026-05-27T09:57:57+03:00 titan kernel: wireguard: Wireguard0: handshake for peer "dYNkb5Wik/FEGgWQA/wSufM1ByZBIJZwyOxOwpr1JSo=" (51) (94.25.169.26:19247) did not complete after 20 attempts, giving up запись в NAT: conntrack -L -p udp --src 94.25.169.26 udp 17 14 src=94.25.169.26 dst=128.0.129.134 sport=19247 dport=41495 packets=1875 bytes=826008 src=128.0.129.134 dst=94.25.169.26 sport=41495 dport=19247 packets=3917 bytes=3660520 [ASSURED] mark=0 use=1 +40 sec 2026-05-27T09:58:37+03:00 titan kernel: wireguard: Wireguard0: zeroing out all keys for peer "dYNkb5Wik/FEGgWQA/wSufM1ByZBIJZwyOxOwpr1JSo=" (51) (94.25.169.26:19247), since we haven't received a new one in 540 seconds 2026-05-27T09:58:37+03:00 titan kernel: wireguard: Wireguard0: keypair 13789 destroyed for peer 51 2026-05-27T09:58:37+03:00 titan kernel: wireguard: Wireguard0: keypair 13797 destroyed for peer 51 изменилась запись в NAT на [UNREPLIED]: conntrack -L -p udp | grep 19247 udp 17 23 src=128.0.129.134 dst=94.25.169.26 sport=41495 dport=19247 packets=28 bytes=4928 [UNREPLIED] src=94.25.169.26 dst=128.0.129.134 sport=19247 dport=41495 packets=0 bytes=0 mark=0 use=1 +2min 30 sec 2026-05-27T10:03:26+03:00 titan kernel: wireguard: Wireguard0: handshake for peer "dYNkb5Wik/FEGgWQA/wSufM1ByZBIJZwyOxOwpr1JSo=" (51) (94.25.169.26:19247) did not complete after 20 attempts, giving up теперь запись в NAT пропала спустя время проверки возобновились и завершились вновь спустя ЕЩЕ 9 минут: 2026-05-27T10:12:32+03:00 titan kernel: wireguard: Wireguard0: zeroing out all keys for peer "dYNkb5Wik/FEGgWQA/wSufM1ByZBIJZwyOxOwpr1JSo=" (51) (94.25.169.26:19247), since we haven't received a new one in 540 seconds Итого: 18 минут спама в журнал, по причине того, что пир всего лишь отключился от wg + некорректная работа проверки жизни пира, как минимум возобновление попыток после того как стёрлась запись в NAT.

Устройство: NetCraze Ultra (NC-1812) / Keenetic Titan (KN-1812) Версия прошивки: 5.1 Beta 3 Компонент: Приложение VPN-сервер WireGuard Описание проблемы: При использовании встроенного VPN-сервера WireGuard, если один из пиров (клиентов) становится недоступным (например, устройство выключено или утеряно соединение), сервер не прекращает попытки установить с ним соединение в соответствии со стандартным таймаутом протокола. Вместо этого, после 20 неудачных попыток (... giving up), сервер немедленно перезапускает процесс handshake, что приводит к бесконечному циклу повторных попыток и чрезмерной нагрузке на системный лог. Добавил log2.txt в котором попытки возобновились спустя 5 минут "молчания". log_260526.txt log2.txt

Вот пример, как роутер ожидал handshake от пира в течение 17 минут На своем телефоне просто отключил интерфейс в программе wireguard log_260526.txt

нет. позавчера специально удалил через web gui пакет wireguard сервер и установил его заново, хоть и до этого в те настройки не лазил. Пришлось всем клиентам раздать новые конфиги, тк импорт старых не удался, но да ладно. Проблема временно решается перезапуском сервера, однако через какое то время снова начинается такое поведение

Абсолютно согласен. НО в моей ситуации попытки handshake для пиров, которые неактивны и более чем 10 минут происходят. В этом и суть

Это конечно спасибо, но разве нормально со стороны сервера ожидать handshake после того как пир помечен как неактивный? ADD Команда system log suppress wireguard абсолютно никак не повлияла на журнал

Как можно избавиться в журнале от записей о неудачном handshake? Имею +- 13 пиров, однако достаточно даже одного, с нестабильным интернетом, чтобы получать "засранный" журнал. Уже переустанавливал сервер, создавал новых пиров, не помогает. Лог прикрепил. nc-1812 5.1 Beta3 не припомню такой проблемы на kn-1011 ADD Проблема даже не только в наличии записей в журнале, а в том, что пир считается неактивным, но попытки инициации handshake всё равно продолжаются log.txt

Благодарю! Всё заработало. Такая мелочь.. А сам не смекнул. Как ; в конце строки 😄

ascn_custom_exclude.txt ascn.conf

127.0.0.1 128.0.129.134 10.10.0.0/23 89.208.128.0/18 129.212.176.0/24 ISP_INTERFACES="eth3.3" PORTS="22,80,443,55123,5022,21,90,8920" PORTS_FORWARDED="22,80,443,10000,5022,21,90,8920" ENABLE_HONEYPOT=0 HONEYPOT_PORTS="" HONEYPOT_BANTIME=86400 ENABLE_IPS_BAN=1 RULES_MASK="255.255.255.255" RECENT_CONNECTIONS_TIME=5 RECENT_CONNECTIONS_HITCOUNT=30 RECENT_CONNECTIONS_LIMIT=200 RECENT_CONNECTIONS_BANTIME=86400 DIFFERENT_IP_CANDIDATES_STORAGETIME=86400 DIFFERENT_IP_THRESHOLD=5 SUBNETS_BANTIME=86400 IPSETS_DIRECTORY="/opt/ipblocks" SAVE_IPSETS=1 SAVE_ON_EXIT=1 USE_CUSTOM_EXCLUDE_LIST=0 CUSTOM_LISTS_BLOCK_MODE=0 GEOBLOCK_MODE=0 GEOBLOCK_COUNTRIES="" GEO_EXCLUDE_COUNTRIES="" READ_NDM_LOCKOUT_IPSETS=1 LOCKOUT_IPSET_BANTIME=86400 USE_CUSTOM_EXCLUDE_LIST=0 - временно убрал 1, тк ошибка версия пакета 1.10

ipset v7.21: Missing second mandatory argument to command add Try `ipset help' for more information. Не удалось импортировать список ascn_custom_exclude! Antiscan запущен Появилась ошибка связанная с ipset, по логам началось с 26 января 2026-01-13T20:00:31+03:00 Keenetic Antiscan: Antiscan запущен 2026-01-13T20:03:18+03:00 Keenetic Antiscan: Antiscan уже работает 2026-01-19T04:01:49+03:00 Keenetic Antiscan: xt_recent.ko загружен 2026-01-19T04:01:50+03:00 Keenetic Antiscan: Antiscan запущен 2026-01-26T04:01:52+03:00 Keenetic Antiscan: xt_recent.ko загружен 2026-01-26T04:01:52+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude! 2026-01-26T04:01:53+03:00 Keenetic Antiscan: Antiscan запущен 2026-02-02T04:01:40+03:00 Keenetic Antiscan: xt_recent.ko загружен 2026-02-02T04:01:40+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude! 2026-02-02T04:01:41+03:00 Keenetic Antiscan: Antiscan запущен 2026-02-03T09:38:40+03:00 Keenetic Antiscan: Antiscan остановлен 2026-02-03T09:39:30+03:00 Keenetic Antiscan: Antiscan не запущен 2026-02-04T11:40:03+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude! 2026-02-04T11:40:04+03:00 Keenetic Antiscan: Antiscan запущен 2026-02-04T11:40:54+03:00 Keenetic Antiscan: Antiscan остановлен 2026-02-04T11:40:54+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude! 2026-02-04T11:40:55+03:00 Keenetic Antiscan: Antiscan запущен 2026-02-04T12:33:39+03:00 Keenetic Antiscan: Antiscan остановлен 2026-02-04T12:33:39+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude! 2026-02-04T12:33:40+03:00 Keenetic Antiscan: Antiscan запущен 2026-02-04T12:36:44+03:00 Keenetic Antiscan: xt_recent.ko загружен 2026-02-04T12:36:44+03:00 Keenetic Antiscan: Не удалось импортировать список ascn_custom_exclude! 2026-02-04T12:36:45+03:00 Keenetic Antiscan: Antiscan запущен 2026-02-04T13:31:40+03:00 Keenetic Antiscan: Antiscan остановлен Прошивка 5.0.4 Так же обнаружил такую ошибку: # antiscan read_ndm_ipsets /opt/bin/antiscan: line 487: : bad variable name

Прошу помощи. Какой/какими командами правильно останавливать и запускать IKEv2/IPSec VPN Server ? check process charon with pidfile /tmp/ipsec/charon.pid every 5 cycles start program = "/bin/ndmc -c "service ipsec"" stop program = "/bin/ndmc -c "no service ipsec"" if failed host 127.0.0.1 port 500 type udp then restart if failed host 127.0.0.1 port 4500 type udp then restart if 5 restarts within 5 cycles then timeout В таком формате правильно не работает. Подскажите пожалуйста, чтобы я дальше не ломал роутер