Wireguard туннель с Keenetic Giga для доступа в интернет, нужна помощь с отладкой.

[mi_volodin]

Почитал темы про wireguard на форуме, ничего не откликнулось. Буду признателен за помощь с диагностикой.

Set up следующий:

- Есть сервер Centos 8 в облаке, на нём поднят wg сервер. Соединение с ноутбука работает.

- Беру тут же конфиг, что и для ноута и раскатываю на keenetic - не работает. Причём непонятно даже где всё ломается.

 

Конфиг файл для пира

[Interface]
PrivateKey = ....
ListenPort = 51820
Address = 10.13.13.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = SivZBGe....
PresharedKey = ni16eqej4...
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 89.208.NNN.NNN:51820

 

На роутере (версия прошивки 3.8.3) было сделано следующее:

1. Создано соединение (галочку "для выхода в интернет" тоже ставил, тут снята).

 

 

В межсетевые экраны во все интерфейсы засунул allow all tcp/udp.

 

 

Проблема

При включении интерфейса вижу, что какой-то обмен данными есть. 

 

В системном журнале при этом начинают валиться ошибки, что на самом деле endpoint недоступен.

Все маршруты тоже остаются без изменений, даже если мой интерфейс стоит первым приоритетом в части подключения к интернету. Интересно, что первая ошибка тоже всегда идёт перед второй (ну или после). А это именно мой текущий основной шлюз, через который работает интернет (он через WISP).

Поскольку в этот момент со стороны Centos сервака 10.13.13.2 не пингуется - полагаю, что соединение у меня вообще не происходит. Подскажите куда покопать? Похоже что роутер не может добежать до endpoint'a, но явно не из-за МСЭ...

 

[mi_volodin]

В общем это какой-то баг, как мне кажется.

В итоге мне удалось завести соединение. Но это выглядит как танцы с бубнами.

1. Настраиваем wg подключение и проверяем, что пинги ходят в обе стороны (если есть возможность).
2. Идём в маршрутизацию и добавляем статический маршрут до узла = endpoint wireguard'a через, в моём случае, WISP интерфейс. На этом этапе всё ломается и вообще перестаёт работать интернет. НО! Таблица динамической маршрутизации обновляется и трафик наконец начинает идти в туннель.
3. Удаляем только что созданный маршрут. Всё до следующего ребута у вас туннель.

Если кто-то сможет мне помочь объяснить что это за херня - я буду признателен.

Идею, кстати, взял из статьи digital ocean про настройку wireguard. 

[Monstr86]

Wireguard вообще не будет работать нормально без статических маршрутов, он просто не будет знать куда отправлять пакеты.

https://help.keenetic.com/hc/ru/articles/360012075879 советую ознакомится с данной статьей.

[mi_volodin]

@Monstr86 Спасибо, но это не та статья, которая мой кейс отражает. Моя про весь трафик в wg. И там ничего нет про маршруты, есть только галочка "использовать для выхода в интернет", которая собственно и должна маршрут по умолчанию заворачивать в wg. 

Я подозреваю, что есть некие "проверки", которые делает прошивка, прежде чем перенастроить маршрут. Что это за проверки и почему они не проходят неизвестно.

Ещё обрати внимание - маршрут надо обязательно потом удалить (иначе тоже ничего не работает). Он нужен только, чтобы тригернулось перестроение таблицы маршрутизации.

 

[Monstr86]

14 часа назад, mi_volodin сказал:

@Monstr86 Спасибо, но это не та статья, которая мой кейс отражает. Моя про весь трафик в wg. И там ничего нет про маршруты, есть только галочка "использовать для выхода в интернет", которая собственно и должна маршрут по умолчанию заворачивать в wg. 

Я подозреваю, что есть некие "проверки", которые делает прошивка, прежде чем перенастроить маршрут. Что это за проверки и почему они не проходят неизвестно.

Ещё обрати внимание - маршрут надо обязательно потом удалить (иначе тоже ничего не работает). Он нужен только, чтобы тригернулось перестроение таблицы маршрутизации.

 

Там есть статические маршруты - это разве не то о чем ты говорил?