Периодически отваливается VPN‐соединение через Wireguard

[Леонид Харламов]

У себя пока сделал скрипт wg.sh в Entware:

#!/bin/sh

let port=46001+$(date +%d)*$(date +%H)+$(date +%M)
ndmc -c "interface Wireguard0 wireguard listen-port $port"

и запускаю его через crond каждые 15 минут. Если связь теряется, то в течении 15 минут порт меняется и соединение восстанавливается. Не идеально конечно, но лучше чем вручную нажимать на удалённом роутере.

[eugen0308]

Подскажите, в чем может быть причина статуса "вне сети" для пира? Ранее такая проблема возникала ненадолго, но сама пофиксилось. 
Перед этим менял приоритет подключения, и какое то время на впн не было подключено ни одно устройство.

[IxoID]

В 02.10.2024 в 04:54, eugen0308 сказал:

Подскажите, в чем может быть причина статуса "вне сети" для пира? Ранее такая проблема возникала ненадолго, но сама пофиксилось. 
Перед этим менял приоритет подключения, и какое то время на впн не было подключено ни одно устройство.

4.2.0 beta 4 (4.02.C.0.0-1), KN-1811

После обновления тоже была такая же ситуация.

Грешил как на местного провайдера так и на провайдера на стороне VPS - мол, блочат WG.

Ранее использовал схему ipset-dns от @Александр Рыжов(благодарность 👍), resolve на dns google/cloudflare/quad9 через WG. После обновления c beta 3 на beta 4, WG подключался только при ребуте роутера и до первого хендшейка по времени, потом пир всегда был в офлайне по статусу, даже при доступности сервера. Последующие переподключения соединение не поднимали. В логах, соответственно, множественные попытки handshake... По итогу схема не работала + подозрение на перехват dns провайдером.

Решилось добавлением ASC параметров в стандартный конфиг для WG (без Amnezia) + прописка через CLI (размер мусора взял вообще рандомный):

interface Wireguard0 wireguard asc 1 27 577 0 0 1 2 3 4

Handhsake 120.

WG точечный через маршруты до сети по интерфейсу. Профиль приоритета подключений не затрагивается.

Полёт нормальный.

Благодарность всем, кто отписался в этой теме!

Изменено 3 октября, 2024 пользователем IxoID

[lliax]

В 03.10.2024 в 03:37, IxoID сказал:

4.2.0 beta 4 (4.02.C.0.0-1), KN-1811

Решилось добавлением ASC параметров в стандартный конфиг для WG (без Amnezia) + прописка через CLI (размер мусора взял вообще рандомный):

interface Wireguard0 wireguard asc 1 27 577 0 0 1 2 3 4

WG точечный через маршруты до сети по интерфейсу. Профиль приоритета подключений не затрагивается.

 

4.2.1 realese KN-1811

Спасибо! Это работает! Без Amnezia! Достаточно дописать в конфиг WG (это пример) в разделе [Interface] где-то в конце:

jc = 2
jmin = 6
jmax = 12
s1 = 0
s2 = 0
h1 = 2
h2 = 4
h3 = 6
h4 = 8

 

На роутере 

interface Wireguard0 wireguard asc 2 6 12 0 0 2 4 6 8
system configuration save

И всё взлетело! Перестало тормозить. На роутере использую интерфейс сейчас отдельную зону (политику подключения) для части клиентов. Попозже попробую сделать ip policy PolicyName standalone, потому что в локалке почтовый сервер, который при статической маршрутизации не принимает письма из gmail

Немного офтоп. Скорость VPN через роутер 80/36, через ноут, без модификации конфгиа 93/45. Все таки если клиентов на VPN много, лучше подыскать помощнее машину, виртуалочка подойдет.

 

[savizor]

После обновления с 4.1.7 на 4.2.1 WG стал работать максимально отвратительно. Проблемы с хэндшейками кое-как удалось решить через cli asc (какое вообще эт должно иметь отношение к простому WG ?) но связь по тоннелю просто никакая пару килобит в секунду. 

Через WG соединены два роутера AIR и 4G, один с проводом, второй с модемом от билайна. РКН вообще не причем - до сегодняшнего "апгрейда" все прекрасно работало.

Как откатиться на 4.1.7 обратно? пытался заменить прошивку на 4.1.7 через заменить файл, но тогда пропадает WG из системы,а при установке - снова обновляется прошивка на 4.2.1. замкнутый круг.

Изменено 23 октября, 2024 пользователем savizor

[klimvoroshilov]

Тоже недавно столкнулся с блокировкой WireGuard  с роутера Keenetic Ultra II(прошивка 3.5.10)  у меня личный VDS с сервером(не Amnezia). Обобщив информацию с форума в один скрипт на bash(нужен Entware + установить утилиту nping). Запускаю в cron через 5 минут, если last handshake более 125 сек. меняется listen port на клиенте проходит 10 пакетов flood затем происходит подключение к серверу. Возможно кому-нибудь пригодится.(Не забудьте подставить порт и адрес своего WireGuard сервера "server_ip" "server_port")

Spoiler

#!/bin/sh

# Server WireGuard
server_ip=""
server_port=""

# Function to calculate the port based on current date and time
calculate_port() {
    local day hour minute
    day=$(date +%d)
    hour=$(date +%H)
    minute=$(date +%M)
    echo $((45001 + day * hour + minute))
}

get_last_handshake_number() {
    # Capture the output of the 'ndmc' command and extract the last-handshake information
    output=$(ndmc -c "show interface Wireguard0" | grep "last-handshake")
....
    # Extract the number from the output using grep
    number=$(echo "$output" | grep -o '[0-9]\+')
....
    # Return the number
    echo "$number"
}

# Get last handshake number
last_handshake=$(get_last_handshake_number)

# Check if the last handshake number is greater than 120 and less than 900
if [[ "$last_handshake" -gt 125 && "$last_handshake" -lt 900 ]]; then
    # Calculate the port
    port=$(calculate_port)
....
    # Run nping with the calculated source port
    nping --udp --count 10 --data-length 16 --source-port $port --dest-port $server_port $server_ip > /dev/null 2>&1
....
    # Run ndmc to set the Wireguard listen port
    ndmc -c "interface Wireguard0 wireguard listen-port $port" > /dev/null 2>&1
....
    # Log
    echo "$(date +"%Y-%m-%d %H:%M:%S") Last handshake: $last_handshake New port: $port" >> /opt/var/log/wg.log
else
    # Exit the script if the interface does not exist
    exit 1
fi

 

 

Изменено 31 октября, 2024 пользователем klimvoroshilov

[savizor]

Дополню- все равно отваливается. при этом веб интерфейс бежбожно врёт. на клиенте горит зеленая "лампочка" и хэндшейки типа появляются. На "сервере" ничего не светит и никаких хэндшейков. 

на сервере в логе

wireguard: Wireguard0: receiving handshake initiation from peer

wireguard: Wireguard0: sending handshake response to peer

Но связи нет вообще.

разработчики, зачем вы сломали WG без возможности вернуться на старую прошивку?

 

Изменено 23 октября, 2024 пользователем savizor

[stefbarinov]

6 часов назад, savizor сказал:

разработчики, зачем вы сломали WG

@savizor почему Вы не делаете бэкап системы и конфига при обновлении на новую версию ОС?

Изменено 24 октября, 2024 пользователем stefbarinov

[savizor]

9 hours ago, stefbarinov said:

@savizor почему Вы не делаете бэкап системы и конфига при обновлении на новую версию ОС?

В моей ситуации она бесполезна. Обновить ОС пришлось из-за добавления компонета (DOH). Без обновления копмонент не добавляется. А вернувшись на бэкап я остаюсь без компонента.

[Jello]

16 часов назад, stefbarinov сказал:

@savizor почему Вы не делаете бэкап системы и конфига при обновлении на новую версию ОС?

Восстановился из бекапа с 4.2.1 обратно на 4.1.6 и конфиг тоже залил старый, WG по прежнему отваливается, как и после обновления.

[crackstore]

Присоединяюсь. Тоже самое. Добавил Wireguard на Keenetic. Добавил IP адреса для youtube с сайта https://rockblack.su/vpn/dopolnitelno/diapazon-ip-adresov

Все работало. Трафик маршрутизировался. В один момент перестало, где-то мсесяц назад. Еще прикол в том, что у других с тем же провайдером все работает, не работает только у меня. Пробовал другие сервера Wireguard добавлять, не помогает. Сам ютуб у меня каким-то чудом заработал без wireguard, напрямую через провайдера. Может ли быть такое, что Kennetic видит доступ к сайту и из-за этого не маршрутизирует трафик через Wireguard? И что за пункт "экслюзивный маршрут" в настройках маршрутизации?