Периодически отваливается VPN‐соединение через Wireguard

[cheburashkaDDNS]

В 09.09.2024 в 11:09, Le ecureuil сказал:

РКН?

@Le ecureuil прошу посмотреть на последний релиз Beta 3, месяц туннель работал без падений с прописью ASC параметров. после обновления до последней беты начались отвалы. помогает как и было написано выше смена порта, туннель сразу поднимается, handshake устанавливается. 

[vasek00]

2 часа назад, cheburashkaDDNS сказал:

на последний релиз Beta 3, месяц туннель работал без падений с прописью ASC параметров. после обновления до последней беты начались отвалы. помогает как и было написано выше смена порта, туннель сразу поднимается, handshake устанавливается. 

Для статистики 42B3

2710 - один WG c ASC = 5дн.05:20:17 (принято 14GB), второй WG c ASC = 5дн.05:03:09 (принято 1,4GB)

1010 - WG c ASC = 6дн.04:02:01 (принято 28GB)

[ad1er]

7 часов назад, vasek00 сказал:

Для статистики 42B3

2710 - один WG c ASC = 5дн.05:20:17 (принято 14GB), второй WG c ASC = 5дн.05:03:09 (принято 1,4GB)

1010 - WG c ASC = 6дн.04:02:01 (принято 28GB)

Нужно поменять порт прослушивания в настройках WG?

[Uncertainty]

В 09.09.2024 в 17:29, cheburashkaDDNS сказал:

@Uncertainty какая версия прошивки у вас установлена на данный момент? заметил такое же поведение у себя после перехода на 4.2 Beta 3.

"сервер" 4.2 Beta 2

Клиент - последняя стабильная 4.1.7

Туннель падает именно со стороны "Клиента"

 

Вообще я подумал, что тут может быть проблема в провайдере. Когда "клиент" подключается - активность есть, NAT отработал. Активности нет - на оборудовании провайдера в таблице NAT пропала запись про мой адрес:порт и "сервер" не понимает куда отправить данные по тому-же туннелю при появлении активности

 

В пользу к версии с очисткой NAT говорит то, что при смене порта на "клиенте" - туннель поднимается почти сразу. Плюс делал небольшой тест. Поднял туннель и ставил на пинг удаленную сеть. За ночь - ни одного падения. Снял с пинга, минут 20-25 буквально проходит , без активности туннель падает и уже сам не поднимается.

 

Вопрос, почему не корректно отрабатывает Keepalive ? Он шлет пакеты внутрь туннеля ? это как-то не так работает ?

Изменено 10 сентября пользователем Uncertainty

[vasek00]

7 часов назад, ad1er сказал:

Нужно поменять порт прослушивания в настройках WG?

Если вам так "легче" станет, то поменяйте.

[vasek00]

6 часов назад, Uncertainty сказал:

Вопрос, почему не корректно отрабатывает Keepalive ? Он шлет пакеты внутрь туннеля ? это как-то не так работает ?

Снимайте dump и прикладывайте, если нет так работает.

[Uncertainty]

17 часов назад, vasek00 сказал:

Снимайте dump и прикладывайте, если нет так работает.

Я не говорю , что "не так", я спрашиваю Как должен отрабатывать механизм keepalive в данном случае ?

[vasek00]

5 часов назад, Uncertainty сказал:

Я не говорю , что "не так", я спрашиваю Как должен отрабатывать механизм keepalive в данном случае ?

😁

А я и говорю снять dump

 

[Леонид Харламов]

Сегодня проблема повторилась, туннель сразу же поднялся после смены порта на клиенте. Как вариант с помощью скрипта может быть можно периодически менять порт на клиенте? При проблеме количество принятых пакетов 0, если эту ситуацию как-то отлавливать и также менять номер порта?

[Le ecureuil]

1 минуту назад, Леонид Харламов сказал:

Сегодня проблема повторилась, туннель сразу же поднялся после смены порта на клиенте. Как вариант с помощью скрипта может быть можно периодически менять порт на клиенте? При проблеме количество принятых пакетов 0, если эту ситуацию как-то отлавливать и также менять номер порта?

Имеется в виду, что это клиент с вообще не заданным портом? И нужно выбрать локальным какой-то рандомный?

[Леонид Харламов]

4 минуты назад, Le ecureuil сказал:

Имеется в виду, что это клиент с вообще не заданным портом? И нужно выбрать локальным какой-то рандомный?

Поменять локальный порт у клиента. Ну да, задать любой любой из верхнего диапазона...

interface Wireguard0 wireguard listen-port xxx**

Изменено 13 сентября пользователем Леонид Харламов

[Le ecureuil]

В 13.09.2024 в 18:35, Леонид Харламов сказал:

Поменять локальный порт у клиента. Ну да, задать любой любой из верхнего диапазона...

interface Wireguard0 wireguard listen-port xxx**

В следующей версии 4.02 при дисконнекте на клиенте будет выбираться другой локальный порт.

[Леонид Харламов]

7 часов назад, Le ecureuil сказал:

В следующей версии 4.02 при дисконнекте на клиенте будет выбираться другой локальный порт.

Отлично, потестим. А версия 4.02 это версия чего именно? Сейчас установлена KeeneticOS 4.1.7

[Uncertainty]

В 15.09.2024 в 20:25, Le ecureuil сказал:

В следующей версии 4.02 при дисконнекте на клиенте будет выбираться другой локальный порт.

Точно верно указана версия? Хочу сейчас обновить до 4.2 Beta 4 и проверить на ней

[Uncertainty]

В 12.09.2024 в 16:34, vasek00 сказал:

😁

А я и говорю снять dump

 

 

 

Не было возможности, сейчас обновлю кинетики и проверю. Если останется - сниму, покажу и буду думать дальше )

[Gonzik]

Вообще перестал WireGuard работать в 4.2 Beta 4. И как-то иначе все стало с ним. До Beta 4 WireGuard был настроен с маршрутами, т.е. через него трафик шел только до определенных ресурсов, даже если WG был недоступен, другие ресурсы (которые не попадают в маршруты) спокойно открывались через соединение провайдера. Теперь WG постоянно отваливается и недоступны в этот момент даже те ресурсы, которых нет в маршрутах. Очень странное поведение...

Изменено 19 сентября пользователем Gonzik

[Gonzik]

Порт прослушивания в настройках WG изначально не был задан. Ради эксперимента задал. Ничего не изменилось, WG постоянно отключается.

[Gonzik]

Присутствует какой-то глюк. Не понял пока зависимость, то-ли после перезагрузки роутера, может возникнуть ситуация, когда WG отваливается, и роутер пытается пускать ВЕСЬ трафик через WG вместо соединения провайдера, хотя в приоритете соединение провайдера и настроены маршруты для WG только до определенных ресурсов. Предположительно с 4.2 Beta 4 это не связано, у другого человека такая же ситуация возникала на 3.8.1.

Изменено 19 сентября пользователем Gonzik

[vasek00]

54 минуты назад, Gonzik сказал:

Присутствует какой-то глюк. Не понял пока зависимость, то-ли после перезагрузки роутера, может возникнуть ситуация, когда WG отваливается, и роутер пытается пускать ВЕСЬ трафик через WG вместо соединения провайдера, хотя в приоритете соединение провайдера и настроены маршруты для WG только до определенных ресурсов. Предположительно с 4.2 Beta 4 это не связано, у другого человека такая же ситуация возникала на 3.8.1.

На 42B4 как работали ранее до нее так и работают WG. Есть стат маршруты и так же проблем нет.

У вас на скрине есть 162.159.193.5.

[FLK]

20 минут назад, vasek00 сказал:

 

У вас на скрине есть 162.159.193.5.

WARP detected 😁

[Gonzik]

50 минут назад, vasek00 сказал:

Есть стат маршруты и так же проблем нет.

А если у вас нет, а у меня есть, то вывод какой?

51 минуту назад, vasek00 сказал:

У вас на скрине есть 162.159.193.5

Что мне это должно сказать? Я не очень понимаю намеков.

[FLK]

У меня на разных роутерах и на разных провайдерах работает WARP по-разному... Сейчас заметил на одном 

wireguard: Wireguard1: retrying handshake with peer "блаблабла" (4) (162.159.193.5:1701) because we stopped hearing back after 2151635504 seconds

при этом лампочка горит зеленым, соединение вроде не прерывается... Ну по крайней мере человек, у которого этот роутер работает, не жалуется)

Изменено 19 сентября пользователем FLK

[vasek00]

37 минут назад, Gonzik сказал:

А если у вас нет, а у меня есть, то вывод какой?

О каких намеках идет речь вы используете Cloudflare WARP.

[Gonzik]

28 минут назад, vasek00 сказал:

О каких намеках идет речь вы используете Cloudflare WARP.

И это плохо или хорошо? Это как-то влияет на вышеуказанную проблему?

[Madlax]

4 часа назад, Gonzik сказал:

Вообще перестал WireGuard работать в 4.2 Beta 4. И как-то иначе все стало с ним. До Beta 4 WireGuard был настроен с маршрутами, т.е. через него трафик шел только до определенных ресурсов, даже если WG был недоступен, другие ресурсы (которые не попадают в маршруты) спокойно открывались через соединение провайдера. Теперь WG постоянно отваливается и недоступны в этот момент даже те ресурсы, которых нет в маршрутах. Очень странное поведение...

проблема один в один. как фиксить? на бетта 3 все отлично было, обновился и WG типа подключен. но трафик не ходит.

сейчас один тунель как-то сам заработал, другие 3 нет...

[vasek00]

48 минут назад, Gonzik сказал:

И это плохо или хорошо? Это как-то влияет на вышеуказанную проблему?

Да может влиять.

Цитата

Порт прослушивания в настройках WG изначально не был задан. Ради эксперимента задал. Ничего не изменилось, WG постоянно отключается.

 

[Uncertainty]

В общем-с, обновил до 4.2 Beta 4

Проблема не решилась
В логах сервера периодически проскакивает инициализация хендшейка. Но это явно проблема с NAT , получается..  пока решил постоянным пингом внутри туннеля, но это прямо костыль.

[Gonzik]

7 часов назад, Uncertainty сказал:

В общем-с, обновил до 4.2 Beta 4

Проблема не решилась
В логах сервера периодически проскакивает инициализация хендшейка. Но это явно проблема с NAT , получается..  пока решил постоянным пингом внутри туннеля, но это прямо костыль

Я перешел на AmneziaWG, с тем же WARP, как ни странно, но проблема ушла. 3-й день wireguard уведомлений не сыпет.

Изменено 23 сентября пользователем Gonzik

[Uncertainty]

В 23.09.2024 в 17:56, Gonzik сказал:

Я перешел на AmneziaWG, с тем же WARP, как ни странно, но проблема ушла. 3-й день wireguard уведомлений не сыпет.

Использовать AmneziaWG для связи двух сетей то мощно наверное ) но тем не менее , AmnesiaWG сейчас поддерживается в кинетике ? там же вроде чем-то отличается от стандартного WG ?

[Gonzik]

2 часа назад, Uncertainty сказал:

AmnesiaWG сейчас поддерживается в кинетике ?

Поддерживается в 4.2. ASC параметры через CLI задаются.

Изменено 27 сентября пользователем Gonzik