Блокировки WireGuard/OpenVPN

[s.andrynin]

Коллеги всем доброго дня, столкнулся с проблемой, имею Keenetic Peak на нем 2 сервера wireguard и openvpn

при попытке подключения к любому из них клиентом с linux тачки в нидерландах (на тачке крутится сайт и впн нужен для слива бекапов) то коннект происходит все отлично

 

Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: TUN/TAP device tun0 opened
Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: do_ifconfig, ipv4=1, ipv6=0
Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_iface_mtu_set: mtu 1500 for tun0
Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_iface_up: set tun0 up
Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_addr_v4_add: 10.8.0.2/24 dev tun0
Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_route_v4_add: 192.168.1.0/24 via 10.8.0.1 dev [NULL] table 0 metric -1
Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_route_v4_add: 172.16.201.0/24 via 10.8.0.1 dev [NULL] table 0 metric -1
Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_route_v4_add: 172.16.202.0/24 via 10.8.0.1 dev [NULL] table 0 metric -1
Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: net_route_v4_add: 172.16.203.0/24 via 10.8.0.1 dev [NULL] table 0 metric -1
Sep 06 18:29:06 3435713-lk43133.twc1.net openvpn[2379]: Initialization Sequence Completed

Запускаю пинги

 

[root@3435713-lk43133 client]# ping 192.168.1.20
PING 192.168.1.20 (192.168.1.20) 56(84) bytes of data.
64 bytes from 192.168.1.20: icmp_seq=1 ttl=63 time=42.1 ms
64 bytes from 192.168.1.20: icmp_seq=2 ttl=63 time=41.9 ms
64 bytes from 192.168.1.20: icmp_seq=3 ttl=63 time=41.8 ms
64 bytes from 192.168.1.20: icmp_seq=4 ttl=63 time=41.7 ms
64 bytes from 192.168.1.20: icmp_seq=5 ttl=63 time=42.3 ms
64 bytes from 192.168.1.20: icmp_seq=6 ttl=63 time=42.3 ms
64 bytes from 192.168.1.20: icmp_seq=7 ttl=63 time=41.8 ms

После чего пинги пропадают, связи до конечного хоста нет. Через 2 минуты в логах 

 

Sep 06 18:31:19 3435713-lk43133.twc1.net openvpn[2379]: [] Inactivity timeout (--ping-restart), restarting
Sep 06 18:31:19 3435713-lk43133.twc1.net openvpn[2379]: TCP/UDP: Closing socket
Sep 06 18:31:19 3435713-lk43133.twc1.net openvpn[2379]: SIGUSR1[soft,ping-restart] received, process restarting
Sep 06 18:31:19 3435713-lk43133.twc1.net openvpn[2379]: Restart pause, 5 second(s)
Sep 06 18:31:24 3435713-lk43133.twc1.net openvpn[2379]: Re-using SSL/TLS context

Насколько я понял клиент видит отвал и переподключается. Затем пинг снова идет успевает отправить 5-7 пакетов и все по новой.

С Wireguard все так же, исключение что повторные хендшейки не проходят и после пары пингов полная тишина, перезапуск клиента снова дает похожий эффект 3-4 пакета пингов и все тишина.

Конфиг OpenVPN

Server:

port 1194
proto udp
dev tun
topology subnet
server 10.8.0.0 255.255.255.0
keepalive 10 120
key-direction 0
cipher AES-256-CBC
persist-key
persist-tun
verb 3
explicit-exit-notify 1
client-to-client
comp-lzo yes
push "dhcp-option DNS 192.168.1.1"
push "route 192.168.1.0 255.255.255.0"
push "route 172.16.201.0 255.255.255.0"
push "route 172.16.202.0  255.255.255.0"
push "route 172.16.203.0 255.255.255.0"
sndbuf 524288
rcvbuf 524288
push "sndbuf 524288"
push "rcvbuf 524288"

 

Client:

client
dev tun
proto udp
remote IP_ADDR 1194
comp-lzo
resolv-retry infinite
nobind
keepalive 10 120
persist-key
persist-tun
cipher AES-256-CBC

remote-cert-tls server
key-direction 1
verb 4

Разумеется серты я вырезал, хочу отметить что конфигурация ранее была рабочей (то есть это не новый сетап). Делаю предполажение что блочит провайдер, так как на кинетике их 2 и через второй работает хотябы wireguard, но не работает openvpn, на втором не работают оба коннекта. Так же хочу заметить что с двух провайдеров отлично работают оба вида VPN но в качестве сервера тачка в Хетцнер, в качестве клиента кинетик и трафик ходит без проблем, такое ощущениие что блок именно на вход.

Нужна хелпа как дебажить, куда копнуть, может еще какой совет

[Le ecureuil]

Снимите дамп трафика на провайдерском интерфейсе монитором, будет все понятно сразу.

[Mechanics]

52 минуты назад, s.andrynin сказал:

Нужна хелпа как дебажить, куда копнуть, может еще какой совет

Очень похоже на работу DPI провайдера. Было тоже самое с OpenConnect, решил переходом только на TCP. Попробуйте proto tcp.

[s.andrynin]

1 час назад, Mechanics сказал:

решил переходом только на TCP. Попробуйте proto tcp.

Уже пробовал не помогло

 

UPD: Кстати, я вот что заметил, если я у себя положу клиента openvpn а потом его подниму то будет ровне три пакета и тишина, в сторону VPC Hetzner, и дальше если я в приоритетах подключения просто меняю провайдеры местами, то чудесным образом канал openvpn живет) Что тоже наталкивает на мысли о DPI по заголовкам. Жаль с WG так нельзя.

 

[s.andrynin]

2 часа назад, Le ecureuil сказал:

Снимите дамп трафика на провайдерском интерфейсе монитором, будет все понятно сразу.

На что там обратить внимание? Дам это хорошо, но у меня одновременно столько всего льется, боюсь там будет много всего, может есть способ как то фильтрануть на этапе дампа?

[dartraiden]

По симптомам это блокировка со стороны провайдера/РКН.

В KeeneticOS 4.2 добавили поддержку ASC для WG, пробуйте (на сервере параметры должны совпадать с клиентом).

Изменено 3 ноября пользователем dartraiden