Wireguard - выход в интернет через несколько пиров

[t800]

У меня есть настроенный рабочий туннель Wireguard, через который клиенты кинетика исправно ходят в интернет. В силу нестабильности VPS, было решено поднять еще одну, в другом регионе, но возник вопрос как организовать резервирование. Первый вариант - на уровне политик: создать новую, два туннеля, и так далее. Второй, который мне показался проще, это добавить пир в существующее подключение. Создал, прописал Allowed Ips так же, как на первом пире - 0.0.0.0/0, и весь трафик пошёл через новый пир. ОК, я его отключил на VPS, чтобы посмотреть отработает ли фоллбэк в том или ином виде. Не отработал. Трафик в первый пир не пошёл. Появились вопросы:

1. Почему после создания нового пира трафик пошёл именно и только через него?

2. Почему после его отключения, трафик не пошёл через старый пир?

Спасибо

Upd.: перевключение туннеля не помогает. Похоже, что новый пир имеет абсолютный приоритет, и, даже если старый пир живой, то кинетик его игнорирует, не взирая на то, что отключение нового пира зафиксировано (индикация серая).

В конфигурации как на скрине счётчик растёт только на пире Holland (новом). Помогает только удаление пира из туннеля и рестарт туннеля

Версия прошивки - 4.3.5 и 4.3.4

Изменено 17 июля пользователем t800

[Le ecureuil]

Разумеется, внутри WG работает так называемый крипто-роутинг согласно allow-ips. Если вы ставите обоим пирам 0.0.0.0/0, то идти будет только в один и никогда в другой.

[t800]

1 минуту назад, Le ecureuil сказал:

Если вы ставите обоим пирам 0.0.0.0/0, то идти будет только в один и никогда в другой

Спасибо за ответ. Такая логика предусмотрена спецификацией протокола? 

[Le ecureuil]

5 часов назад, t800 сказал:

Спасибо за ответ. Такая логика предусмотрена спецификацией протокола? 

Именно, почитайте про cryptorouting.

[t800]

Прочитал, спасибо

Стало понятно почему оно так работает, а вот легче не стало. Хороший вариант решения с прозрачным выбором пира был бы.

[Denis P]

54 минуты назад, t800 сказал:

Прочитал, спасибо

Стало понятно почему оно так работает, а вот легче не стало. Хороший вариант решения с прозрачным выбором пира был бы.

В политике с приоритетами подключений (интерфейсов) выбор тоже довольно очевиден, не совсем понятно по какой причине он вам не понравился)

[t800]

47 минут назад, Denis P сказал:

В политике с приоритетами подключений (интерфейсов) выбор тоже довольно очевиден, не совсем понятно по какой причине он вам не понравился)

Например потому, что мне на уровне entware желательно иметь один сетевой интерфейс, соответствующий wireguard-туннелю. А не несколько потенциальных, чтобы не городить потом соответствующую логику

[Denis P]

3 минуты назад, t800 сказал:

Например потому, что мне на уровне entware желательно иметь один сетевой интерфейс, соответствующий wireguard-туннелю. А не несколько потенциальных, чтобы не городить потом соответствующую логику

Используйте в entware метки политик, делов то)

На форуме даже примеры были

Изменено Вторник в 15:58 пользователем Denis P

[Le ecureuil]

Раз вы все равно в entware копаете, то можно пиры у WG индивидуально отключать и включать по условию через interface wireguard peer [no] connect.

[vasek00]

В 22.07.2025 в 18:54, t800 сказал:

Например потому, что мне на уровне entware желательно иметь один сетевой интерфейс, соответствующий wireguard-туннелю. А не несколько потенциальных, чтобы не городить потом соответствующую логику

Проверил 50A8

1. WG в нем два пира (два клиента)

Спойлер

2. Выход в интернет их настроен через WG на Keenetic

Клиент1/2 ---мобильный---[WG2]Keenetic[WG0-клиент]-----Инетернет-----[WG-Сервер]....

Спойлер

interface Wireguard0 **** в интернет
...
    ip global 65490
...
    up


interface Wireguard2
...
    security-level public
    ip address 10.16.130.96 255.255.255.0
...
    ip global 60774
...
    wireguard peer EJ06..................Y1k= !T505
        endpoint 10.16.130.18:хххх2
        allow-ips 10.16.130.18 255.255.255.255
        allow-ips 192.168.ххх.0 255.255.255.0
        allow-ips 0.0.0.0 0.0.0.0
        connect
    !
    wireguard peer Z8cLP.................bTY= !A73
        endpoint 10.16.130.6:хххх2
        allow-ips 10.16.130.6 255.255.255.255
        allow-ips 192.168.ххх.0 255.255.255.0
        allow-ips 0.0.0.0 0.0.0.0
        connect
    !
    up

ip policy Policy0
    permit global Wireguard0
...

ip nat Wireguard2

ip hotspot
    policy Wireguard2 Policy0
...

На клиентах стоит простой Wireguard, "Разрешенные IP-адреса" аналогичны как на роутере 0.0.0.0/0, 192.168.xxx.0/24, 10.16.130.0/24.

Тест speedtest на обоих показал IP от Wireguard0, выход в интернет на обоих без проблем.

Мало того если например лок.клиент ПК находится в основной политике роутера, то эти оба клиента без проблем имеют доступ к данному клиенту (например Total Com + LAN общий доступ Windows)

Просьба не "ломать".

Изменено Среда в 17:11 пользователем vasek00

[Denis P]

53 минуты назад, vasek00 сказал:

Проверил 50A8

1. WG в нем два пира (два клиента)

  Показать контент

2. Выход в интернет их настроен через WG на Keenetic

Клиент1/2 ---мобильный---[WG2]Keenetic[WG0-клиент]-----Инетернет-----[WG-Сервер]....

  Скрыть контент

interface Wireguard0 **** в интернет
...
    ip global 65490
...
    up


interface Wireguard2
...
    security-level public
    ip address 10.16.130.96 255.255.255.0
...
    ip global 60774
...
    wireguard peer EJ06..................Y1k= !T505
        endpoint 10.16.130.18:хххх2
        allow-ips 10.16.130.18 255.255.255.255
        allow-ips 192.168.ххх.0 255.255.255.0
        allow-ips 0.0.0.0 0.0.0.0
        connect
    !
    wireguard peer Z8cLP.................bTY= !A73
        endpoint 10.16.130.6:хххх2
        allow-ips 10.16.130.6 255.255.255.255
        allow-ips 192.168.ххх.0 255.255.255.0
        allow-ips 0.0.0.0 0.0.0.0
        connect
    !
    up

ip policy Policy0
    permit global Wireguard0
...

ip nat Wireguard2

ip hotspot
    policy Wireguard2 Policy0
...

На клиентах стоит простой Wireguard, "Разрешенные IP-адреса" аналогичны как на роутере 0.0.0.0/0, 192.168.xxx.0/24, 10.16.130.0/24.

Тест speedtest на обоих показал IP от Wireguard0, выход в интернет на обоих без проблем.

Мало того если например лок.клиент ПК находится в основной политике роутера, то эти оба клиента без проблем имеют доступ к данному клиенту (например Total Com + LAN общий доступ Windows)

Просьба не "ломать".

Это то тут при чем?) у вас многопирный конфиг aka server. Тема совсем про другое

[vasek00]

10 часов назад, Denis P сказал:

Это то тут при чем?) у вас многопирный конфиг aka server. Тема совсем про другое

Только как вариант использования, для клиентов.

Изменено Четверг в 04:16 пользователем vasek00