WireGuard-сервер игнорирует лимит повторных попыток и бесконечно ретраит handshake для недоступного пира.

[Fat32alist]

Устройство: NetCraze Ultra (NC-1812) / Keenetic Titan (KN-1812)
Версия прошивки: 5.1 Beta 3
Компонент: Приложение VPN-сервер WireGuard

Описание проблемы:
При использовании встроенного VPN-сервера WireGuard, если один из пиров (клиентов) становится недоступным (например, устройство выключено или утеряно соединение), сервер не прекращает попытки установить с ним соединение в соответствии со стандартным таймаутом протокола. Вместо этого, после 20 неудачных попыток (... giving up), сервер немедленно перезапускает процесс handshake, что приводит к бесконечному циклу повторных попыток и чрезмерной нагрузке на системный лог.

Добавил log2.txt в котором попытки возобновились спустя 5 минут "молчания".

log_260526.txt

log2.txt

Изменено Вторник в 07:47 пользователем Fat32alist
добавил еще один лог

[Fat32alist]

Провел дополнительно расследование с debug режимом.

-отключение от wg на телефоне
        ~6 min 40 sec

2026-05-27T09:57:57+03:00 titan kernel: wireguard: Wireguard0: handshake for peer "dYNkb5Wik/FEGgWQA/wSufM1ByZBIJZwyOxOwpr1JSo=" (51) (94.25.169.26:19247) did not complete after 20 attempts, giving up

        запись в NAT:

conntrack -L -p udp --src 94.25.169.26
udp      17 14 src=94.25.169.26 dst=128.0.129.134 sport=19247 dport=41495 packets=1875 bytes=826008 src=128.0.129.134 dst=94.25.169.26 sport=41495 dport=19247 packets=3917 bytes=3660520 [ASSURED] mark=0 use=1

        +40 sec

2026-05-27T09:58:37+03:00 titan kernel: wireguard: Wireguard0: zeroing out all keys for peer "dYNkb5Wik/FEGgWQA/wSufM1ByZBIJZwyOxOwpr1JSo=" (51) (94.25.169.26:19247), since we haven't received a new one in 540 seconds
2026-05-27T09:58:37+03:00 titan kernel: wireguard: Wireguard0: keypair 13789 destroyed for peer 51
2026-05-27T09:58:37+03:00 titan kernel: wireguard: Wireguard0: keypair 13797 destroyed for peer 51

        изменилась запись в NAT на [UNREPLIED]:

conntrack -L -p udp | grep 19247
udp      17 23 src=128.0.129.134 dst=94.25.169.26 sport=41495 dport=19247 packets=28 bytes=4928 [UNREPLIED] src=94.25.169.26 dst=128.0.129.134 sport=19247 dport=41495 packets=0 bytes=0 mark=0 use=1

        +2min 30 sec

2026-05-27T10:03:26+03:00 titan kernel: wireguard: Wireguard0: handshake for peer "dYNkb5Wik/FEGgWQA/wSufM1ByZBIJZwyOxOwpr1JSo=" (51) (94.25.169.26:19247) did not complete after 20 attempts, giving up

        теперь запись в NAT пропала
        спустя время проверки возобновились и завершились вновь спустя ЕЩЕ 9 минут:

2026-05-27T10:12:32+03:00 titan kernel: wireguard: Wireguard0: zeroing out all keys for peer "dYNkb5Wik/FEGgWQA/wSufM1ByZBIJZwyOxOwpr1JSo=" (51) (94.25.169.26:19247), since we haven't received a new one in 540 seconds

Итого: 18 минут спама в журнал, по причине того, что пир всего лишь отключился от wg + некорректная работа проверки жизни пира, как минимум возобновление попыток после того как стёрлась запись в NAT.