ValdikSS
-
Posts
60 -
Joined
-
Last visited
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by ValdikSS
-
-
2 минуты назад, ANDYBOND сказал:
Keep-alive равен нулю
Keep-alive установлен в 600. Вы теоретизируете, или действительно разбираетесь, как всё работает в Keenetic? Я сообщаю о проблеме, помочь я себе и сам могу.
- 1
-
3 минуты назад, ANDYBOND сказал:
Ни у маршрутизатора, ни у провайдера и вообще нигде?
Нет, нигде. Да даже если бы был, это бы никак не помешало отправить пакет с роутера на сервер, а они не отправляются, когда туннель становится неактивным.
- 1
-
3 минуты назад, ANDYBOND сказал:
а вот клиенту он нужен, причём не более 30 секунд
Keep-alive нужен, чтобы поддерживать NAT-маппинг к серверу, для того, чтобы сервер мог обратиться к клиенту. У меня нет ни NAT'а, ни необходимости сервера обращаться к клиенту.
Аналогично настроенный туннель на OpenWrt к тому же серверу работает корректно, даже если по нему не передаются пакеты сутками, без Keep-Alive.
- 1
-
26 минут назад, zyxmon сказал:
А что в логах сервера? Может там что полезное?
А что там должно быть? Я никаких пакетов не отправляю, соответственно, никаких пакетов и не ходит. Это же stateless-туннель. Но если соединение перешло в состояние неактивного (серая иконка вместо зелёной), то Keenetic и не пытается отправить пакеты на сервер, когда их начинает отправлять какое-либо устройство в сети.
Поясню, чтобы развеять возможное недопонимание: у меня для VPN заведен отдельный сегмент со своей сетью Wi-Fi. Wireguard-туннель добавлен в качестве единственного соединения в этом сегменте.
В обычном режиме трафик этой сети маршрутизируется через Wireguard. Однако если, например, подключиться к сети Wi-Fi в момент, когда индикатор туннеля серый, то интернета на устройствах нет.Я не понимаю, по какой причине туннель может становиться неактивным: не вижу какой-либо функциональности heartbeat'а у WireGuard (кроме keep-alive), не вижу никаких попыток heartbeat'а в шифрованном трафике на порту WireGuard на сервере. Туннель просто переходит в неактивное состояние без видимых причин и без записей в журнале.
Keep-alive установлен в 600 секунд. Падает через 186 секунд.
- 1
-
Да, похоже, действительно какой-то баг.
Перезапустил роутер, никак не использовал соединение — упало через 3 минуты (186 секунд latest handshake). В логах при этом абсолютно никаких записей об изменении состояния соединения.
Записал видео и отправил в поддержку.
- 1
- 2
-
Вам нужен любой протокол VPN, который поддерживает пересылку Ethernet-кадров (L2). Например, OpenVPN в режиме TAP.
-
Только что, Denis P сказал:
Больше похоже не на проблему с wg, а с тем что количество соединений не влезает в hwnat
Я отключал HWNAT для проверки — его отключение не отключает модуль fastvpn, а ошибки от него.
С какими-либо другими соединениями, в т.ч. VPN-соединениями по другим протоколам, проблем не наблюдается.
WireGuard — это просто туннель, без какого-либо протокола соединения как такового. Я ожидаю, что он будет постоянно включён и не будет выключаться автоматически, тем более без keep-alive'а.
- 1
-
Наблюдаю похожую проблему на собственном сервере (не Cloudflare Warp).
WireGuard настроен в качестве клиента, для отдельного сегмента сети (подключаюсь через отдельную сеть Wi-Fi). В настройках WireGuard-подключения указан фиксированный исходящий порт.
Если не задавать keep-alive, то соединение выключается и автоматически не поднимается при подключении устройств к сети Wi-Fi. Приходится заходить в интерфейс и переподключать его вручную. Помогает keep-alive, но и с ним соединение периодически выключается, но само переподнимается. Проблема не в сети: у меня белый IP-адрес без NAT (и фиксированный исходящий порт соединения), keep-alive в этом случае не обязателен.
Лог при этом флудится следующими сообщениями без остановки:
Jun 5 17:04:51 kernel swnat_mm_realloc: 1135 callbacks suppressed Jun 5 17:04:51 kernel fastvpn: realloc failed Jun 5 17:04:51 kernel Core::Syslog: last message repeated 233 times.
- 1
-
Сам спросил — сам ответил.
Вероятно, речь идёт о консольной команде ipv6 static.
ipv6 static Описание: Создать правило, разрешающее входящее подключение к заданному порту зарегистрированного устройства домашней сети. Синопсис (config)> ipv6 static ‹protocol› [ ‹interface› ] ‹mac› ‹port› [ through ‹end-port› ] (config)> no ipv6 static [ ‹protocol› [ ‹interface› ] ‹mac› ‹port› [through ‹end-port› ]
-
Я хочу «открыть порты» для конкретного устройства по IPv6, но не понимаю, как это сделать.
Мой провайдер выдаёт IPv6-диапазон через PD, сама связность с устройств работает, сайты пингуются и открываются, всё хорошо. Но как настроить возможность входящих подключений, без отключения firewall'а для IPv6 глобально (no ipv6 firewall), понять не могу.
На форуме нашел следующие посты:Но я не могу найти упомянутую функцию по разрешению портов для зарегистрированных устройств. Излазил всё меню, пробовал добавлять правила проброса портов, но там можно ввести только IPv4-адреса, а при выборе зарегистрированного устройства (без ввода адреса) порты IPv6 также недоступны извне.
Подскажите, где я могу найти эту функцию, или каким иным образом мне создать разрешающие правила для конкретных портов конкретных устройств по IPv6?
У меня Viva (KN-1910) RU, прошивка 3.9.5.
Обновился с 3.9 до 4.0 OpenVPN соединение работает, политика нет
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Вы назначаете туннелю один IPv6-адрес, он используется на самом сетевом интерфейсе. Чтобы выдать адреса компьютерам, нужно дополнительно выделить и смаршрутизировать какую-то подсеть, в случае Keenetic, полагаю, не меньше /64.