[Обновился с 3.9 до 4.0 OpenVPN соединение работает, политика нет]

В 31.05.2023 в 20:37, seeii сказал:

компы с политикой wireguard IPv6 не имеют доступа к web-сайтам IPv6

Вы назначаете туннелю один IPv6-адрес, он используется на самом сетевом интерфейсе. Чтобы выдать адреса компьютерам, нужно дополнительно выделить и смаршрутизировать какую-то подсеть, в случае Keenetic, полагаю, не меньше /64.

[Периодически отваливается VPN‐соединение через Wireguard]

2 минуты назад, ANDYBOND сказал:

Keep-alive равен нулю

Keep-alive установлен в 600. Вы теоретизируете, или действительно разбираетесь, как всё работает в Keenetic? Я сообщаю о проблеме, помочь я себе и сам могу.

[Периодически отваливается VPN‐соединение через Wireguard]

3 минуты назад, ANDYBOND сказал:

Ни у маршрутизатора, ни у провайдера и вообще нигде?

Нет, нигде. Да даже если бы был, это бы никак не помешало отправить пакет с роутера на сервер, а они не отправляются, когда туннель становится неактивным.

[Периодически отваливается VPN‐соединение через Wireguard]

3 минуты назад, ANDYBOND сказал:

а вот клиенту он нужен, причём не более 30 секунд

Keep-alive нужен, чтобы поддерживать NAT-маппинг к серверу, для того, чтобы сервер мог обратиться к клиенту. У меня нет ни NAT'а, ни необходимости сервера обращаться к клиенту.

Аналогично настроенный туннель на OpenWrt к тому же серверу работает корректно, даже если по нему не передаются пакеты сутками, без Keep-Alive.

[Периодически отваливается VPN‐соединение через Wireguard]

26 минут назад, zyxmon сказал:

А что в логах сервера? Может там что полезное?

А что там должно быть? Я никаких пакетов не отправляю, соответственно, никаких пакетов и не ходит. Это же stateless-туннель. Но если соединение перешло в состояние неактивного (серая иконка вместо зелёной), то Keenetic и не пытается отправить пакеты на сервер, когда их начинает отправлять какое-либо устройство в сети.

Поясню, чтобы развеять возможное недопонимание: у меня для VPN заведен отдельный сегмент со своей сетью Wi-Fi. Wireguard-туннель добавлен в качестве единственного соединения в этом сегменте.
В обычном режиме трафик этой сети маршрутизируется через Wireguard. Однако если, например, подключиться к сети Wi-Fi в момент, когда индикатор туннеля серый, то интернета на устройствах нет.

Я не понимаю, по какой причине туннель может становиться неактивным: не вижу какой-либо функциональности heartbeat'а у WireGuard (кроме keep-alive), не вижу никаких попыток heartbeat'а в шифрованном трафике на порту WireGuard на сервере. Туннель просто переходит в неактивное состояние без видимых причин и без записей в журнале.

Keep-alive установлен в 600 секунд. Падает через 186 секунд.

[Периодически отваливается VPN‐соединение через Wireguard]

Да, похоже, действительно какой-то баг.

Перезапустил роутер, никак не использовал соединение — упало через 3 минуты (186 секунд latest handshake). В логах при этом абсолютно никаких записей об изменении состояния соединения.

Записал видео и отправил в поддержку.

[Lan Эмулятор]

Вам нужен любой протокол VPN, который поддерживает пересылку Ethernet-кадров (L2). Например, OpenVPN в режиме TAP.

[Периодически отваливается VPN‐соединение через Wireguard]

Только что, Denis P сказал:

Больше похоже не на проблему с wg, а с тем что количество соединений не влезает в hwnat

Я отключал HWNAT для проверки — его отключение не отключает модуль fastvpn, а ошибки от него.

С какими-либо другими соединениями, в т.ч. VPN-соединениями по другим протоколам, проблем не наблюдается.

WireGuard — это просто туннель, без какого-либо протокола соединения как такового. Я ожидаю, что он будет постоянно включён и не будет выключаться автоматически, тем более без keep-alive'а.

[Периодически отваливается VPN‐соединение через Wireguard]

Наблюдаю похожую проблему на собственном сервере (не Cloudflare Warp).

WireGuard настроен в качестве клиента, для отдельного сегмента сети (подключаюсь через отдельную сеть Wi-Fi). В настройках WireGuard-подключения указан фиксированный исходящий порт.

Если не задавать keep-alive, то соединение выключается и автоматически не поднимается при подключении устройств к сети Wi-Fi. Приходится заходить в интерфейс и переподключать его вручную. Помогает keep-alive, но и с ним соединение периодически выключается, но само переподнимается. Проблема не в сети: у меня белый IP-адрес без NAT (и фиксированный исходящий порт соединения), keep-alive в этом случае не обязателен.

Лог при этом флудится следующими сообщениями без остановки:

 

Jun 5 17:04:51 kernel swnat_mm_realloc: 1135 callbacks suppressed
Jun 5 17:04:51 kernel fastvpn: realloc failed
Jun 5 17:04:51 kernel Core::Syslog: last message repeated 233 times.

 

[Открытие портов по IPv6]

Сам спросил — сам ответил.

Вероятно, речь идёт о консольной команде ipv6 static.

ipv6 static

Описание: Создать правило, разрешающее входящее подключение к заданному порту зарегистрированного устройства домашней сети.

Синопсис

(config)> ipv6 static ‹protocol› [ ‹interface› ] ‹mac› ‹port› [ through ‹end-port› ]
(config)> no ipv6 static [ ‹protocol› [ ‹interface› ] ‹mac› ‹port› [through ‹end-port› ]

 

[Открытие портов по IPv6]

Я хочу «открыть порты» для конкретного устройства по IPv6, но не понимаю, как это сделать.
Мой провайдер выдаёт IPv6-диапазон через PD, сама связность с устройств работает, сайты пингуются и открываются, всё хорошо. Но как настроить возможность входящих подключений, без отключения firewall'а для IPv6 глобально (no ipv6 firewall), понять не могу.

На форуме нашел следующие посты:

 

Но я не могу найти упомянутую функцию по разрешению портов для зарегистрированных устройств. Излазил всё меню, пробовал добавлять правила проброса портов, но там можно ввести только IPv4-адреса, а при выборе зарегистрированного устройства (без ввода адреса) порты IPv6 также недоступны извне.

Подскажите, где я могу найти эту функцию, или каким иным образом мне создать разрешающие правила для конкретных портов конкретных устройств по IPv6?

У меня Viva (KN-1910) RU, прошивка 3.9.5.