Jump to content

Wireguard туннель с Keenetic Giga для доступа в интернет, нужна помощь с отладкой.


Recommended Posts

Почитал темы про wireguard на форуме, ничего не откликнулось. Буду признателен за помощь с диагностикой.

Set up следующий:

- Есть сервер Centos 8 в облаке, на нём поднят wg сервер. Соединение с ноутбука работает.

- Беру тут же конфиг, что и для ноута и раскатываю на keenetic - не работает. Причём непонятно даже где всё ломается.

 

Конфиг файл для пира

[Interface]
PrivateKey = ....
ListenPort = 51820
Address = 10.13.13.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = SivZBGe....
PresharedKey = ni16eqej4...
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 89.208.NNN.NNN:51820

 

На роутере (версия прошивки 3.8.3) было сделано следующее:

1. Создано соединение (галочку "для выхода в интернет" тоже ставил, тут снята).

 

keen1.thumb.jpg.f982c11c00824924c47f22ea3f6c39c6.jpgkeen2.thumb.jpg.84ee604742a5d38c7ec8ea03922173a7.jpg

 

В межсетевые экраны во все интерфейсы засунул allow all tcp/udp.

 

 

Проблема

При включении интерфейса вижу, что какой-то обмен данными есть. 

image.thumb.png.4f913ea33a5470a4470700446a91eb34.png

 

В системном журнале при этом начинают валиться ошибки, что на самом деле endpoint недоступен.

image.thumb.png.08bfb4368bdc4fd1ebbd9def17a9e1b0.png

Все маршруты тоже остаются без изменений, даже если мой интерфейс стоит первым приоритетом в части подключения к интернету. Интересно, что первая ошибка тоже всегда идёт перед второй (ну или после). А это именно мой текущий основной шлюз, через который работает интернет (он через WISP).

Поскольку в этот момент со стороны Centos сервака 10.13.13.2 не пингуется - полагаю, что соединение у меня вообще не происходит. Подскажите куда покопать? Похоже что роутер не может добежать до endpoint'a, но явно не из-за МСЭ...

 

Link to comment
Share on other sites

В общем это какой-то баг, как мне кажется.

В итоге мне удалось завести соединение. Но это выглядит как танцы с бубнами.

  1. Настраиваем wg подключение и проверяем, что пинги ходят в обе стороны (если есть возможность).
  2. Идём в маршрутизацию и добавляем статический маршрут до узла = endpoint wireguard'a через, в моём случае, WISP интерфейс. На этом этапе всё ломается и вообще перестаёт работать интернет. НО! Таблица динамической маршрутизации обновляется и трафик наконец начинает идти в туннель.
  3. Удаляем только что созданный маршрут. Всё до следующего ребута у вас туннель.

Если кто-то сможет мне помочь объяснить что это за херня - я буду признателен.

Идею, кстати, взял из статьи digital ocean про настройку wireguard. 

Link to comment
Share on other sites

@Monstr86 Спасибо, но это не та статья, которая мой кейс отражает. Моя про весь трафик в wg. И там ничего нет про маршруты, есть только галочка "использовать для выхода в интернет", которая собственно и должна маршрут по умолчанию заворачивать в wg. 

Я подозреваю, что есть некие "проверки", которые делает прошивка, прежде чем перенастроить маршрут. Что это за проверки и почему они не проходят неизвестно.

Ещё обрати внимание - маршрут надо обязательно потом удалить (иначе тоже ничего не работает). Он нужен только, чтобы тригернулось перестроение таблицы маршрутизации.

 

Link to comment
Share on other sites

14 часа назад, mi_volodin сказал:

@Monstr86 Спасибо, но это не та статья, которая мой кейс отражает. Моя про весь трафик в wg. И там ничего нет про маршруты, есть только галочка "использовать для выхода в интернет", которая собственно и должна маршрут по умолчанию заворачивать в wg. 

Я подозреваю, что есть некие "проверки", которые делает прошивка, прежде чем перенастроить маршрут. Что это за проверки и почему они не проходят неизвестно.

Ещё обрати внимание - маршрут надо обязательно потом удалить (иначе тоже ничего не работает). Он нужен только, чтобы тригернулось перестроение таблицы маршрутизации.

 

Там есть статические маршруты - это разве не то о чем ты говорил?

Link to comment
Share on other sites

14 часа назад, mi_volodin сказал:

Я подозреваю, что есть некие "проверки"

Мифы и легенды - это не сюда.

А по ситуации. Ссылка правильная. И, для понимания, есть профилирование соединений и статические маршруты, причём вторые приоритетнее первого.

И обратите внимание на рекомендации отсюда в части профилирования соединений и прочих деталей: https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель

Edited by ANDYBOND
Link to comment
Share on other sites

20 часов назад, Monstr86 сказал:

Wireguard вообще не будет работать нормально без статических маршрутов, он просто не будет знать куда отправлять пакеты.

На самом деле будет, но в отдельном профиле для отдельных устройств, но не в данном случае.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...