Периодически отваливается VPN‐соединение через Wireguard

[d6oj3z3]

Всем привет! Добавил в систему роутера компонент «Wireguard VPN», зашёл в раздел «Другие подключения» и сделал загрузку конфигурации Wireguard из файла. Получилось соединение вот с такими параметрами.

Добавил вот такой статический маршрут до 2ip.ru, чтобы наглядно было видно работает VPN‐соединение или нет.

В разделе «Другие подключения» у моего соединения зелёный индикатор и 2ip.ru выдаёт адрес моего VPN — всё работает.

Проходит две недели и VPN работать перестаёт. Нужные мне сайты не открываются и на 2ip.ru я вижу адрес провайдера, а не VPN. В разделе «Другие подключения» вместо зелёного отображается уже серый индикатор.

Открываю клиент Wireguard на компьютере. Загружаю туда тот же файл конфигурации, что и на роутере. Активирую соединение и туннель начитает работать. Захожу на 2ip.ru и вижу адрес VPN. Пробую зайти на заблокированные сайты и они открываются. Значит дело не в VPN‐сервере, не в файле конфигурации или провайдере. Далее в разделе «Другие подключения» переключателем несколько раз пробую выключить и включить соединение, но индикатор зелёным никак не загорается и подключение не восстанавливается.

Пробую перезагрузить роутер, но это не помогает. Сбрасываю его до заводских настроек и прохожу первичную настройку мастером подключения. Далее загружаю настройки Wireguard из файла. Соединение устанавливается и индикатор подключения горит зелёным. Добавляю статические маршруты из bat‐файла. Захожу на 2ip.ru и вижу адрес VPN — всё в порядке! Продолжаю пользоваться этим соединением.

После сброса и повторной настройки VPN я никакие настройки не трогаю и вообще не захожу в админку роутера. Проходит неделя и VPN снова отваливается. Далее всё как и в первый раз. В разделе «Другие подключения» я вижу серый индикатор, проверяю работу соединения в клиенте на компьютере, делаю сброс до заводских настроек, импортирую два файла и таким образом восстанавливаю работу VPN‐подключения.

В первый раз я думал, что VPN сломался от каких‐то моих неправильных действий. Но что произошло во второй раз? Я же вообще ничего не трогал! Оба эти случая произошли на прошивке 3.9.5. Когда я второй раз сбрасывал роутер, на него прилетело обновление до 3.9.8 и я его установил. Если проблема с VPN‐соединением была уже дважды, то, я предполагаю, что она может может возникнуть и в третий раз. Что мне делать когда это снова случится? Куда смотреть чтобы понять в чём именно дело и предотвратить такие разрывы соединения?

Edited May 13 by d6oj3z3

[bigpu]

6 минут назад, d6oj3z3 сказал:

Куда смотреть чтобы понять в чём именно дело и предотвратить такие разрывы соединения?

а в лог что пишет по поводу WG?

[d6oj3z3]

7 часов назад, bigpu сказал:

а в лог что пишет по поводу WG?

Первое действие при возникновении неполадки — просмотр системного журнала в разделе «Диагностика»? Верно я понял?

Edited May 13 by d6oj3z3

[d6oj3z3]

У меня ещё появился вопрос о правильности настройки моего соединения. На самом первом скриншоте в этой теме показаны параметры подключения. В этих параметрах есть галочка «Использовать для выхода в интернет». Каково её назначение? Вот я её не ставлю, но тем не менее в интернет с помощью этого соединения я выхожу. Получается как‐то нелогично.

Я заметил, что эта настройка влияет на появление моего VPN‐подключения в разделе «Приоритеты подключений». Если галочки нет, то раздел выглядит так.

А если её установить, то сюда добавляется VPN‐соединение.

Далее я могу перетащить провайдера вниз списка и таким образом пустить весь трафик через VPN. Получается настройка «Использовать для выхода в интернет» нужна для полной загрузки подключения, а не для какой‐то выборочной маршрутизации?

А как в моём случае нужно правильно использовать этот параметр? Весь трафик в туннель я не пускаю и использую VPN только для отдельных сайтов. Моё соединение работает и без установки этой галочки. Выходит я могу её и не ставить?

[bigpu]

2 часа назад, d6oj3z3 сказал:

Верно я понял?

Именно

[timur1337]

Здравствуйте, столкнулся с такой же проблемой примерно месяц назад и в течение месяца впн работает с перебоями

В чате в тг кинетика писал следующее сообщение, но никто не ответил 

Цитата

 

Добрый день, за последний месяц появились проблемы с wireguard на кинетике.
У меня Extra 1713, обновление 3.9.5. Есть подключение к двум моим личным wireguard серверам на хостинге в европе, всё было ок до некоторого времени, пока соединение не начало отваливаться.
1. В логах кинетика спамится  handshake for peer "****" (5) (****:51820) did not complete after 5 seconds, retrying (try 2)
2. Вкл/выкл туннелей не помогает, ребут роутера тоже не помогает
3. Так же настроен DNS over https, настроил сервера cloudflare, google, comss.one и какое то время, роутер к ним так же немог подключиться, в логах были какие-то ошибки по этому поводу, сейчас не вспомню т к с этим в последние недели всё ок
4. Две впски на которых крутятся wireguard сервера в доступе, к ним могу подключиться с других устройств и интернет есть
5. Соединение восстанавливается само по себе (по крайне мере я ничего специально не делаю для этого) спустя несколько часов.

Не могу понять в чем проблема и не могу локализовать. Сомневаюсь что провайдер режет доступ по wg т к напрямую через ПК например я могу подключиться к впн.

Сейчас попробовал переключить канал обновлений на предварительный, но проблема остается. Думаю еще над тем чтоб попробовать накатить прошлую прошивку (3.9.4), но чет пока не могу найти ее в гугле.

Можете помочь, как решить такую проблему с wg?

 

 

На данный момент обновление 3.9.8, проблема остается актуальной. Галочка "Использовать для выхода в интернет" у меня стояла, пробовал убирать - разницы никакой нет, соединение не восстановилось.

При этом со стороны впс видно что на этом соединении килобайты ходят в обе стороны, и Received и Sent, а со стороны роутера только "Sent", получается где то на роутере проблема 🤔

[Denis P]

Проблема настолько прошивочная что решается аж целым указанием keepalive в N секунд,  если кинетик выступает в роли "клиента". По умолчанию эти ваши модные генераторы конфигов его не указывают.

[timur1337]

1 час назад, Denis P сказал:

Проблема настолько прошивочная что решается аж целым указанием keepalive в N секунд,  если кинетик выступает в роли "клиента". По умолчанию эти ваши модные генераторы конфигов его не указывают.

И каким должен быть N? У меня стоит 30 секунд

[timur1337]

3 минуты назад, ANDYBOND сказал:

Зависит от используемого сервиса. В каждой конфигурации этот параметр есть. Хотя оратор выше его почему-то не замечал как-то.

Хз, у меня во всех конфигах на моих устройствах всегда был какой то кипалайв, но я никогда не предавал этому значения и без него всё прекрасно работало, и с разными значениями работало, но на кинетике - нет.

 

Как то возможно откатить кинетик на какую нибудь например 3.9.0 прошивку?

[bigpu]

5 часов назад, ANDYBOND сказал:

надоело бороться с багами.

в ТП пытались писать, раз именно у вас не работает корректно? Или проще забить?

6 часов назад, ANDYBOND сказал:

Да, проблема прошивочная.

пруф можно, или опять ваши умозаключения и только?

[bigpu]

5 часов назад, Denis P сказал:

Проблема настолько прошивочная что решается аж целым указанием keepalive в N секунд

О чем сказано даже в БД...иногда лучше жевать, чем говорить)

[bigpu]

1 минуту назад, ANDYBOND сказал:

Если же Вас интересуют традиционные опросы общественности о том, есть ли такая проблема у человечества, то такие есть даже на этом форуме.

А у вас все по-старому - так же многословны, и так же все без пруфов...Видимо, и правда, прошивочный баг у WG))

 

7 минут назад, ANDYBOND сказал:

А думать и анализировать - это полезно всегда.

Так и попытайтесь следовать своему же совету - у меня лично WG работает корректно на Кинетик уже с года два скоро, может у меня прошивка какая-то другая, а?

[zyxmon]

13 минуты назад, bigpu сказал:

у меня лично WG работает корректно на Кинетик уже с года два скоро

И у меня не меньше. Настроено на VPS скриптом. Не помню, чтобы хоть раз отвалилось......

[zyxmon]

7 часов назад, ANDYBOND сказал:

лишь у пользователей сервисом WARP СF

Так Вы просто получаете abuse от CF. Пользуйтесь клиентом CF и проблем не будет. Все остальное от лукавого.

[vasek00]

9 часов назад, ANDYBOND сказал:

Да-да, это WG виноват, что везде работает, а в Кинетике - нет (частично).

Так я и подвожу к мысли, что, раз жалобы на WG лишь у пользователей сервисом WARP СF, значит, Кинетик что-то неподоперенёс или добавил отсебятину в протокол, потому через неделю маршрутизатор с конкретной парой ключей этого сервиса работать отказывается раз и навсегда. При этом эти же конфигурации в иных клиентах работают и дальше безо всяких проблем. Но есть два варианта: дать новую пару ключей (порцию свежей крови пользователя), или сброс общий маршрутизатора выполнить и настроить всё с нуля с той же парой ключей. Итог один: ещё неделя работы. Но это - кровопитие, а не работа. Я уж о скоростях молчу...

Про свое подключение, видимо у меня как то "коряво настроено" так как это пока устраивает, но пока скоро год как будет.

1. если есть какие то проблемы/бзики с WG на WARP СF типа разрыва соединения то решается сменой ключей и желательно сменой IP (для быстроты timeout). Делаю на ПК потом переношу на роутер.

2. на данном форуме уже обращал внимание на 7 дневную работу WARP СF - далее разрыв и тишина, решал данный вопрос п.1 через wgcf_2.2.15_linux_arm64 сейчас только на Windows и генератором скриптом пока еще работает warp_config_generator_v6.2 в итоге сессия более 7 дней.

Есть бесплатные WG других сервисов но на что обратил внимания они на 3 или 5 или 7 дней, после новая ген.конфига. Работа его это кол-во дней 3/5/7 и далее опять генерация заново.

На клиенте смартфоне из приложения WARP если посмотреть на лог то там много чего интересного есть. Например куча всяких

https://api.cloudflareclient.com/v.....1/reg или https://api.cloudflareclient.com/v...1/client_config

Скрытый текст

https://api.cloudflareclient.com/cdn-cgi/trace

fl=8xxxxx
h=api.cloudflareclient.com
ip=1xx.xxx.xxx.xx5
ts=1xxxxxxxxx.5xx
visit_scheme=https
uag=Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.167 YaBrowser/22.7.3.829 Yowser/2.5 Safari/537.36
colo=...
sliver=none
http=http/2
loc=RU
tls=TLSv1.3
sni=plaintext
warp=plus
gateway=off
rbi=off
kex=X2xxxx

 

А при генерации ключей на Windows клиенте есть

Скрытый текст

access_token = '2bхххххх-3ххх-4ххх-9ххх-0хххххххххх5'
device_id = '8хххххх2-6ххх-4ххх-bххх-eхххххххххх2'
license_key = '5ххххххх-3ххххххх-4ххххххх'
private_key = 'oL3+ххххххххххххххххххххххххххххххххххххххU='


[Interface]
PrivateKey = oL3+ххххххххххххххххххххххххххххххххххххххU=
Address = 172.16.0.2/32
...
[Peer]
PublicKey = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
...

 

т.е. каждый клиент имеет свой ID/access_token и так же Device name = xxxxxx и Device model = PC и т.д.

Скрытый текст

 

К чему все это

1 час назад, ANDYBOND сказал:

Можно и им пользоваться, а можно и клиентом от разработчиков WG: проблем нет в любом случае. Конфигурации, можно сказать, вечные. А вот Кинетик каждую неделю новую требует. Ну или, как вариант для любителей жести, полный сброс.

Спасибо за подтверждение, что у Кинетика протокол Wireguard - лишь для связи между маршрутизаторами. Как изначально и было.

Потому, да, использую на компьютере локальный клиент. И, действительно, уж год проблем нет.

да к тому что WARP СF думаю - больше для клиентов на которых стоит их приложение.

А читая https://4pda.to/forum/index.php?showtopic=929115&st=6640 так же можно увидеть заморочки у клиентов и заметьте это не роутер.

Edited June 1 by vasek00

[zyxmon]

@ANDYBOND - где тут https://cloudflarewarp.com/ указано, что нужно использовать клиент wireguard? Разработчик предлагает использовать разработанное им приложение. Так и используйте его.

Неужели трудно купить за 2-3$ (за год) VPS и настроить там сервер wireguard. С ним проблем не будет.

[zyxmon]

3 минуты назад, ANDYBOND сказал:

в отличие от клиента у Кинетика

Покажите где CF выложил клиент для кинетика? Расскажите, как Вы его запустили на кинетике.

[zyxmon]

Только что, ANDYBOND сказал:

Для CF нужен просто стандартный клиент протокола WG. Этого достаточно.

Где это написано у CF? Там написано - используйте клиент от CF.

Кто Вам сказал, что у CF стандартный сервер WG. Поставьте стандартный сервер на VPS b c ним проверяйте стандартный клиент кинетика.

[zyxmon]

4 часа назад, ANDYBOND сказал:

Если Wireguard (от публичного провайдера) работает нормально везде, кроме Кинетика

CF не является публичным провайдером WireGuard. Предлагаю Вам купить PureVPN - там в режиме ручной конфигурации указан протокол WG. Это публичный провайдер. CF нигде не указывает, что можно использовать стандартный клиент WG. Разницу видите?

[zyxmon]

4 часа назад, ANDYBOND сказал:

Мне достаточно моего почти двухлетнего опыта со стандартным клиентом от авторов протокола WG.

Возьмите другую mipsel железку с linux на борту и проверьте там работу стандартного клиента WG. После этого обсудим. Openwrt - сойдет.

[ValdikSS]

Наблюдаю похожую проблему на собственном сервере (не Cloudflare Warp).

WireGuard настроен в качестве клиента, для отдельного сегмента сети (подключаюсь через отдельную сеть Wi-Fi). В настройках WireGuard-подключения указан фиксированный исходящий порт.

Если не задавать keep-alive, то соединение выключается и автоматически не поднимается при подключении устройств к сети Wi-Fi. Приходится заходить в интерфейс и переподключать его вручную. Помогает keep-alive, но и с ним соединение периодически выключается, но само переподнимается. Проблема не в сети: у меня белый IP-адрес без NAT (и фиксированный исходящий порт соединения), keep-alive в этом случае не обязателен.

Лог при этом флудится следующими сообщениями без остановки:

 

Jun 5 17:04:51 kernel swnat_mm_realloc: 1135 callbacks suppressed
Jun 5 17:04:51 kernel fastvpn: realloc failed
Jun 5 17:04:51 kernel Core::Syslog: last message repeated 233 times.

 

[Denis P]

39 минут назад, ValdikSS сказал:

Наблюдаю похожую проблему на собственном сервере (не Cloudflare Warp).

WireGuard настроен в качестве клиента, для отдельного сегмента сети (подключаюсь через отдельную сеть Wi-Fi). В настройках WireGuard-подключения указан фиксированный исходящий порт.

Если не задавать keep-alive, то соединение выключается и автоматически не поднимается при подключении устройств к сети Wi-Fi. Приходится заходить в интерфейс и переподключать его вручную. Помогает keep-alive, но и с ним соединение периодически выключается, но само переподнимается. Проблема не в сети: у меня белый IP-адрес без NAT (и фиксированный исходящий порт соединения), keep-alive в этом случае не обязателен.

Лог при этом флудится следующими сообщениями без остановки:

 

Jun 5 17:04:51 kernel swnat_mm_realloc: 1135 callbacks suppressed
Jun 5 17:04:51 kernel fastvpn: realloc failed
Jun 5 17:04:51 kernel Core::Syslog: last message repeated 233 times.

 

Больше похоже не на проблему с wg, а с тем что количество соединений не влезает в hwnat

[ValdikSS]

Только что, Denis P сказал:

Больше похоже не на проблему с wg, а с тем что количество соединений не влезает в hwnat

Я отключал HWNAT для проверки — его отключение не отключает модуль fastvpn, а ошибки от него.

С какими-либо другими соединениями, в т.ч. VPN-соединениями по другим протоколам, проблем не наблюдается.

WireGuard — это просто туннель, без какого-либо протокола соединения как такового. Я ожидаю, что он будет постоянно включён и не будет выключаться автоматически, тем более без keep-alive'а.

[zyxmon]

3 часа назад, ANDYBOND сказал:

Увы, предсказуемая неудача.

У меня за два годе ни одного разрыва.

А Вы как  тут - 

 

[bigpu]

12 минуты назад, zyxmon сказал:

У меня за два годе ни одного разрыва.

...а почему вы рекламируете все положительное, а здесь вы говорите все совсем по-другому?😂

[zyxmon]

6 минут назад, bigpu сказал:

...а почему вы рекламируете все положительное, а здесь вы говорите все совсем по-другому?😂

Не понял. Я никогда не говорил, что у кинетиков нет глюков и багов. Есть - иногда об этом тут пишу, иногда в другом месте. Но по поводу Wireguard - я использую wireguard на VPS. Настроен он был (сечас посмотрел) в январе 2021. Проблем не было. И мне странно слышать, что у других проблемы.

WG включен постоянно. Раньше маршрутизация была через bird, теперь AdGuardHome + ipset. У меня все это время 

Giga (KN-1010) RU. Прошивки релизные, draft не ставлю. IPoE.

Насчет CloudFlare - это не WireGuard, это на основе WG и работать с WG не обязано.

[zyxmon]

1 минуту назад, ANDYBOND сказал:

Вот. А о проблемах речь при использовании исключительно штатного функционала прошивок.

WG поднят штатно и не рвется. Работает постоянно.

[zyxmon]

PS keepalive включен (конфиг создан скриптом  https://github.com/Nyr/wireguard-install в январе 2021).

[bigpu]

15 минут назад, zyxmon сказал:

Не понял. Я никогда не говорил, что у кинетиков нет глюков и багов

Да это фраза с видео, что вы скинули, не более)

17 минут назад, zyxmon сказал:

Настроен он был (сечас посмотрел) в январе 2021. Проблем не было. И мне странно слышать, что у других проблемы.

Аналогично, и у меня проблем нет. Увидев я данный баг у себя, или тут создал бы кейс или в ТП пошёл помогая и себе и другим тем самым. А тут одна полемика на данный момент и толку ноль с того, ожидаемо.

[ValdikSS]

Да, похоже, действительно какой-то баг.

Перезапустил роутер, никак не использовал соединение — упало через 3 минуты (186 секунд latest handshake). В логах при этом абсолютно никаких записей об изменении состояния соединения.

Записал видео и отправил в поддержку.