Периодически отваливается VPN‐соединение через Wireguard

[d6oj3z3]

Всем привет! Добавил в систему роутера компонент «Wireguard VPN», зашёл в раздел «Другие подключения» и сделал загрузку конфигурации Wireguard из файла. Получилось соединение вот с такими параметрами.

Добавил вот такой статический маршрут до 2ip.ru, чтобы наглядно было видно работает VPN‐соединение или нет.

В разделе «Другие подключения» у моего соединения зелёный индикатор и 2ip.ru выдаёт адрес моего VPN — всё работает.

Проходит две недели и VPN работать перестаёт. Нужные мне сайты не открываются и на 2ip.ru я вижу адрес провайдера, а не VPN. В разделе «Другие подключения» вместо зелёного отображается уже серый индикатор.

Открываю клиент Wireguard на компьютере. Загружаю туда тот же файл конфигурации, что и на роутере. Активирую соединение и туннель начитает работать. Захожу на 2ip.ru и вижу адрес VPN. Пробую зайти на заблокированные сайты и они открываются. Значит дело не в VPN‐сервере, не в файле конфигурации или провайдере. Далее в разделе «Другие подключения» переключателем несколько раз пробую выключить и включить соединение, но индикатор зелёным никак не загорается и подключение не восстанавливается.

Пробую перезагрузить роутер, но это не помогает. Сбрасываю его до заводских настроек и прохожу первичную настройку мастером подключения. Далее загружаю настройки Wireguard из файла. Соединение устанавливается и индикатор подключения горит зелёным. Добавляю статические маршруты из bat‐файла. Захожу на 2ip.ru и вижу адрес VPN — всё в порядке! Продолжаю пользоваться этим соединением.

После сброса и повторной настройки VPN я никакие настройки не трогаю и вообще не захожу в админку роутера. Проходит неделя и VPN снова отваливается. Далее всё как и в первый раз. В разделе «Другие подключения» я вижу серый индикатор, проверяю работу соединения в клиенте на компьютере, делаю сброс до заводских настроек, импортирую два файла и таким образом восстанавливаю работу VPN‐подключения.

В первый раз я думал, что VPN сломался от каких‐то моих неправильных действий. Но что произошло во второй раз? Я же вообще ничего не трогал! Оба эти случая произошли на прошивке 3.9.5. Когда я второй раз сбрасывал роутер, на него прилетело обновление до 3.9.8 и я его установил. Если проблема с VPN‐соединением была уже дважды, то, я предполагаю, что она может может возникнуть и в третий раз. Что мне делать когда это снова случится? Куда смотреть чтобы понять в чём именно дело и предотвратить такие разрывы соединения?

Edited May 13 by d6oj3z3

[bigpu]

6 минут назад, d6oj3z3 сказал:

Куда смотреть чтобы понять в чём именно дело и предотвратить такие разрывы соединения?

а в лог что пишет по поводу WG?

[d6oj3z3]

7 часов назад, bigpu сказал:

а в лог что пишет по поводу WG?

Первое действие при возникновении неполадки — просмотр системного журнала в разделе «Диагностика»? Верно я понял?

Edited May 13 by d6oj3z3

[d6oj3z3]

У меня ещё появился вопрос о правильности настройки моего соединения. На самом первом скриншоте в этой теме показаны параметры подключения. В этих параметрах есть галочка «Использовать для выхода в интернет». Каково её назначение? Вот я её не ставлю, но тем не менее в интернет с помощью этого соединения я выхожу. Получается как‐то нелогично.

Я заметил, что эта настройка влияет на появление моего VPN‐подключения в разделе «Приоритеты подключений». Если галочки нет, то раздел выглядит так.

А если её установить, то сюда добавляется VPN‐соединение.

Далее я могу перетащить провайдера вниз списка и таким образом пустить весь трафик через VPN. Получается настройка «Использовать для выхода в интернет» нужна для полной загрузки подключения, а не для какой‐то выборочной маршрутизации?

А как в моём случае нужно правильно использовать этот параметр? Весь трафик в туннель я не пускаю и использую VPN только для отдельных сайтов. Моё соединение работает и без установки этой галочки. Выходит я могу её и не ставить?

[ANDYBOND]

18 минут назад, d6oj3z3 сказал:

Получается настройка «Использовать для выхода в интернет» нужна для полной загрузки подключения, а не для какой‐то выборочной маршрутизации?

Да.

18 минут назад, d6oj3z3 сказал:

А как в моём случае нужно правильно использовать этот параметр?

Как есть, т.е. не ставить галочку, ибо есть статические маршруты, а они имеют максимальный приоритет.

[bigpu]

2 часа назад, d6oj3z3 сказал:

Верно я понял?

Именно

[timur1337]

Здравствуйте, столкнулся с такой же проблемой примерно месяц назад и в течение месяца впн работает с перебоями

В чате в тг кинетика писал следующее сообщение, но никто не ответил 

Цитата

 

Добрый день, за последний месяц появились проблемы с wireguard на кинетике.
У меня Extra 1713, обновление 3.9.5. Есть подключение к двум моим личным wireguard серверам на хостинге в европе, всё было ок до некоторого времени, пока соединение не начало отваливаться.
1. В логах кинетика спамится  handshake for peer "****" (5) (****:51820) did not complete after 5 seconds, retrying (try 2)
2. Вкл/выкл туннелей не помогает, ребут роутера тоже не помогает
3. Так же настроен DNS over https, настроил сервера cloudflare, google, comss.one и какое то время, роутер к ним так же немог подключиться, в логах были какие-то ошибки по этому поводу, сейчас не вспомню т к с этим в последние недели всё ок
4. Две впски на которых крутятся wireguard сервера в доступе, к ним могу подключиться с других устройств и интернет есть
5. Соединение восстанавливается само по себе (по крайне мере я ничего специально не делаю для этого) спустя несколько часов.

Не могу понять в чем проблема и не могу локализовать. Сомневаюсь что провайдер режет доступ по wg т к напрямую через ПК например я могу подключиться к впн.

Сейчас попробовал переключить канал обновлений на предварительный, но проблема остается. Думаю еще над тем чтоб попробовать накатить прошлую прошивку (3.9.4), но чет пока не могу найти ее в гугле.

Можете помочь, как решить такую проблему с wg?

 

 

На данный момент обновление 3.9.8, проблема остается актуальной. Галочка "Использовать для выхода в интернет" у меня стояла, пробовал убирать - разницы никакой нет, соединение не восстановилось.

При этом со стороны впс видно что на этом соединении килобайты ходят в обе стороны, и Received и Sent, а со стороны роутера только "Sent", получается где то на роутере проблема 🤔

[ANDYBOND]

1 час назад, timur1337 сказал:

проблема остается актуальной

Да, проблема прошивочная. Сам по этой причине давно отказался от идеи WG на маршрутизаторе.

[ANDYBOND]

Отдельно напишу.

Да, если использовать WARP от CF, то помогает смена ключей. Точнее говоря, просто перезапускает таймер срабатывания проблемы. Сначала думал, что это из-за обещанных CF мер по борьбе с нефирменными клиентами, но потом, случайно проверив несколько пар ключей, увидел, что, нет, нормально всё. После очередного такого случая я сразу проверил соединение на компьютере, убедился, что оно нормально работает, после чего прекратил использование WG на маршрутизаторе.

[Denis P]

Проблема настолько прошивочная что решается аж целым указанием keepalive в N секунд,  если кинетик выступает в роли "клиента". По умолчанию эти ваши модные генераторы конфигов его не указывают.

[ANDYBOND]

10 минут назад, Denis P сказал:

По умолчанию эти ваши модные генераторы конфигов его не указывают.

Не знаю, о чём речь.

11 минуту назад, Denis P сказал:

Проблема настолько прошивочная что решается аж целым указанием keepalive в N секунд,  если кинетик выступает в роли "клиента".

Так 15 секунд указывал из раза в раз. Только бестолку. И на н-ный раз - надоело бороться с багами.

[timur1337]

1 час назад, Denis P сказал:

Проблема настолько прошивочная что решается аж целым указанием keepalive в N секунд,  если кинетик выступает в роли "клиента". По умолчанию эти ваши модные генераторы конфигов его не указывают.

И каким должен быть N? У меня стоит 30 секунд

[ANDYBOND]

2 минуты назад, timur1337 сказал:

И каким должен быть N?

Зависит от используемого сервиса. В каждой конфигурации этот параметр есть. Хотя оратор выше его почему-то не замечал как-то.

[timur1337]

3 минуты назад, ANDYBOND сказал:

Зависит от используемого сервиса. В каждой конфигурации этот параметр есть. Хотя оратор выше его почему-то не замечал как-то.

Хз, у меня во всех конфигах на моих устройствах всегда был какой то кипалайв, но я никогда не предавал этому значения и без него всё прекрасно работало, и с разными значениями работало, но на кинетике - нет.

 

Как то возможно откатить кинетик на какую нибудь например 3.9.0 прошивку?

[ANDYBOND]

1 минуту назад, timur1337 сказал:

3.9.0 прошивку?

Можно. Но там тоже та же проблема.

2 минуты назад, timur1337 сказал:

на кинетике - нет

Здесь рассматривается случай, когда наглухо перестаёт работать заведомо рабочая конфигурация. Если же при 30 секундах Ваше соединение срывается, то ставьте 15 секунд. Если нет оригинальной конфигурации. Если есть - впишите из неё.

 

4 минуты назад, timur1337 сказал:

я никогда не предавал этому значения и без него всё прекрасно работало

В фирменном приложении разработчиков WG? Верю, ибо оно там умное в этом плане. Но это не отменяет необходимости указывать все параметры в общем случае.

[bigpu]

5 часов назад, ANDYBOND сказал:

надоело бороться с багами.

в ТП пытались писать, раз именно у вас не работает корректно? Или проще забить?

6 часов назад, ANDYBOND сказал:

Да, проблема прошивочная.

пруф можно, или опять ваши умозаключения и только?

[bigpu]

5 часов назад, Denis P сказал:

Проблема настолько прошивочная что решается аж целым указанием keepalive в N секунд

О чем сказано даже в БД...иногда лучше жевать, чем говорить)

[ANDYBOND]

3 минуты назад, bigpu сказал:

в ТП пытались писать, раз именно у вас не работает корректно? Или проще забить?

Нет смысла сражаться за стабильные 20 Мб/с, если можно локально иметь стабильно 90 Мб/с. Потому ерундой не занимался.

5 минут назад, bigpu сказал:

пруф можно, или опять ваши умозаключения и только?

А думать и анализировать - это полезно всегда. Если конфигурация работает не на маршрутизаторе бесконечно долго, а на маршрутизаторе только неделю максимум, то вопрос к прошивке маршрутизатора явно. Если же Вас интересуют традиционные опросы общественности о том, есть ли такая проблема у человечества, то такие есть даже на этом форуме.

[bigpu]

1 минуту назад, ANDYBOND сказал:

Если же Вас интересуют традиционные опросы общественности о том, есть ли такая проблема у человечества, то такие есть даже на этом форуме.

А у вас все по-старому - так же многословны, и так же все без пруфов...Видимо, и правда, прошивочный баг у WG))

 

7 минут назад, ANDYBOND сказал:

А думать и анализировать - это полезно всегда.

Так и попытайтесь следовать своему же совету - у меня лично WG работает корректно на Кинетик уже с года два скоро, может у меня прошивка какая-то другая, а?

[zyxmon]

13 минуты назад, bigpu сказал:

у меня лично WG работает корректно на Кинетик уже с года два скоро

И у меня не меньше. Настроено на VPS скриптом. Не помню, чтобы хоть раз отвалилось......

[ANDYBOND]

13 часа назад, bigpu сказал:

.Видимо, и правда, прошивочный баг у WG))

Да-да, это WG виноват, что везде работает, а в Кинетике - нет (частично).

13 часа назад, bigpu сказал:

Так и попытайтесь следовать своему же совету

Так я и подвожу к мысли, что, раз жалобы на WG лишь у пользователей сервисом WARP СF, значит, Кинетик что-то неподоперенёс или добавил отсебятину в протокол, потому через неделю маршрутизатор с конкретной парой ключей этого сервиса работать отказывается раз и навсегда. При этом эти же конфигурации в иных клиентах работают и дальше безо всяких проблем. Но есть два варианта: дать новую пару ключей (порцию свежей крови пользователя), или сброс общий маршрутизатора выполнить и настроить всё с нуля с той же парой ключей. Итог один: ещё неделя работы. Но это - кровопитие, а не работа. Я уж о скоростях молчу...

13 часа назад, bigpu сказал:

А у вас все по-старому - так же многословны, и так же все без пруфов.

У Вас научился: плохому учишься быстро. А поиск по форуму никто не отменял.

[zyxmon]

7 часов назад, ANDYBOND сказал:

лишь у пользователей сервисом WARP СF

Так Вы просто получаете abuse от CF. Пользуйтесь клиентом CF и проблем не будет. Все остальное от лукавого.

[ANDYBOND]

20 минут назад, zyxmon сказал:

Так Вы просто получаете abuse от CF

И за 10 секунд он снимается (пока включу эту же конфигурацию на компьютере)? И, допустим, это так. Тогда чем помогает полный сброс с последующим восстановлением настроек? Ведь устройство в обличье не меняется.

20 минут назад, zyxmon сказал:

Пользуйтесь клиентом CF и проблем не будет

Можно и им пользоваться, а можно и клиентом от разработчиков WG: проблем нет в любом случае. Конфигурации, можно сказать, вечные. А вот Кинетик каждую неделю новую требует. Ну или, как вариант для любителей жести, полный сброс.

[ANDYBOND]

25 минут назад, zyxmon сказал:

Все остальное от лукавого.

Спасибо за подтверждение, что у Кинетика протокол Wireguard - лишь для связи между маршрутизаторами. Как изначально и было.

Потому, да, использую на компьютере локальный клиент. И, действительно, уж год проблем нет.

[vasek00]

9 часов назад, ANDYBOND сказал:

Да-да, это WG виноват, что везде работает, а в Кинетике - нет (частично).

Так я и подвожу к мысли, что, раз жалобы на WG лишь у пользователей сервисом WARP СF, значит, Кинетик что-то неподоперенёс или добавил отсебятину в протокол, потому через неделю маршрутизатор с конкретной парой ключей этого сервиса работать отказывается раз и навсегда. При этом эти же конфигурации в иных клиентах работают и дальше безо всяких проблем. Но есть два варианта: дать новую пару ключей (порцию свежей крови пользователя), или сброс общий маршрутизатора выполнить и настроить всё с нуля с той же парой ключей. Итог один: ещё неделя работы. Но это - кровопитие, а не работа. Я уж о скоростях молчу...

Про свое подключение, видимо у меня как то "коряво настроено" так как это пока устраивает, но пока скоро год как будет.

1. если есть какие то проблемы/бзики с WG на WARP СF типа разрыва соединения то решается сменой ключей и желательно сменой IP (для быстроты timeout). Делаю на ПК потом переношу на роутер.

2. на данном форуме уже обращал внимание на 7 дневную работу WARP СF - далее разрыв и тишина, решал данный вопрос п.1 через wgcf_2.2.15_linux_arm64 сейчас только на Windows и генератором скриптом пока еще работает warp_config_generator_v6.2 в итоге сессия более 7 дней.

Есть бесплатные WG других сервисов но на что обратил внимания они на 3 или 5 или 7 дней, после новая ген.конфига. Работа его это кол-во дней 3/5/7 и далее опять генерация заново.

На клиенте смартфоне из приложения WARP если посмотреть на лог то там много чего интересного есть. Например куча всяких

https://api.cloudflareclient.com/v.....1/reg или https://api.cloudflareclient.com/v...1/client_config

Скрытый текст

https://api.cloudflareclient.com/cdn-cgi/trace

fl=8xxxxx
h=api.cloudflareclient.com
ip=1xx.xxx.xxx.xx5
ts=1xxxxxxxxx.5xx
visit_scheme=https
uag=Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.167 YaBrowser/22.7.3.829 Yowser/2.5 Safari/537.36
colo=...
sliver=none
http=http/2
loc=RU
tls=TLSv1.3
sni=plaintext
warp=plus
gateway=off
rbi=off
kex=X2xxxx

 

А при генерации ключей на Windows клиенте есть

Скрытый текст

access_token = '2bхххххх-3ххх-4ххх-9ххх-0хххххххххх5'
device_id = '8хххххх2-6ххх-4ххх-bххх-eхххххххххх2'
license_key = '5ххххххх-3ххххххх-4ххххххх'
private_key = 'oL3+ххххххххххххххххххххххххххххххххххххххU='


[Interface]
PrivateKey = oL3+ххххххххххххххххххххххххххххххххххххххU=
Address = 172.16.0.2/32
...
[Peer]
PublicKey = bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=
...

 

т.е. каждый клиент имеет свой ID/access_token и так же Device name = xxxxxx и Device model = PC и т.д.

Скрытый текст

 

К чему все это

1 час назад, ANDYBOND сказал:

Можно и им пользоваться, а можно и клиентом от разработчиков WG: проблем нет в любом случае. Конфигурации, можно сказать, вечные. А вот Кинетик каждую неделю новую требует. Ну или, как вариант для любителей жести, полный сброс.

Спасибо за подтверждение, что у Кинетика протокол Wireguard - лишь для связи между маршрутизаторами. Как изначально и было.

Потому, да, использую на компьютере локальный клиент. И, действительно, уж год проблем нет.

да к тому что WARP СF думаю - больше для клиентов на которых стоит их приложение.

А читая https://4pda.to/forum/index.php?showtopic=929115&st=6640 так же можно увидеть заморочки у клиентов и заметьте это не роутер.

Edited June 1 by vasek00

[ANDYBOND]

19 минут назад, vasek00 сказал:

WARP СF думаю - больше для клиентов на которых стоит их приложение.

 

1 час назад, ANDYBOND сказал:

можно и клиентом от разработчиков WG: проблем нет в любом случае

Потому клиенты разные, а проблемный только Кинетик. Увы. Хотя - к счастью, что только он.

[ANDYBOND]

21 минуту назад, vasek00 сказал:

заморочки

То с WARP+ заморочки, и с отсебятиной. Читал.

[zyxmon]

@ANDYBOND - где тут https://cloudflarewarp.com/ указано, что нужно использовать клиент wireguard? Разработчик предлагает использовать разработанное им приложение. Так и используйте его.

Неужели трудно купить за 2-3$ (за год) VPS и настроить там сервер wireguard. С ним проблем не будет.

[ANDYBOND]

3 минуты назад, zyxmon сказал:

нужно использовать клиент wireguard?

Это не нужно, но можно, и отлично работает. Как и фирменное приложение. И всё это - в отличие от клиента у Кинетика. Почему - не знаю.

[zyxmon]

3 минуты назад, ANDYBOND сказал:

в отличие от клиента у Кинетика

Покажите где CF выложил клиент для кинетика? Расскажите, как Вы его запустили на кинетике.