john ibsuser Posted March 2 Share Posted March 2 (edited) Привет! Прошивка 4.1.0 Dev. Хотел использовать WireGuard поверх ZeroTier, на моем роутере нет места под entware а USB порт уже занят, так что был рад, когда появилась встроенная поддержка ZT. Столкнулся со странными проблемами при попытке пустить что WireGuard, что OpenVPN (UDP), что L2TP поверх ZeroTier. Сам ZeroTier интерфейс пингом и по tcp работает стабильно, потерь нет, пинг почти такой же как на VPS напрямую. Далее на примере L2TP, быстрее всего в докере на VPS (перед запуском создать /etc/l2tp.env ), 10.1.1.2 - интерфейс zerotier. Можно оставить и все интерфейсы,. но цель чтобы наружу никакие порты VPN не торчали. docker run -d --privileged -p 10.1.1.2:500:500/udp -p 10.1.1.2:4500:4500/udp --name l2tp --restart=always --env-file /etc/l2tp.env -v /lib/modules:/lib/modules teddysun/l2tp Создаем wireguard/ovpn/l2tp на кинетике обычным образом, использовать для выхода в интернет, и.т.п. Дополнительно телнетом (думал, что фича для wireguard peer [xxx] via решит проблему, но нет): interface ZeroTier0 zerotier connect via ISP interface L2TP0 connect via ZeroTier0 А дальше соединение поднимается, работает от нескольких секунд (для wireguard) до десятков секунд (для l2tp) и глючит примерно таким образом (для l2tp), с устройства подключенному к кинетику которое пустил через VPN: Spoiler Reply from 1.1.1.1: bytes=32 time=2ms TTL=57 Reply from 1.1.1.1: bytes=32 time=2ms TTL=57 Reply from 1.1.1.1: bytes=32 time=2ms TTL=57 Reply from 1.1.1.1: bytes=32 time=2ms TTL=57 Reply from 1.1.1.1: bytes=32 time=2ms TTL=57 [включили VPN] Reply from 1.1.1.1: bytes=32 time=42ms TTL=56 Reply from 1.1.1.1: bytes=32 time=42ms TTL=56 Reply from 1.1.1.1: bytes=32 time=42ms TTL=56 Reply from 1.1.1.1: bytes=32 time=41ms TTL=56 Reply from 1.1.1.1: bytes=32 time=300ms TTL=56 Reply from 1.1.1.1: bytes=32 time=400ms TTL=56 Reply from 1.1.1.1: bytes=32 time=42ms TTL=56 Reply from 1.1.1.1: bytes=32 time=41ms TTL=56 Reply from 1.1.1.1: bytes=32 time=1200ms TTL=56 Reply from 1.1.1.1: bytes=32 time=1356ms TTL=56 [далее долго no reply, иногда прорывается 3-4 ответа, но функционально VPN умер до перезапуска] С этим же конфигом, только не на zerotier а на внешнем интерфейсе VPS все работает. Коннект у zt0 не идет через сеть zerotier, так как один из пиров имеет внешний IP. Есть ли идеи, куда копать? Edited March 2 by john ibsuser Quote Link to comment Share on other sites More sharing options...
john ibsuser Posted March 2 Author Share Posted March 2 (edited) update: по какой-то причине в момент включения vpn zerotier теряет пиров / mac-адреса. На кинетике: wps - display WPS interface info zerotier - display ZeroTier interface info (config)> show interface ZeroTier0 mac ================================================================================ Port MAC Aging VLAN ================================================================================ ZeroT [удОлил]:e0 0 0 (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac ================================================================================ Port MAC Aging VLAN ================================================================================ ZeroT [удОлил]:e0 0 0 (config)> show interface ZeroTier0 mac ================================================================================ Курил tcpdump, кто-нибудь может пояснить как трафик (часть трафика?) zerotier начинает течь через WireGuard. Зачем тогда для zerotier настройка Connect via... tcpdump на интерфейсе WireGuard: Edited March 2 by john ibsuser Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.