Почему к VPN Wireguard удается подключиться через раз?
Вводные: на зарубежном VPS поднят сервер Wireguard. Настраивался по стоковому мануалу, взлетел с первого раза. Используется для периодического подключения 10 клиентов (НЕ все сразу, НЕ 24/7).
Месяца два спустя стали появляться необъяснимые проблемы с подключением к VPN. Необъяснимые потому, что коннект мог пропасть и вновь появиться через два часа (на одном и том же устройстве) или, например, на одном ПК коннект есть, на другом - нет (оба - Windows, в одной локальной сети).
Ошибка возникает эпизодически, без какой-либо системы. Как на ПК (Win, Ubuntu), так и на смартфонах Android. От типа подключения (из дома из-за роутера/напрямую через мобильную сеть) тоже не зависит. Новые учетки создавать пробовал.
В логах видно, что не проходит хендшейк:
Sending handshake initiation to peer 1 (ХХ.ХХ.Х.ХХ:53908)
Handshake for peer 1 (ХХ.ХХ.Х.ХХ:53908) did not complete after 5 seconds, retrying
Сервер в порядке, ВПН на нем крутится, интерфейс wg0 поднят.
Гугление особого результата не дало: видно, что такие проблемы встречаются, но четкого ответа, в чем дело, никто не дает.
на серваке какая загрузка по ЦП и озу? мож забито?
какая активность в эти моменты на внешнем инет порту сервака? мож вас ддосят )
фаерволл вообще настроен? чтоб лишние люди не ломились по ssh и другим портам?
Drno, смотрел статистику на сервере - никаких подозрительных всплесков. Буду глядеть более конкретно, в моменты, когда не коннектится. У хостера есть штатная защита от ддоса, но, согласен, этот вопрос надо раскурить более подробно.
1. Провайдер может подключиться к защите от ддос и проксировать весь траффик через такой сервис, из минусов - чтобы определить, что вы не бот, периодически, часть пакетов будет отбрасываться (обычно syn), повтор отправки syn ведёт к успешному подключению
2. Более похожее на ваш случай, есть предположение, что провайдер поставил ТСПУ и он уже часть трафика отбрасывает.
В общем случае - нужна диагностика. Попробуйте запустить ping, при подключении, traceroute (mtr) и посмотреть результаты.
Также посмотреть через tcpdump - что приходит на сервер.
Получив информацию, уже можно сделать какие-то выводы.
Гипотезу о фильтрации трафика (на сторонах хостера и провайдера) будем проверять. Но это не объясняет случаев, когда два компьютера из одной локальной сети ведут себя по-разному (у одного ВПН подключается, а у другого в этот же момент - нет).
Похоже на проблему с нат, так как подключение уже есть он пытается трафик отправить в созданный канал, или он не может создать vpn канал так как такой уже есть, уменя такой глюк с l2tp/ipsec был