Почему к VPN Wireguard удается подключиться через раз?

Question

[Markscheider]

Вводные: на зарубежном VPS поднят сервер Wireguard. Настраивался по стоковому мануалу, взлетел с первого раза. Используется для периодического подключения 10 клиентов (НЕ все сразу, НЕ 24/7).

Месяца два спустя стали появляться необъяснимые проблемы с подключением к VPN. Необъяснимые потому, что коннект мог пропасть и вновь появиться через два часа (на одном и том же устройстве) или, например, на одном ПК коннект есть, на другом - нет (оба - Windows, в одной локальной сети).
Ошибка возникает эпизодически, без какой-либо системы. Как на ПК (Win, Ubuntu), так и на смартфонах Android. От типа подключения (из дома из-за роутера/напрямую через мобильную сеть) тоже не зависит. Новые учетки создавать пробовал.

В логах видно, что не проходит хендшейк:
Sending handshake initiation to peer 1 (ХХ.ХХ.Х.ХХ:53908)
Handshake for peer 1 (ХХ.ХХ.Х.ХХ:53908) did not complete after 5 seconds, retrying

Сервер в порядке, ВПН на нем крутится, интерфейс wg0 поднят.

Гугление особого результата не дало: видно, что такие проблемы встречаются, но четкого ответа, в чем дело, никто не дает.

Comments

[Drno]

на серваке какая загрузка по ЦП и озу? мож забито?
какая активность в эти моменты на внешнем инет порту сервака? мож вас ддосят )
фаерволл вообще настроен? чтоб лишние люди не ломились по ssh и другим портам?

[Markscheider]

Drno, смотрел статистику на сервере - никаких подозрительных всплесков. Буду глядеть более конкретно, в моменты, когда не коннектится. У хостера есть штатная защита от ддоса, но, согласен, этот вопрос надо раскурить более подробно.

[Drno]

Markscheider, защиты от ддос у Вас не будет, т.к не веб сервер же... и обычно это для хостинга, а для VPS отдельно подключается

[Markscheider]

Разобрался вроде.
Поддержка говорит, что они периодически режут весь UDP-трафик. Отсюда и проблемы, видимо.

Answer 1

[Ищю в поисковиках]

1. Провайдер может подключиться к защите от ддос и проксировать весь траффик через такой сервис, из минусов - чтобы определить, что вы не бот, периодически, часть пакетов будет отбрасываться (обычно syn), повтор отправки syn ведёт к успешному подключению
2. Более похожее на ваш случай, есть предположение, что провайдер поставил ТСПУ и он уже часть трафика отбрасывает.

В общем случае - нужна диагностика. Попробуйте запустить ping, при подключении, traceroute (mtr) и посмотреть результаты.

Также посмотреть через tcpdump - что приходит на сервер.

Получив информацию, уже можно сделать какие-то выводы.

А пока получится только пальцем в небо тыкнуть.

Answer 2

[Markscheider]

Гипотезу о фильтрации трафика (на сторонах хостера и провайдера) будем проверять. Но это не объясняет случаев, когда два компьютера из одной локальной сети ведут себя по-разному (у одного ВПН подключается, а у другого в этот же момент - нет).

Comments

[Zerg89]

Похоже на проблему с нат, так как подключение уже есть он пытается трафик отправить в созданный канал, или он не может создать vpn канал так как такой уже есть, уменя такой глюк с l2tp/ipsec был

[Markscheider]

Zerg89, как победили?
В сторону NAT думал, но пока не нашел рабочего способа проблему пофиксить

[Zerg89]

Markscheider, разные vpn(openVpn), либо постоянный туннель между роутерами (роутером и сервером) и маршрутизация