Как проверить, что wireguard не заблокирован?

Question

[Ярослав]

Есть у меня VPS сервер в Европе на Scaleway , и на нем крутился Wireguard. Теперь же почему-то не работает.... Ну и есть же подозрения на пакостников из роскомнадзора... Просто UDP трафик на разные порты проходит, но запустить на этих портах wireguard не получилось - возможно, через DPI блочится?

В логах клиента это выглядит так:
[ 5271.318754] wireguard: wg0: Interface created
[ 5271.324859] wireguard: wg0: Peer 20 created
[ 5271.339164] wireguard: wg0: Sending keepalive packet to peer 20 (123.123.123.123:7777)
[ 5271.339172] wireguard: wg0: Sending handshake initiation to peer 20 (123.123.123.123:7777)
[ 5276.450997] wireguard: wg0: Sending handshake initiation to peer 20 (123.123.123.123:7777)

(вместо 123.123.123.123 - IP моего VPS сервера и порт wireguard'а).

Вот возникла у меня мысль - а ведь wireguard ходит по обычному UDP, причем даже по высоким (непривелигированным) портам. Значит... вполне может существовать простой способ проверки, какой-нибудь wg-test, чтобы запустить его на обоих машинах, дать ему адрес сервера, и он бы попробовал установить wireguard соединение и передать какой-то контент (при этом в нем уже вшиты верные ключи). Есть ли что-то такое, или какой-то другой способ убедиться в одной из двух версий:
1. Wireguard не блокируется. Раз не работает - надо еще внимательнее искать ошибку в конфигурации, где-то что-то напутал
2. Wireguard блокируется. Не надо искать свою ошибку, проблема не на клиенте.

P.S.
соединения с другими wg серверами с того же компа - работает.

Answer 1

[ValdikSS]

Самый простой вариант — отправить любой мусор первым UDP-пакетом, а затем устанавливать соединение.

1. В конфигурационном файле клиента задать статичный ListenPort, например, ListenPort = 56789
2. Выполнить

sudo nping --udp --count 1 --data-length 16 --source-port 56789 --dest-port DEST_PORT DEST_IP

3. Подключаться.

https://ntc.party/t/wireguard/4968/6

Comments

[Ярослав]

Отлично, помогло! Выходит, в самом деле DPI/РКН. Но я чуть автоматизировал - вставил это прямо в конфиг клиента wireguard, получилось примерно вот так:

[Interface]
PrivateKey = ....
Address = 10.9.0.2/24
ListenPort = 12345

PreUp = nping --udp --count 1 --data-length 16 --source-port 12345 --dest-port 12345 123.123.123.123

Сейчас, при wg-quiсk up wg0 автоматически сначала nping дурит DPI, а затем уже запускается обычный wireguard.

[MrBoRsCH]

Ярослав, Это вы прописали в конфиге клиента? WG-Клиент на Android запись PreUp не понимает.

[Terbyn]

MrBoRsCH, он прописал это в конфиге сервера.

А мне не совсем понятно вот что: в команде --dest-port DEST_PORT DEST_IP, какой IP указывать? IP клиента?

например у меня клиенты получают IP 10.0.0.2\24

Значит для меня команда так будет выглядеть: nping --udp --count 1 --data-length 16 --source-port 12345 --dest-port 12345 10.0.0.4(например)

[Ярослав]

MrBoRsCH, `PreUp` - это в конфиге клиента на Linux. Просто вызов команды перед поднятием тоннеля. Не знаю, понимает ли на андроиде эту команду, но она ведь вызывает еще и nping, то есть, чтобы она успешно отработала, и он должен быть на андроиде в таком случае - скорее всего она все равно работать не будет.

[Ярослав]

Terbyn, нет, конфиг сервера - обычный (и в этом большой плюс - работает даже с чужими wireguard серверами, если они блокируются через DPI, а не через IP/порты). Это прописывается на клиенте, чтобы перед соединением послать на сервер какой-то мусор и сбить с толку DPI. Соответственна, DEST_PORT и DEST_IP - это порт и IP адрес сервера. Настоящий, белый IP адрес (не приватный, который раздаваться будет). Но важно на клиентской стороне зафиксировать порт и его же указывать для nping (в моем примере, это 12345).

По сути вся эта строчка PreUp нужна просто для того чтобы автоматом пробивать дорогу через DPI. Сначала надо убедиться что вручную это работает (nping .... запускать руками, потом запускать wg), а потом уже перенести в PreUp.

Answer 2

[Drno]

Вполне может блочится. Т..к тот же опенВПн уже частично блокируют. переползайте на SSTP

Comments

[Pifagorr]

Блочится опен и вг уже неделю на рандомных udp. Видимо уже навсегда тормознули.

[Ярослав]

Pifagorr, не весь wg блочится (у меня несколько, вот scaleway блочится, и google cloud похоже, блочится, но есть который работает без всяких хитростей, да еще и на 51821 порту). Ну и решение от ValdikSS рабочее, мне помогло.

[Drno]

Ярослав, да, решение пока есть... но дальше будет хуже, судя по всему

[Ярослав]

Drno, да тут уже все так плохо, и дальше будет настолько хуже, что о проблемах с VPNом на этом фоне у меня меньше всего беспокойств :-)

[Drno]

Ярослав, ну я не к этому, а в плане что работать то надо как то. Поэтому и варианты с впн меняются)