Почему происходят периодичесские отвалы Wireguard?

Question

[radioactivetoy]

Здравствуйте, имеется довольно таки простая конфигурация wireguard - с одной стороны микротик, с другой комп на винде, и довольно странная проблема.
Покажу сразу пример конфигурации

Wireguard Client Windows

[Interface]
PrivateKey = *****
Address = 10.10.10.100/32
DNS = 8.8.8.8

[Peer]
PublicKey = *****
AllowedIPS = 192.168.1.0, 192.168.100.0/24, 10.10.10.0/24
Endpoint = WANIPMikrotik:Port
PersistentKeepAlive = 25

Mikrotik

[Interface]
ListenPort = ***
PrivateKey = *****

[Peer]
PublicKey = *****
AllowedIPs = 10.10.10.100/32
Endpoint = :0
PersistentKeepalive = 1200

Так же на микротике для интерфейса wg вписана сеть 10.10.10.0/24 и прописан маршрут на этот же интерфейс + для 192.168.100.0/24 маршрут на 10.10.10.1

Mikrotik Firewall

8 ;;; accept WG
chain=input action=accept protocol=udp dst-port=***log=no log-prefix=""
11 ;;; accept form .100
chain=forward action=accept src-address=10.10.10.100 log=no log-prefix=""

Mikrotik NAT

1 chain=srcnat action=masquerade src-address=10.10.10.100 dst-address=192.168.1.0/24 out-interface=ether12 log=no log-prefix=""
4 chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.100.0/24 log=no log-prefix=""
6 chain=srcnat action=accept src-address=192.168.100.0/24 dst-address=192.168.1.0/24 log=no log-prefix=""

Основное что мне было нужно это добираться c компа с виндой 192.168.100.11 до всей сети 192.168.1.0/24
И все рабоатет.
Но периодичесски что-то где то отваливается, не сам тунель WG, потому что там подключение рабоатет, но пропадает доступ в сеть микротика. В логах показывает что минимальыне пакеты идут, но handshake не обновялется. И что более странно все начинает работать или само на следующий день например, или если включить и выключить интерфейсы и пиры на микроте, но тоже не сразу, а спустя какое то время.
Так же на микроте есть еще один пир (тунель) к другому микроту, конфиг аналогичен, и проблема аналогичная - рабоатет, но время от времени отваливается доступ.

Буду благодарен за указание ошибки или хотя бы направления где искать, мне кажется что все должно рабоатть и собственно работает, но не могу найти что я упускаю

Comments

[Дмитрий]

между какими странами тоннель?
если РФ и забугор, то с вылезом из бункера вас, тут у нас интересное происходит

[radioactivetoy]

Дмитрий, нет, все в европе

[AlexVWill]

Советую посмотреть логи на самом микротике за время когда произошел отвал сети. Без логов можно очень долго гадать что там происходит.
Ну и логирование включить стоило бы.

[radioactivetoy]

AlexVWill, собственно да, забыл указать что в логах по сути только
Sending handshake initiation to peer ((***))
Sending handshake response to peer
Handshake for peer did not complete after 5 seconds, retrying

и
Zeroing out all keys for peer, since we haven't received a new one in 540 seconds

[radioactivetoy]

AlexVWill,
ага и еще однако обнаружил
Handshake for peer did not complete after 20 attempts, giving up

[AlexVWill]

radioactivetoy,

Но периодичесски что-то где то отваливается, не сам тунель WG, потому что там подключение рабоатет, но пропадает доступ в сеть микротика.

Handshake for peer did not complete after 20 attempts, giving up

Это вещи не взаимосвязанные, т.к. если бы не было хендшейка, то не было бы и туннеля, а у тебя проблема похоже не с VPN, а с маршрутизацией. Нет ли случайно какого то правила выше, которое может повлиять на маскарадинг?
Кстати, я не совсем понял, зачем тебе правила NAT. Если ты подключаешься к VPN серверу, поднятому на Mikrotik, то зачем маскарадинг и пр. правила. Если ты конечно не собираешься это все дальше куда то проксировать, например на внешний VPN интерфейс (ну например направлять пакеты в другой, внешний VPN, для доступа подключенных девайсов к интернет), то по идее все и так работать должно и должен быть доступ к внутренней сети Mikrotik 192.168.1.0/24

[radioactivetoy]

AlexVWill,
я не силен в впн, возможно скажу глупость, но насколько я понимаю и так же встречал в инструкциях именно для полноценного доступа к всей сети где микрот, нюанс еще в том что там несколько подстеей, к которым тоже нужен доступ, и второе что он не является gateway для этой сети :)
Он просто работает в режиме роутера, поставлен для wireguard, и на основном гетвее проброс портов сделан
NAT выглядит вот так

[AlexVWill]

radioactivetoy, ну, сделано и сделано, к сути вопроса это не имеет прямого отношения. Я бы попробовал, в качестве эксперимента поднять какой то другой VPN. OpenVPN или SSTP и попробовать с ними поработать. Хотя и представляется, что VPN тут ни при чем, но чем черт не шутит. Ну и проверить железку на предмет нагрузки, питания, коннектов кабелей и пр. железных аспектов. У меня как то была проблема из-за плохо обжатого кабеля на гигабитном порту больше 100мбит не выдавало.