Почему происходят периодичесские отвалы Wireguard?

Question

[radioactivetoy]

Здравствуйте, имеется довольно таки простая конфигурация wireguard - с одной стороны микротик, с другой комп на винде, и довольно странная проблема.
Покажу сразу пример конфигурации

Wireguard Client Windows

[Interface]
PrivateKey = *****
Address = 10.10.10.100/32
DNS = 8.8.8.8

[Peer]
PublicKey = *****
AllowedIPS = 192.168.1.0, 192.168.100.0/24, 10.10.10.0/24
Endpoint = WANIPMikrotik:Port
PersistentKeepAlive = 25

Mikrotik

[Interface]
ListenPort = ***
PrivateKey = *****

[Peer]
PublicKey = *****
AllowedIPs = 10.10.10.100/32
Endpoint = :0
PersistentKeepalive = 1200

Так же на микротике для интерфейса wg вписана сеть 10.10.10.0/24 и прописан маршрут на этот же интерфейс + для 192.168.100.0/24 маршрут на 10.10.10.1

Mikrotik Firewall

8 ;;; accept WG
chain=input action=accept protocol=udp dst-port=***log=no log-prefix=""
11 ;;; accept form .100
chain=forward action=accept src-address=10.10.10.100 log=no log-prefix=""

Mikrotik NAT

1 chain=srcnat action=masquerade src-address=10.10.10.100 dst-address=192.168.1.0/24 out-interface=ether12 log=no log-prefix=""
4 chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.100.0/24 log=no log-prefix=""
6 chain=srcnat action=accept src-address=192.168.100.0/24 dst-address=192.168.1.0/24 log=no log-prefix=""

Основное что мне было нужно это добираться c компа с виндой 192.168.100.11 до всей сети 192.168.1.0/24
И все рабоатет.
Но периодичесски что-то где то отваливается, не сам тунель WG, потому что там подключение рабоатет, но пропадает доступ в сеть микротика. В логах показывает что минимальыне пакеты идут, но handshake не обновялется. И что более странно все начинает работать или само на следующий день например, или если включить и выключить интерфейсы и пиры на микроте, но тоже не сразу, а спустя какое то время.
Так же на микроте есть еще один пир (тунель) к другому микроту, конфиг аналогичен, и проблема аналогичная - рабоатет, но время от времени отваливается доступ.

Буду благодарен за указание ошибки или хотя бы направления где искать, мне кажется что все должно рабоатть и собственно работает, но не могу найти что я упускаю

Comments

[Дмитрий]

между какими странами тоннель?
если РФ и забугор, то с вылезом из бункера вас, тут у нас интересное происходит

[radioactivetoy]

Дмитрий, нет, все в европе

[AlexVWill]

Советую посмотреть логи на самом микротике за время когда произошел отвал сети. Без логов можно очень долго гадать что там происходит.
Ну и логирование включить стоило бы.

[radioactivetoy]

AlexVWill, собственно да, забыл указать что в логах по сути только
Sending handshake initiation to peer ((***))
Sending handshake response to peer
Handshake for peer did not complete after 5 seconds, retrying

и
Zeroing out all keys for peer, since we haven't received a new one in 540 seconds

[radioactivetoy]

AlexVWill,
ага и еще однако обнаружил
Handshake for peer did not complete after 20 attempts, giving up

[AlexVWill]

radioactivetoy,

Но периодичесски что-то где то отваливается, не сам тунель WG, потому что там подключение рабоатет, но пропадает доступ в сеть микротика.

Handshake for peer did not complete after 20 attempts, giving up

Это вещи не взаимосвязанные, т.к. если бы не было хендшейка, то не было бы и туннеля, а у тебя проблема похоже не с VPN, а с маршрутизацией. Нет ли случайно какого то правила выше, которое может повлиять на маскарадинг?
Кстати, я не совсем понял, зачем тебе правила NAT. Если ты подключаешься к VPN серверу, поднятому на Mikrotik, то зачем маскарадинг и пр. правила. Если ты конечно не собираешься это все дальше куда то проксировать, например на внешний VPN интерфейс (ну например направлять пакеты в другой, внешний VPN, для доступа подключенных девайсов к интернет), то по идее все и так работать должно и должен быть доступ к внутренней сети Mikrotik 192.168.1.0/24

[radioactivetoy]

AlexVWill,
я не силен в впн, возможно скажу глупость, но насколько я понимаю и так же встречал в инструкциях именно для полноценного доступа к всей сети где микрот, нюанс еще в том что там несколько подстеей, к которым тоже нужен доступ, и второе что он не является gateway для этой сети :)
Он просто работает в режиме роутера, поставлен для wireguard, и на основном гетвее проброс портов сделан
NAT выглядит вот так

[AlexVWill]

radioactivetoy, ну, сделано и сделано, к сути вопроса это не имеет прямого отношения. Я бы попробовал, в качестве эксперимента поднять какой то другой VPN. OpenVPN или SSTP и попробовать с ними поработать. Хотя и представляется, что VPN тут ни при чем, но чем черт не шутит. Ну и проверить железку на предмет нагрузки, питания, коннектов кабелей и пр. железных аспектов. У меня как то была проблема из-за плохо обжатого кабеля на гигабитном порту больше 100мбит не выдавало.

[Ziptar]

radioactivetoy,

NAT выглядит вот так

Нат не должен выглядеть так, тут наверчено черт разберет что

[radioactivetoy]

Ziptar, буду благодарен за подробное разъяснение что именно здесь плохо и почему

[Ziptar]

radioactivetoy, примерно всё. Подробнее можно сказать, только понимая к чему относится какой адрес/подсеть, потому что здесь никакой мысли не прослеживается. Кроме того, часть правил просто не работает.

Answer 1

[dspanc]

Тоже сталкивался с таким
Помог скрипт для микротка

https://gist.github.com/kirillstrelets/ddde866fe1d...

Comments

[radioactivetoy]

спасибо, попробую

Answer 2

[vinogradov_v_v]

Попробуй изменить mtu на 1280 мне помогло.

Answer 3

[Contra63]

ТСПУ детектит WG трафик и блочит его.
Переходи на AWG

Comments

[AlexDerkachev]

Каким образом на микротике перейти на Awg?

[Niknerkauskis]

Внутри рф можешь юзать ipsec

[easky]

Niknerkauskis, можно подробнее про конкретные решения?

[AlexDerkachev]

Niknerkauskis, ipsec это все понятно. Человек выше говорит про awg на микротике. Хотелось бы узнать реализацию, желательно без контейнеров. Contra63 или ответа не будет?

[Niknerkauskis]

AlexDerkachev, про работу ipsec много статей и видео, тут я думаю мои комментарии излишни. Насчет вг, у меня провайдер/тспу блокировало трафик даже внутри страны, помогло сменить порт на рандомный (свободный), в данном случае :56881, хэндшейки есть, работает замечательно, видимо у них блокировка по порту больше

[AlexDerkachev]

Niknerkauskis, Спасибо, конечно, за обратную связь, но думаю не стоит ИМ подкидывать материал, как обходят ИХ беззаконные ограничения. Иначе их обходить станет еще сложнее.

Answer 4

[rimidalvv]

У меня отваливался WG когда я один конфиг с двух устройств пытался использовать

Comments

[Niknerkauskis]

Это так и работает, у вас два клиента с одним ключом и адресом пытаются обменяться рукопожатиями с сервером, конечно пока сервер общается с одним клиентом, пакеты от другого не получаются , и так по очереди

Answer 5

[ForeverRED66]

У меня то же микрот и ВПН,я использую pptp или про запас l2tp , самый быстрый был wg конечно пока не начали его бросить все подряд.