Перестало работать wireguard соединение — как определить причину?

Question

[imp]

Есть 4 VPS сервера: в России, Англии, Франции и Германии.
На всех установлен wireguard из одного и того же docker-образа.
Все соединения успешно работали больше года, какие-то сервера больше 2 лет.

Пару дней назад перестали работать соединения с серверами в Англии и Германии (в Франции и России - работает)
Что пробовал:
1. Разные устройства: ноут Win11, комп win11, телефон Android, другой VPS в РФ с Linux
2. Разные провайдеры: домашний интернет в разных городах, мобильный интернет МТС и Билайн на телефоне, пятый VPS в другом российском дата-центре
3. Менять порт перед установкой соединения и отправлять первым пакетом мусор

Во всех случаях, по логам на сервере происходит следующее:

wireguard: wg0: Receiving handshake initiation from peer 2 (<ext_ip>:16319)
wireguard: wg0: Sending handshake response to peer 2 (<ext_ip>:16319)
wireguard: wg0: Keypair 1160 created for peer 2
wireguard: wg0: Receiving keepalive packet from peer 2 (<ext_ip>:16319)
wireguard: wg0: Packet has unallowed src IP (192.168.0.102) from peer 2 (<ext_ip>:16319)

То есть происходит handshake и обмен ключами, а затем сервер утверждает, что у клиента недопустимый адрес.
В настройках WG используется внутренняя сеть 10.0.1.0/24, а сервер ругается на 192.168.0.102 - это адрес, который клиент получает при wifi-подключении.
Пробовал в допустимых адресах клиента указывать:
AllowedIPs: 10.0.1.2/32, 192.168.0.102/32
- также не работает.

Как понять действительно ли это блокировка протокола?
Не сходятся некоторые вещи:
1) перестало работать у четырёх провайдеров в один день (два проводных, разные города и два мобильных) (блокировка не на уровне конечного провайдера, а выше?)
2) нормально работает соединение с российским и одним иностранным сервером (а два других иностранных не работает) (блокировка не всего протокола, а с учетом IP адреса назначения?)
3) не работает после отправки мусорного пакета (блокировка научилась его распознавать?)

Больше похоже на то, как будто бы у хостеров VPS обновился какой-то их софт, который стал как-то модифицировать IP источника пакетов.
Как можно точно понять блокировка ли это, или какие-то другие причины?

Comments

[Valdemar Smörman]

У меня работает без проблем, сервак немецкий, пров российский, но реклама на Ютубе немецкая шпарит во всю...

А что в конфигах на серваке и клиенте (ключи из кода удали и под спойлер можно), глянуть можно?

[imp]

Valdemar Smörman, конфиги:

конфиг сервер

[Interface]
PrivateKey = kPJD....
ListenPort = 24045

#### Clients ####
[Peer]
PublicKey = IfGz....
AllowedIPs = 10.0.1.1/32

статистика сервер

interface: wg0
public key: JKkW...
private key: (hidden)
listening port: 24045

peer: IfGz....
endpoint: EXP_IP:16319
allowed ips: 10.0.1.1/32
latest handshake: 1 day, 20 hours, 14 minutes, 28 seconds ago
transfer: 2.14 KiB received, 3.45 KiB sent

конфиг клиент

[Interface]
PrivateKey = MGlP....
Address = 10.0.1.1/32
DNS = 1.1.1.1, 8.8.8.8, 9.9.9.9

[Peer]
PublicKey = JKkW...
Endpoint = VPS_IP:24045
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
PersistentKeepalive = 25

[Valdemar Smörman]

imp, ну, друже, не мудрено, что у тебя стопнул WG, на серваке на столько убогий конфиг, практически без ограничений и правил!
Клиент винда?

[Valdemar Smörman]

imp, на серваке Linux и, если да, то какой?

Answer 1

[Петровский]

Ну клиент же не должен выглядеть как 192.168*, роутер должен маскарадинг делать, и для сервера адресом клиента должен быть адрес роутера

Comments

[imp]

В том то и дело, что на двух VPS все нормально соединяется, а на двух - как будто источник с неверным адресом (блокировщик исправляет пакеты, а не блокирует?)