Задать вопрос
@bugsoff
vpn

Перестало работать wireguard соединение — как определить причину?

Есть 4 VPS сервера: в России, Англии, Франции и Германии.
На всех установлен wireguard из одного и того же docker-образа.
Все соединения успешно работали больше года, какие-то сервера больше 2 лет.

Пару дней назад перестали работать соединения с серверами в Англии и Германии (в Франции и России - работает)
Что пробовал:
1. Разные устройства: ноут Win11, комп win11, телефон Android, другой VPS в РФ с Linux
2. Разные провайдеры: домашний интернет в разных городах, мобильный интернет МТС и Билайн на телефоне, пятый VPS в другом российском дата-центре
3. Менять порт перед установкой соединения и отправлять первым пакетом мусор

Во всех случаях, по логам на сервере происходит следующее:

wireguard: wg0: Receiving handshake initiation from peer 2 (<ext_ip>:16319)
wireguard: wg0: Sending handshake response to peer 2 (<ext_ip>:16319)
wireguard: wg0: Keypair 1160 created for peer 2
wireguard: wg0: Receiving keepalive packet from peer 2 (<ext_ip>:16319)
wireguard: wg0: Packet has unallowed src IP (192.168.0.102) from peer 2 (<ext_ip>:16319)


То есть происходит handshake и обмен ключами, а затем сервер утверждает, что у клиента недопустимый адрес.
В настройках WG используется внутренняя сеть 10.0.1.0/24, а сервер ругается на 192.168.0.102 - это адрес, который клиент получает при wifi-подключении.
Пробовал в допустимых адресах клиента указывать:
AllowedIPs: 10.0.1.2/32, 192.168.0.102/32
- также не работает.

Как понять действительно ли это блокировка протокола?
Не сходятся некоторые вещи:
1) перестало работать у четырёх провайдеров в один день (два проводных, разные города и два мобильных) (блокировка не на уровне конечного провайдера, а выше?)
2) нормально работает соединение с российским и одним иностранным сервером (а два других иностранных не работает) (блокировка не всего протокола, а с учетом IP адреса назначения?)
3) не работает после отправки мусорного пакета (блокировка научилась его распознавать?)

Больше похоже на то, как будто бы у хостеров VPS обновился какой-то их софт, который стал как-то модифицировать IP источника пакетов.
Как можно точно понять блокировка ли это, или какие-то другие причины?
  • Вопрос задан
  • 3348 просмотров
4 комментария
Подписаться 4 Средний 4 комментария
Пригласить эксперта
Ответы на вопрос 5
@figachit
Ну клиент же не должен выглядеть как 192.168*, роутер должен маскарадинг делать, и для сервера адресом клиента должен быть адрес роутера
Ответ написан
1 комментарий
1 комментарий
@Kvix
Абсолютно у каждого провайдера сейчас стоят ТСПУ от РКН. Мусорных пакетов надо слать штук 20.
Ответ написан
Комментировать
Комментировать
@PjaniyAdmin
Эм... tcpdump... батенька. Берем запускаем на сервере пишем в файл обмен с клиентом. Запускаем на клиенте - пишем дамп.
Берем оба дампа - сравниваем пакеты. Если пакеты отличаются - поздравляю - вас глушит тспу.
Ответ написан
Комментировать
Комментировать
@PantileenkoD
Проверьте, что у вас на сервере для каждого peer прописаны AllowedIPs: local_ip_client_wireguard/32, иначе при подключении 2ух пиров и больше работать не будет.
Ответ написан
Комментировать
Комментировать
@SmoKE_xD
Хостинг не Hertzer? Его банят.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Преподаватель курса по информационной безопасности
Eltex Новосибирск
от 130 000 ₽
Наставник педагогов / HR-менеджер
CODDY
До 45 000 ₽
Senior Frontend (JavaScript) разработчик
Vital Partners
от 350 000 до 400 000 ₽
Ещё вакансии