Задать вопрос
@bugsoff

Перестало работать wireguard соединение — как определить причину?

Есть 4 VPS сервера: в России, Англии, Франции и Германии.
На всех установлен wireguard из одного и того же docker-образа.
Все соединения успешно работали больше года, какие-то сервера больше 2 лет.

Пару дней назад перестали работать соединения с серверами в Англии и Германии (в Франции и России - работает)
Что пробовал:
1. Разные устройства: ноут Win11, комп win11, телефон Android, другой VPS в РФ с Linux
2. Разные провайдеры: домашний интернет в разных городах, мобильный интернет МТС и Билайн на телефоне, пятый VPS в другом российском дата-центре
3. Менять порт перед установкой соединения и отправлять первым пакетом мусор

Во всех случаях, по логам на сервере происходит следующее:

wireguard: wg0: Receiving handshake initiation from peer 2 (<ext_ip>:16319)
wireguard: wg0: Sending handshake response to peer 2 (<ext_ip>:16319)
wireguard: wg0: Keypair 1160 created for peer 2
wireguard: wg0: Receiving keepalive packet from peer 2 (<ext_ip>:16319)
wireguard: wg0: Packet has unallowed src IP (192.168.0.102) from peer 2 (<ext_ip>:16319)


То есть происходит handshake и обмен ключами, а затем сервер утверждает, что у клиента недопустимый адрес.
В настройках WG используется внутренняя сеть 10.0.1.0/24, а сервер ругается на 192.168.0.102 - это адрес, который клиент получает при wifi-подключении.
Пробовал в допустимых адресах клиента указывать:
AllowedIPs: 10.0.1.2/32, 192.168.0.102/32
- также не работает.

Как понять действительно ли это блокировка протокола?
Не сходятся некоторые вещи:
1) перестало работать у четырёх провайдеров в один день (два проводных, разные города и два мобильных) (блокировка не на уровне конечного провайдера, а выше?)
2) нормально работает соединение с российским и одним иностранным сервером (а два других иностранных не работает) (блокировка не всего протокола, а с учетом IP адреса назначения?)
3) не работает после отправки мусорного пакета (блокировка научилась его распознавать?)

Больше похоже на то, как будто бы у хостеров VPS обновился какой-то их софт, который стал как-то модифицировать IP источника пакетов.
Как можно точно понять блокировка ли это, или какие-то другие причины?
  • Вопрос задан
  • 154 просмотра
Подписаться 1 Средний 4 комментария
Пригласить эксперта
Ответы на вопрос 1
Ну клиент же не должен выглядеть как 192.168*, роутер должен маскарадинг делать, и для сервера адресом клиента должен быть адрес роутера
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы