Проблемы с пробросом интернета wireguard?

Question

[Bittermann]

Арендовал сервер США, накатил туда wireguard. Настроил iptables.
При использовании, нормально работает интернет через мобильную сеть, но через WiFi все бесконечно грузится. Как решить проблему?

Я в курсе что РКН блокирует WireGuard и OpenVPN, но сомневаюсь что проблема именно в этом, т.к. имею такой же сервер с настроеным так же Wireguard где все стабильно работает.

Смену порта пробовал, результата не дало

Провайдер и там и там Beeline

cat /etc/wireguard/wg0.conf

[Interface]
Address = 10.252.1.0/24
ListenPort = 51820
PrivateKey = ...
MTU = 1450
PostUp = iptables -A POSTROUTING -s 10.252.1.0/24 -o ens3 -j MASQUERADE; iptables -A FORWARD -i wg0 -o ens3 -j ACCEPT; iptables -A FORWARD -i ens3 -o wg0 -j ACCEPT;
PreDown = 
PostDown = iptables -D POSTROUTING -s 10.252.1.0/24 -o ens3 -j MASQUERADE; iptables -D FORWARD -i wg0 -o ens3 -j ACCEPT; iptables -D FORWARD -i ens3 -o wg0 -j ACCEPT;
Table = auto

[Peer]
PublicKey = ...
PresharedKey = ...
AllowedIPs = 10.252.1.1/32
PersistentKeepalive = 15

...

iptables -S

-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-N DOCKER
-N DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-2
-N DOCKER-USER
-A INPUT -i ens3 -p tcp -m tcp --dport 51820 -j ACCEPT
-A INPUT -i wg0 -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT
-A INPUT -i wg0 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51820 -j ACCEPT
-A FORWARD -i wg0 -o ens3 -j ACCEPT
-A FORWARD -i eg0 -o ens3 -j ACCEPT
-A FORWARD -i ens3 -o wg0 -j ACCEPT
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -i ens3 -o wg0 -j ACCEPT
-A FORWARD -i wg0 -o ens3 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN

iptables -t nat -S

-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P POSTROUTING ACCEPT
-P OUTPUT ACCEPT
-N DOCKER
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 10.252.1.0/24 -o ens3 -j MASQUERADE
-A POSTROUTING -o ens3 -j MASQUERADE
-A POSTROUTING -o ens3 -j MASQUERADE
-A POSTROUTING -s 10.252.1.0/24 -o ens3 -j MASQUERADE
-A POSTROUTING -s 10.252.1.0/32 -o ens3 -j MASQUERADE
-A POSTROUTING -s 10.252.1.0/24 -o ens3 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A DOCKER -i docker0 -j RETURN

Debian 5.10.218-1

Comments

[Alexey Dmitriev]

Полный отрыв от реальности. Из каждого утюга уже год кричат, что wireguard и OpenVPN блокирует РКН.
Здесь каждую неделю один и тот же вопрос.

[Valdemar Smörman]

Alexey Dmitriev, да работает он прекрасно!
Надо просто правильно настраивать!!!

[Bittermann]

Alexey Dmitriev, Я в курсе что блокируют, но сомневаюсь, т.к. на руках уже имеется подобный сервер, который стабильно работет

[Valdemar Smörman]

Bittermann, так конфиги и правила iptables, у вас там нагорожено столько всего, непонятно зачем.
И правила для iptables не надо писать в сам iptables.
Для этого у вас есть же секция в конфиге:
PostUp =
PreDown =
PostDown =
туда и пишется...
И при старте WG он стартуют их в iptables.

[Bittermann]

Valdemar Smörman, Хорошо, попробую поменять, но может ли это как-то относиться к проблеме? Как я понимаю, скрипты PostX выполняют команды при поднятии и выключении Wireguard, которые посылаются в систему, и разницы в плане результата их выполнения быть не должно?

[Bittermann]

Valdemar Smörman,

PostUp = iptables -A POSTROUTING -s 10.252.1.0/24 -o ens3 -j MASQUERADE; iptables -A FORWARD -i wg0 -o ens3 -j ACCEPT; iptables -A FORWARD -i ens3 -o wg0 -j ACCEPT;
PreDown = 
PostDown = iptables -D POSTROUTING -s 10.252.1.0/24 -o ens3 -j MASQUERADE; iptables -D FORWARD -i wg0 -o ens3 -j ACCEPT; iptables -D FORWARD -i ens3 -o wg0 -j ACCEPT;

Результата не дало

[Valdemar Smörman]

Bittermann, то, что вы пропишете в конфиге др. порт ничего не даст!
Всё равно будет использоваться 51820, т.к. его надо сначала поменять в конфиге:

spoiler

/usr/bin/wg-quick

в:

spoiler

table=51820

Вся секция так выглядит:

spoiler

HAVE_SET_FIREWALL=0
add_default() {
        local table line
        if ! get_fwmark table; then
                table=51820

Вместо 51820 свой...

[Bittermann]

Valdemar Smörman, Тот же самый результат, на мобильном все норм, на вайфай не проходит

[Valdemar Smörman]

Bittermann, мой рабочий под твои данные:

wg0.conf

[Interface]
Address = 10.252.1.0/32
PostUp = sysctl net.ipv4.ip_forward=1
PostUp = ufw route allow in on wg0 out on ens3
PostUp = iptables -A FORWARD -i ens3 -o %i -j ACCEPT
PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = sysctl net.ipv4.ip_forward=0
PreDown = ufw route delete allow in on wg0 out on ens3
PostDown = iptables -D FORWARD -i ens3 -o %i -j ACCEPT
PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
ListenPort = 12345
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxx=

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxx=
AllowedIPs = 10.252.1.1/32

12345 - пример порта, который ты выберешь и который надо ещё сначала прописать в тот конфиг...

[Valdemar Smörman]

Bittermann, и у меня ещё настроена обфускация через wstunnel для WG.

[Drno]

Bittermann, еще раз -
1й пункт - у тебя всё работает с мобильной связи
2й пункт - не работает с другого (в данныой ситуации с домашнего) инета

какой вывод следует? по мойму очевидный - что на домашней сети есть какие то ограничения

как вариант попробуй обнулить сервер и поставить amneziaWG или vless (3x-ui панель) итд...
если заработает - очевидно что WG блочат на этот IP

[Bittermann]

Valdemar Smörman, подстроил под твой конфиг, и резльтат тот же. Судя по всему с конфигом все правильно, что-то не так со стороны сети, походу с моего вайфая. Узнать бы что именно... Потому что через вайфай все хорошо подключается через протоколы wireguard и openvpn, а конкретно в этом случае, возникают проблемы

[Valdemar Smörman]

Drno, вот это скорее всего, что сам IP сервака уже попал в лист ркн...

[Valdemar Smörman]

Bittermann, попробуй обфускацию сделать через Wstunnel, это не сложно, трафик весь WG заворачивается уже через него по tcp, обманывает в общем заинтересантов...

[Alexey Dmitriev]

Bittermann, не очень хорошо вероятно вы знаете. Блокировки веерные и даже в рамках одного провайдера могут быть или не быть. Посмотрите дамп трафика, наверняка у вас проходит хендшейк и на этом все. Именно так работает блокировка.

[Alexey Dmitriev]

Valdemar Smörman, вам видимо виднее.

Answer 1

[Drno]

а уверен что твой сервер не блокируется РКН?)
скорее всего дело в этом

Comments

[Bittermann]

Сомневаюсь, просто на руках уже имеется такой же сервер, со штатов, где стоит wireguard и openvpn, там таких проблем не наблюдается.
Этот сервер настроен таким жже образом

[Bittermann]

Если была бы какая-нибудь возможность проверить, блокирован или нет, было бы замечательно

[Drno]

Bittermann, блочат IP \ подсети хостеров и CDN, и не только
видимо один IP \ подсеть у них не в бане, а другая в бане
пока другого нет объяснения

ну либо Вы что то не так настроили

Answer 2

[Valdemar Smörman]

У вас в конфиге:
Первая наколка для множественных вариантов блоков РКН, но это самый первый был у них для WG - это его стандартный порт:
ListenPort = 51820
Нате, берите меня тёпленьким...

Comments

[Bittermann]

Пробовал раазные порты, результат тот же. То же самое касается второго сервера с настреоным мнною wireguard. Работает на стандартном порту и через любые сети все проходит

[CityCat4]

Bittermann, Хостеры разные?