Openwrt + wireguard + mwan3 (wan или wanb)

Wireguard идет по тому что метрика меньше.

Вот это да! WG делает ровно то что должен, как же быть?

трафик пополз как и ожидалось по wanb

conntrack чистишь, как на wiki сказано? А то, сдаётся мне у тебя только новые соединения пошли по wanb

Чистится conntrack. Там фишка такая что wireguard идет в таблицу маршрутизации с наименьшей метрикой.

default via 172.17.165.1 dev eth0.2 proto static metric 10 default via 192.168.8.1 dev eth2 proto static src 192.168.8.110 metric 20 10.66.66.0/24 dev wg proto static scope link metric 30 172.17.165.0/24 dev eth0.2 proto static scope link metric 10 192.168.0.0/24 dev br-lan proto kernel scope link src 192.168.0.1 192.168.8.0/24 dev eth2 proto static scope link metric 20 212.x.x.x via 172.17.165.1 dev eth0.2 proto static metric 10 212.x.x.x via 192.168.8.1 dev eth2 proto static metric 20

Вопрос как после падения линка wan сделать что бы wireguard ходил по wanb? А при поднятии wan снова ходил по wan…

wg игнорит сброс conntrack, к сожалению. Сам с этим столкнулся.

В mwan3 есть сброс conntrack, но он нормально работает с чем угодно, кроме wg :(

Я нашел решение но нужно допилять скрипт )

if [ «${ACTION}» = «ifdown» ] && [ «${INTERFACE}» = «wan» ]; then sleep 25 if [ping -c 1 10.66.66.1 > /dev/null]; then exit 0 else ifdown wan sleep 5 ifup wan exit 0 fi fi if [ «${ACTION}» = «ifup» ] && [ «${INTERFACE}» = «wan» ]; then ifdown wg sleep 5 ifup wg exit 0 fi

Глюк который а может и не глюк Wireguard при поднятии интерфейса пытается топать по маршруту с наименшей метрикой и запоминает его. Если потушить wan то остается один маршрут и он автоматом поднимается на нем и запоминает его. При подняти wan необходимо просто перегрузить wireguard interface. И все ок. Просьба если кто может доработать скрипт… Пинг надо 3 раза с счетчиком и если все три пинга на 10.66.66.1 не прошли то тогда сделать ifdown wan и ifup wan.

Он обратно тоже не уходит. У меня он остается висеть на интерфейсе модема бэкапного с большей метрикой после поднятия интерфейса с меньшей метрикой и сброса conntrack. Его реально нужно передергивать при каждом переключении.

Сдаётся мне что это баг, который стоит зарепортить. А пока костыли придется изобретать :-/

Этот баг (скорее фича, ибо то, как рождаются интерфейсы wg - то еще сочетание говна, палок и китайского скотча) тянется минимум с 17.01, на более ранних… вроде и wg не существовало как проекта в принципе.

Ну пытался писать в wireguard но вроде как смотрят. Но в защиту wireguard скажу если допилят то это неплохая vpn. Я костыль выложил. Если у кого есть возможность переписать было б здорово. Но пока у меня такой вариан работает

Да кто же спорит, эта штука дает второй шанс стареньким WR1043ND v2+ в качестве нормального впн-роутера.

Лучше так, имхо:

if test "$ACTION" = "ifup" && { test "$INTERFACE" = "wan_a" || test "$INTERFACE" = "wan_b"; }; then

  logger -t MWAN3-WIREGUARD-FIX -s "$INTERFACE"

  ifdown vpn
  rmmod wireguard
  insmod wireguard
  ifup vpn
fi

Хотя лучше просто ронять failover в случае подключения main канала.

Как-то так:

#!/bin/sh
#
# Скипнута шапка скрипта
#

LINK_MAIN=wan_a
LINK_FAILOVER=wan_b

if test "${ACTION}" = "ifup" && test "${INTERFACE}" = "${LINK_MAIN}"; then

  logger -t MWAN3-WIREGUARD-FIX -s "${ACTION} - ${INTERFACE}"

  ifdown "${LINK_FAILOVER}"
  sleep 1
  ifup "${LINK_FAILOVER}"
fi