LINUX.ORG.RU
ФорумAdmin

Wireguard: отваливание клиентов

 


0

3

Добрый день!
Имеем на Centos 7 сервер, и клиентов на Centos 7, винде и Android.
Проблема: сервер работает, не падает, но примерно через двое суток аптайма клиенты отваливаются (точно еще не скажу, сегодня только на мониторинг повесил), чтобы завелись - достаточно рестартануть клиента. В логах ошибок нет, вообще. Честно говоря не понимаю что может быть. Знаю что особенность реализации этого впн в том что через UDP он хз клиент с той стороны живой или нет - для этого в параметрах прописывается PersistentKeepalive, но судя по всему он не помогает. Какие еще варианты решения/поиска причины падения? Заранее спасибо

Сервер:

[Interface]
Address = 10.200.0.1/16
PrivateKey = QGvKBMhO+09AEM**
ListenPort = 8899

[Peer]
PublicKey = WMQ5Fj90PTcdwBC9z**
AllowedIPs = 10.200.0.2/32

[Peer]
PublicKey = wJYR1i4MzU0k**
AllowedIPs = 10.200.0.3/32

Клиент
[Interface]
Address = 10.200.0.6/16
PrivateKey = EDcPQbh9HV7CYboL**
DNS=194.169.*.*

[Peer]
PublicKey = K+Fkh5856kOGCOtv2xE+SO**
AllowedIPs = 10.200.0.0/16
Endpoint = 92.*.*.253:8899
PersistentKeepalive = 20

отваливаются

Что это значит? Русский язык ведь у вас придумали (perhaps), а пользоваться им не научили.

Клиенты отключаются и автоматически не переподключаются?

Или просто разрывы связи происходят с автоматическим возобновлением подключения?

В лога ошибок нет на стороне сервера или клиента?

P.S. УМВР между убунтами вообще без проблем, настройки около дефолтных.

ololoid ★★★★ ()
Ответ на: комментарий от ololoid

Что это значит? Русский язык ведь у вас придумали

Хоть я сам люблю придраться, особенно к некачественно оформленным вопросам, без логов и описания последовательности настроек или ссылки на очередной говно-гайд по которому что-то настраивали, но..

придирки тут к давно и прочно устоявшемуся профессиональному слэнгу даже мне кажутся странноватыми. И еще более странным мне кажется желания прелюдно др**ть на русский язык в любой непонятной ситуации.


чтобы завелись - достаточно рестартануть клиента

Означает что

Клиенты отключаются и автоматически не переподключаются

zgen ★★★★★ ()

ну поиграйся с кипалайвом. я, емнип, на далекие расмтояния 5 использую

Anoxemian ★★★★★ ()
Ответ на: комментарий от zgen

Так я не с целью доколебаться, а просто что бы внести ясность. А то будет как в том анекдоте про мужика, который то ли упал, то ли сошел с ума.

ololoid ★★★★ ()

Откуда на CentOS 7 Wireguard?

Когда отвал случается, какие счетчики отправленного/принятого в выводе wg с какой стороны растут помаленьку, а какие больше не растут?

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Откуда на CentOS 7 Wireguard?

По официальной инструкции из elrepo же!

счетчики отправленного/принятого в выводе wg

Зачем счетчики, при отвале «latest handshake» больше пары минут.

yandrey ()
Ответ на: комментарий от yandrey

Зачем счетчики, при отвале «latest handshake» больше пары минут.

Затем, чтобы уточнить причину. Не отправлено, не доставлено / не получено, не отвечено…

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Внес keepalive = 5 (для эксперимента оставил на одном 20)
В общем почти пять дней отработало все норм, сегодня все пропало - упали все клиенты, так что думаю проблема на стороне сервера. В логах - тишина что на клиенте что на сервере. Ниже счетчики сервера-клиента:

server
  latest handshake: 35 minutes, 21 seconds ago
  transfer: 1.99 MiB received, 461.46 KiB sent


  latest handshake: 44 minutes, 13 seconds ago
  transfer: 1.99 MiB received, 461.46 KiB sent




client
  latest handshake: 34 minutes, 26 seconds ago
  transfer: 536.48 KiB received, 3.57 MiB sent

  latest handshake: 44 minutes, 39 seconds ago
  transfer: 536.48 KiB received, 3.58 MiB sent

Поможет рестарт клиента. Что дальше смотреть?

Ved_mak ()
Ответ на: комментарий от Ved_mak

Мало подождал, непонятно — округление съело или счётчик не тикает. Можно tcpdump’ом глянуть, доходят ли до сервера keepalive от клиента и уходят ли ответы. В целом я довольно без идей, это так, ходьба в потемках.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

У клиента сеть не поднимал, вот счетчик:

server
  latest handshake: 35 minutes, 21 seconds ago
  transfer: 1.99 MiB received, 461.46 KiB sent


  latest handshake: 44 minutes, 13 seconds ago
  transfer: 1.99 MiB received, 461.46 KiB sent
  
  latest handshake: 2 hours, 1 minute, 33 seconds ago
  transfer: 1.99 MiB received, 461.46 KiB sent




client
  latest handshake: 34 minutes, 26 seconds ago
  transfer: 536.48 KiB received, 3.57 MiB sent
  persistent keepalive: every 20 seconds

  latest handshake: 44 minutes, 39 seconds ago
  transfer: 536.48 KiB received, 3.58 MiB sent

 latest handshake: 2 hours, 1 minute, 51 seconds ago
  transfer: 536.48 KiB received, 3.69 MiB sent

tcpdump на стороне сервера по ip клиента ничего не видит, если слушать интерфейс wg0 то виден обмен только с другим клиентом которого принудительно перезапустил.
Если идей нет, то придется юзать крон ещесуточного перезапуска или оставаться на openvpn, жаль что он медленнее как его ни тюнь

Ved_mak ()
Ответ на: комментарий от yandrey

Кстати, тоже идея: зафиксировать порт на стороне клиента и посмотреть, это перезапуск помогает или смена порта.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Ушел экспериментировать - назначил пятизначный уникальный порт на каждом клиенте. Если не поможет остается крон.
...и кстати вспомнил из своей практики - на аппаратных криптошлюзах vipnet сталкивался с подобным: когда клиент за натом, то тоннель рвался как раз на 5-6 день как и в моем случае, был необходим перезапуск. В том случае все решилось пробросом udp порта на железку-клиента. И попробую наверное порт еще прокинуть.

Всем спасибо за подсказки!

Ved_mak ()
Последнее исправление: Ved_mak (всего исправлений: 2)
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.