wireguard клиент за NAT не видит ответов сервера

0

1

К своему стыду или счастью не имел дел с WG до текущего момента.

Вынудили тут установить на роутер для входа в частную сеть.
Вроде настроил и запустил. Вроде запустилось, но клиенты не могут поднять Handshake. Причём заметил, что не могут это сделать только те клиенты, у которых интернет через NAT.

В tcpdump на роутере с NAT это видно вот так:

00:16:53.196597 ppp0  Out IP <client.router.ip>.60641 > <wg.server.ip>.51820: UDP, length 148
00:16:53.371485 ppp0  In  IP <wg.server.ip>.33438 > <client.router.ip>.60641: UDP, length 92

со стороны клиента за NAT конечно же второй пакет (ответ от сервера WG) не приходит. Я вижу в этом логику NAT роутера такую, что это какой-то неизвестный ему пакет, такого в conntrack нету и он его отбрасывает, ибо не знает кому в сети его передать. Это и логично.
А как это должно работать? Есть какой-то WG conntrack helper? Не нашёл, да и как он узнает какие порты то пробрасывать? Можно как-то «заморозить» порт ответа от сервера? А как? тоже не нашёл...

Пример конфига сервера:

[Interface]
Address = 192.168.9.1/24
ListenPort = 51820
PrivateKey = 8KuFf8BE9dV/WQwCOTYhEjaNGIQKI5/VdyEfYyg4WHY=

[Peer]
# Client 1
PublicKey = e0p9r6uAZBMeZgEHT2YiflkPCQEdV3c4UhlfC/jahjo=
AllowedIPs = 192.168.9.2/32
PersistentKeepAlive = 25

Пример конфига клиента:

[Interface]
PrivateKey = sNF9d5uBmiK6HuuTA0enPf0nNZ6hKsBAvm/ug0LT7UU=
Address = 192.168.9.2/32, fd00:9::2/128
ListenPort = 51820
DNS = 192.168.9.1

[Peer]
PublicKey = LZEOHsadmY84S+dlL3sdRybTg64BJdnyAnfK/ld7slE=
# PresharedKey not used
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = router.org:51820
PersistentKeepAlive = 25

←	Инструмент для тестирования 1 000 000 конектов

Не обновляется автоматически endpoint client на сервере Wireguard

→

У клиента:

[Interface]
ListenPort = 51820

зачем?

Я бы для начал попробовал заворачивать не весь трафик …

~~mx__~~ ★★★★★
(17.06.25 21:55:27 MSK)

Бред какой-то. При чём тут вообще нат? У тебя сервер отвечает не на тот порт, с которого пришёл запрос. Где-то криво настроена трансляция портов, может, и на сервере.

anonymous
(17.06.25 22:03:33 MSK)

Ответ на: комментарий от anonymous 17.06.25 22:03:33 MSK

Вообще то на тот.

(надеюсь он на раутере, или где там у него nat, включил какую нибудь шнягу по типу UPnP или подобное)

~~mx__~~ ★★★★★
(17.06.25 22:11:55 MSK)
Последнее исправление: mx__ 17.06.25 22:23:03 MSK (всего исправлений: 1)

На сервере в AllowedIPS должны быть сети за клиентом, если не включен нат на интерфейс на клиенте. Это неочевидный косяк, просто надо знать. Исходя из этого насыпать маршрутов. Если это исключено, гляди в сторону mtu.

Anoxemian ★★★★★
(17.06.25 22:44:28 MSK)

Я вижу в этом логику NAT роутера такую, что это какой-то неизвестный ему пакет, такого в conntrack нету и он его отбрасывает, ибо не знает кому в сети его передать. Это и логично.

Бывают роутеры, которые при отправке udp пакета запоминают только локальный адрес, то есть делают полноценный открытый входящий udp-порт (но временный, если долго нет пакетов - забывает его) после того как из локалки что-то куда-то отправили. Зачем так делают - я не знаю, может быть для удешевления, а может быть как раз для подобных случаев, ведь есть и другие случаи, когда на начатую udp-сессию приходят сообщения с разных айпи-адресов. На этом поведении основано например «udp hole punching» - способ соединить по udp двух юзеров за разными натами.

Как должен работать wg и дейсвительно ли он должен отвечать с другого порта - я не знаю, никогда им не пользовался.

firkax ★★★★★
(18.06.25 01:21:35 MSK)
Последнее исправление: firkax 18.06.25 01:30:44 MSK (всего исправлений: 1)

PersistentKeepAlive

На сервере не нужно. Также не нужно на клиентах не за NAT. Так как им нет необходимости поддерживать соединение включенным, оно без проблем поднимется при необходимости.

NyXzOr ★★★★★
(18.06.25 03:23:27 MSK)

Ответ на: комментарий от firkax 18.06.25 01:21:35 MSK

Вот осталось понять почему и как у меня NAT этого не делает...

Spider55 ★
(18.06.25 06:57:46 MSK) автор топика

Ответ на: комментарий от NyXzOr 18.06.25 03:23:27 MSK

Клиент как раз за NAT. Написал же...

Spider55 ★
(18.06.25 06:59:23 MSK) автор топика

Ответ на: комментарий от mx__ 17.06.25 22:11:55 MSK

А зачем? :) Нигде в документации на wireguard не сказано, что он это умеет и ему это надо.

Spider55 ★
(18.06.25 07:01:16 MSK) автор топика

Ответ на: комментарий от anonymous 17.06.25 22:03:33 MSK

Да вроде как раз на тот, только с другого.
ушло с 60641 и пришло на 60641. Тут как раз всё хорошо.
Опять же про трансляцию... Её ещё не произошло, это трафик между 2мя белыми IP: сервера и роутера(клиента) скажем так...

Вот только далее роутер клиента не транслирует трафик клиенту через NAT.

Spider55 ★
(18.06.25 07:03:13 MSK) автор топика

Ответ на: комментарий от mx__ 17.06.25 21:55:27 MSK

Думал, вдруг это повлияет на исходящий порт...

Spider55 ★
(18.06.25 07:03:35 MSK) автор топика

Ответ на: комментарий от Spider55 18.06.25 07:01:16 MSK

Ну так это же обратка по UDP тут просто так не прокатит если это за натом.

~~mx__~~ ★★★★★
(18.06.25 07:21:35 MSK)

Ответ на: комментарий от Spider55 18.06.25 06:59:23 MSK

Но не сервер же. На сервере зачем?

NyXzOr ★★★★★
(18.06.25 09:01:11 MSK)

Ответ на: комментарий от NyXzOr 18.06.25 09:01:11 MSK

В попытках найти истину, пробовал уже разные варианты. Да не нужно. Но и не должно повлиять, ну будет он слать keep alive, это же не блокер в данной ситуации так-то...

Spider55 ★
(18.06.25 09:25:36 MSK) автор топика
Последнее исправление: Spider55 18.06.25 09:25:56 MSK (всего исправлений: 1)

Ответ на: комментарий от mx__ 18.06.25 07:21:35 MSK

Это мы своей головой с остатками знаний понимаем. Но в документации на wg сказано, что клиент имеет право находится за nat без каких-то танцев с бубном. Ну или я не нашёл

Spider55 ★
(18.06.25 09:27:15 MSK) автор топика

Ответ на: комментарий от Spider55 18.06.25 09:27:15 MSK

клиент имеет право находится за nat без каких-то танцев с бубном

Все танцы с бубном это - PersistentKeepalive https://www.wireguard.com/quickstart/#nat-and-firewall-traversal-persistence

NyXzOr ★★★★★
(18.06.25 09:56:45 MSK)

попробуй уменьшить mtu на клиенте за NAT

anonymous
(18.06.25 10:01:05 MSK)

Ответ на: комментарий от Spider55 18.06.25 09:27:15 MSK

Скажем так NAT NAT-y рознь. Есть по умолчанию включают UPNP есть которых это нужно принудительно.

К примеру помните для iptables, nf_conntrack_ftp?

~~mx__~~ ★★★★★
(18.06.25 10:34:08 MSK)

Ответ на: комментарий от mx__ 18.06.25 10:34:08 MSK

Но только UPnP к нату, а уж темболее conntrack имеет последнее отношение.
Это отдельный протокол с отдельным набором функционала, один из которых открытие порта в NAT, и то костылями через firewall скрипты.
В общем целом он не нужен для корректной работы NAT как такового.
А уж WireGuard про него ничего не знает. Беглый поиск по репозиториям (искал по windows кожу ибо он максимально все в себе) ничего не дал...

Spider55 ★
(18.06.25 13:58:59 MSK) автор топика

Ответ на: комментарий от anonymous 18.06.25 10:01:05 MSK

Не думаю что это что то изменит. Размер пакетов не более 200 байт.

Spider55 ★
(18.06.25 14:00:09 MSK) автор топика
Последнее исправление: Spider55 18.06.25 14:00:19 MSK (всего исправлений: 1)

Провайдер не блочит?

NyXzOr ★★★★★
(18.06.25 14:40:24 MSK)

Ответ на: комментарий от NyXzOr 18.06.25 14:40:24 MSK

Да как бы я же вижу трафик на роутере клиента. Он почему то не проходит сквозь НАТ к клиенту...
Не пойму куда смотреть... в conntrack нет «соединения» того самого которое должно было быть «пробито» udp «соединением».

Spider55 ★
(18.06.25 15:16:35 MSK) автор топика

Ответ на: комментарий от Spider55 18.06.25 13:58:59 MSK

В общем целом он не нужен для корректной работы NAT как такового.

нуда, только у вас не ТСП а UDP, и это не ответ запрос если что. Читайте про NAT и UDP тогда.

~~mx__~~ ★★★★★
(18.06.25 15:28:20 MSK)
Последнее исправление: mx__ 18.06.25 15:29:23 MSK (всего исправлений: 1)

Методом проб и ошибок я попробовал коннект с другими WG серверами. И там всё работает от этого же клиента за NAT. Поменялся только WG сервер.
И вот очевидное различие которое объединяет их всех и отделяет от меня.
Это то, что они ОТВЕЧАЮТ с того же порта на который я соединяюсь.

Вот пример (ps. какой-то публичный WG сервер, его адрес я нашёл в гугле, так что скрывать нечего):

18:29:21.976907 eth0   In  IP 192.168.60.100.55779 > 46.149.74.165.39786: UDP, length 148
18:29:21.976938 ppp0  Out IP <client_router_ip>.55779 > 46.149.74.165.39786: UDP, length 148
18:29:22.058286 ppp0  In  IP 46.149.74.165.39786 > <client_router_ip>.55779: UDP, length 92
18:29:22.058315 eth0   Out IP 46.149.74.165.39786 > 192.168.60.100.55779: UDP, length 92

Следующий конфиг клиента был использован

[Interface]
PrivateKey = [cut]
Address = 10.161.167.10/24
DNS = 1.1.1.1

[Peer]
PublicKey = [cut]
PresharedKey = [cut]
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 46.149.74.165:39786
PersistentKeepalive = 25

как видно выше, то при handshake сервер отвечал пакетами с того же порт = 39786, куда клиент коннектился. Для NAT клиента это полностью законная ситуация и всё работает как ожидалось. (без всяких UPnP и прочей ерунды)

В моём же случае почему то меняется исходящий порт... Как так не понимаю пока... в этом wg сложно что-то напутать, он устанавливается парой команд сам...

Spider55 ★
(18.06.25 15:36:32 MSK) автор топика

←	Инструмент для тестирования 1 000 000 конектов

Admin

Не обновляется автоматически endpoint client на сервере Wireguard

→

Похожие темы