Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: StarLink 18. 02. 2022, 20:17:56

Název: Wireguard - padá připojení
Přispěvatel: StarLink 18. 02. 2022, 20:17:56

Zdravím,
mám na Mikrotiku Wireguard, ke kterému se připojují klienti, z Windows. U některých klientů nastává rozpojení připojení asi každou minutu. V logu Wireguard na Windows se při rozpojení objevuje tato hláška:

Kód: [Vybrat]

[TUN] [KlientID] Retrying handshake with peer 1 (IPADRESA_MT:13232) because we stopped hearing back after 15 seconds

Spojení se za několik sekund obnoví, ale mezi tím popadají aplikace připojené přes tunel. Zvláštní je, že to dělají jen někteří klienti, u ostatních se Wireguard nerozpojuje. Konfigurace mají stejné, liší se samozřejmě příslušné klíče. Vyzkoušeno na jednom PC, takže odpadá možnost v různém nastavení OS. Wireguard na MT i Windows jsou poslední dostupné verze.

Název: Re:Wireguard - padá připojení
Přispěvatel: Petr Krčmář 18. 02. 2022, 20:39:55

Takhle naslepo bych tipoval, že NAT zavře port po dlouhé pauze v komunikaci. WireGuard je totiž potichu, pokud není třeba přenášet data.

Pomůže volba PersistentKeepalive, která zajistí pravidelné posílání prázdných paketů pro zachování otevřené cesty.

Název: Re:Wireguard - padá připojení
Přispěvatel: StarLink 18. 02. 2022, 20:47:41

PersistentKeepalive jsem také zkoušel, ale tunel se rozpojí i při kontinuálním pingu.

Název: Re:Wireguard - padá připojení
Přispěvatel: StarLink 18. 02. 2022, 21:25:26

Tento klient se odpojuje:

Kód: [Vybrat]

Interface]
PrivateKey = PRIVKLIC-1
Address = 192.168.65.3/24
DNS = 192.168.80.31

[Peer]
PublicKey = VEREJNYKLIC-MT
PresharedKey = PREDSDILENYKLIC1
AllowedIPs = 192.168.80.0/24, 192.168.82.0/24, 192.168.83.0/24, 192.168.65.1/32
Endpoint = IP-MT:13232
PersistentKeepalive = 25

Tento klient běží ok:

Kód: [Vybrat]

[Interface]
PrivateKey = PRIVKLIC-2
Address = 192.168.65.4/24
DNS = 192.168.80.31

[Peer]
PublicKey = VEREJNYKLIC-MT
PresharedKey = PREDSDILENYKLIC2
AllowedIPs = 192.168.80.0/24, 192.168.82.0/24, 192.168.83.0/24, 192.168.65.1/32
Endpoint = IP-MT:13232

IP adresu 192.168.65.1 má interface wireguard na MT. Adresy 192.168.65.3 a 192.168.65.4 jsou v Allowed adresses na MT.

Název: Re:Wireguard - padá připojení
Přispěvatel: mikesznovu 18. 02. 2022, 23:42:22

No ono taky je důležité Odkud se připojuje. Nebo zkusit zda se budou odpojovat jiný klienti z daného místa připojení nebo obráceně zda odpojování zmizí, když se daný vaďák přemístí do jiné sítě, kde se nevaďáky neodpojovaly.

A NATÚ  může být několik za sebou. (by ale Keepalive měl řešit). No ale napadá mě, prostě když někdo na (některém)routeru  si ze srandy spustí conntrack -F , tak je žížala přeseknutá. Nemám pravdu?

Název: Re:Wireguard - padá připojení
Přispěvatel: StarLink 23. 02. 2022, 14:45:42

Zatím to vypadá, že problém je vyřešen po upgrade RouterOS na verzi 7.1.2.