Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Mi1an 07. 06. 2020, 19:06:30

Název: Wireguard neustále generuje nějaký síťový provoz
Přispěvatel: Mi1an 07. 06. 2020, 19:06:30
Zdravím.
Je normální, že wireguard na routeru neustále něco odesílá?
Když se v routeru podívám na aktivitu na síťových rozhraních, tak u rozhraní wireguardu vidím
neustále asi ve tří sekundových intervalech Tx 592 bps - 1.18 kbps.
Žádný klient není připojen.
Wireguard jsem nasadil místo openvpn. U openvpn byl vždycky absolutní "rádiový klid", pokud nebyl žádný klient připojen.
Přijde mi ta aktivita trochu podezřelá. Paranoidní nejsem, jenom se mi to jeví, jako nějaká chyba.
Název: Re:Wireguard neustále generuje nějaký síťový provoz
Přispěvatel: Rob Ros 07. 06. 2020, 19:56:17
Ja mam zkusenost opacnou. OpenVPN vzdy potreboval nejake pakety na udrzeni spojeni. Wireguard neposle ani paket, dokud pres nej neco nepripojim/neposlu.
Název: Re:Wireguard neustále generuje nějaký síťový provoz
Přispěvatel: Mi1an 07. 06. 2020, 20:00:31
Ja mam zkusenost opacnou. OpenVPN vzdy potreboval nejake pakety na udrzeni spojeni. Wireguard neposle ani paket, dokud pres nej neco nepripojim/neposlu.

No, u wireguardu se nastavuje Persistent KeepAlive, ale na klientech, ne na serveru. Proto mi to přijde divný.
Název: Re:Wireguard neustále generuje nějaký síťový provoz
Přispěvatel: _Jenda 07. 06. 2020, 21:40:58
No, u wireguardu se nastavuje Persistent KeepAlive, ale na klientech, ne na serveru. Proto mi to přijde divný.
Já to pochopil tak, že ať je keepalive na kterékoli straně, tak se posílá. A máš ho teda zapnuté nebo ne? Když spustíš tcpdump na tom wg interface, tak tam nějaký provoz vidíš?
Název: Re:Wireguard neustále generuje nějaký síťový provoz
Přispěvatel: Mi1an 07. 06. 2020, 23:16:11
Citace
Já to pochopil tak, že ať je keepalive na kterékoli straně, tak se posílá. A máš ho teda zapnuté nebo ne? Když spustíš tcpdump na tom wg interface, tak tam nějaký provoz vidíš?

KeepAlive mám zapnuté v conf na klientech. Žádný klient ale není připojený.
Na routeru žádný KeepAlive nevidím a ani jsem ho tam nikam nedával.
Z tcpdump něco nečitelnýho leze v podstatě permanentně.
Na routeru jsem zkusil capture wireguard rozhraní.

Kód: [Vybrat]
milan@ubnt:~$ show interfaces wireguard wg0 capture
Capturing traffic on wg0 ...
22:53:47.136696 IP 172.217.21.228.443 > 192.168.21.2.60265: Flags [FP.], seq 1900084362:1900084418, ack 2612419515, win 269, options [nop,nop,TS val 2743652258 ecr 179266627], length 56
22:55:29.174457 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [P.], seq 3475538258:3475538297, ack 2908339739, win 67, length 39
22:55:29.174916 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [P.], seq 39:63, ack 1, win 67, length 24
22:55:29.175618 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [F.], seq 63, ack 1, win 67, length 0
22:55:29.239815 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [F.], seq 63, ack 1, win 67, length 0
22:55:29.457096 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [FP.], seq 0:63, ack 1, win 67, length 63
22:55:29.914024 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [FP.], seq 0:63, ack 1, win 67, length 63
22:58:59.371996 IP 151.101.188.157.443 > 192.168.21.2.60275: Flags [P.], seq 2591685999:2591686057, ack 1616905372, win 63, options [nop,nop,TS val 3594744961 ecr 179268676], length 58
22:58:59.372573 IP 151.101.188.157.443 > 192.168.21.2.60275: Flags [F.], seq 58, ack 1, win 63, options [nop,nop,TS val 3594744961 ecr 179268676], length 0
22:58:59.812919 IP 151.101.188.157.443 > 192.168.21.2.60275: Flags [F.], seq 58, ack 1, win 63, options [nop,nop,TS val 3594745072 ecr 179268676], length 0
22:59:00.294511 IP 151.101.188.157.443 > 192.168.21.2.60275: Flags [FP.], seq 0:58, ack 1, win 63, options [nop,nop,TS val 3594745192 ecr 179268676], length 58
22:59:01.257681 IP 151.101.188.157.443 > 192.168.21.2.60275: Flags [FP.], seq 0:58, ack 1, win 63, options [nop,nop,TS val 3594745433 ecr 179268676], length 58


192.168.21.2 je klient, který už je skoro 10 minut odpojený, tak to moc nechápu.
Trochu mi to připadá, jako když server neví, že se klient odpojil a snaží se komunikovat.

Je to celý nějaký divný. V GUI, v grafu tam pořád něco lítá a v terminálu teď nic.
Název: Re:Wireguard neustále generuje nějaký síťový provoz
Přispěvatel: _Jenda 08. 06. 2020, 00:59:47
Já výstup tcpdumpu číst neumím, vždycky si to pomocí -w nahraju do souboru a otevřu wiresharkem. Případně se to dá do wiresharku pipovat realtime:
Kód: [Vybrat]
ssh my-server "/usr/sbin/tcpdump -i eth0 -s0 -U -w - 'port 443'" | wireshark -k -i -Jinak bych to (divoce) tipoval na navázané spojení, které se teď protistrana snaží uzavřít.
Název: Re:Wireguard neustále generuje nějaký síťový provoz
Přispěvatel: Mi1an 08. 06. 2020, 01:27:06
Jinak bych to (divoce) tipoval na navázané spojení, které se teď protistrana snaží uzavřít.

To zní rozumně a velmi pravděpodobně to tak bude.Ta komunikace pochází z IP google, cloudflare, apple....
a je cílená na IP klienta.
Po pár minutách to skončí a z tcpdump už nic neleze.
Nicméně graf v routeru pořád ukazuje aktivitu.
Myslím si, že je to nějaká komunikace mezi wireguardem a routerem.
Je to edgerouter a wireguard jsem tam doinstaloval jako balíček neposkytovaný výrobcem.
Ve FW s ním asi není úplně počítáno.