Ping neprojde do pingnutí z druhé strany

Ping neprojde do pingnutí z druhé strany
« kdy: 22. 05. 2024, 23:50:03 »
Dobry vecer,

lamu si tu hlavu zase s dalsi libustkou a budu rad za napady.


Mejme sit za(bez)dratovanou takhle:

RPi > Wi-Fi k telefonu slouzicimu jako hotspot > LTE > verejna IP > pfSense


Na RPi (RaspberryOS Bookworm) bezi Wireguard 192.168.50.4/24, pfSense posloucha na udp/51821, Wireguard interface 192.168.50.254/24

AllowedIPs na RPi jsou 192.168.50.0/24, 192.168.30.0/24, 192.168.20.0/24, 192.168.10.0/24 (coz jsou dalsi rozsahy existujici v pfSense, z nichz funguje routovani prave na tenhle Wireguard interface)



Casto se mi deje, ze komunikace z tech AllowedIPs rozsahu smerem na 192.168.50.4 nefunguje a zazracne zacne fungovat v moment, kdy nejakou komunikaci zahajim opacnym smerem, tj. kdy tuhle RPi mam jako odesilatele treba ICMP echo requestu.

Tak fajn, navazu spojeni, otevru treba SSH, VNC, udelam, co potrebuju, zavru... nojo, ale abych to spojeni treba za 15 minut otevrel znova, tak uz mam smolika, protoze se to zase rozpadne az do prostouchnuti z druhe strany. Coz je blby, protoze typickej scenar znamena, ze RPi zustane nekde daleko v prirode a ja uz si hovim doma.


Pripada mi to jako nejakej problem s ARP cache, ale moc nevim, jak to odladit.


Jasne, nejakej stupidni workaround jako poslat jednou za minutu jeden ping, at se to laskave udrzi nazivu, by asi fungovalo, ale prece musi byt i nejaky elegantnejsi reseni?!


luvar

  • ***
  • 240
    • Zobrazit profil
    • E-mail
Re:Ping neprojde az do pingnuti z druhe strany
« Odpověď #1 kdy: 23. 05. 2024, 06:11:19 »
Dobry den, skusim aspon nejake napady pridat.
  • https://www.wireguard.com/quickstart/ -> NAT and Firewall Traversal Persistence -> nastavit keepalive
  • Skusil by som nainstalovat wireguard na telefon a overit, ci aj ten bude "vypadavat". Ak nie, tak mozno by sa dal pouzit ten na prisup k RPi.
  • Overit stav arp cache na mobilnom telefone. Ze ci zaznam nemizne ztadial.

Osobne mi to pripada ako problem ktory sa obchadza cez "udp hole punching" (v csd a gprs pripojeniach som s tym mal znaku skusenost skrz viacerych operatorov a tusim niekto mal 3 minuty a niekto 5). Mozno bude nutne prinutit wireguard, aby robil keep-alive. Ked sa nad tym viac zamyslam, tak na 99% toto bude problem...

Re:Ping neprojde az do pingnuti z druhe strany
« Odpověď #2 kdy: 23. 05. 2024, 06:45:16 »
To s ARP cache nebude mať nič spoločné. Tam sú buď zle spravené routovacie pravidlá medzi tými LANmi (routujú iba v jednom smere) alebo je problém s firewalom a jeho pravidlami (blokuje spojenie v jednom smere)

Re:Ping neprojde az do pingnuti z druhe strany
« Odpověď #3 kdy: 23. 05. 2024, 08:00:19 »
ve wireguardu si zapni PersistentKeepalive

Re:Ping neprojde az do pingnuti z druhe strany
« Odpověď #4 kdy: 23. 05. 2024, 08:25:02 »
Ano LTE/5G spojení dělají to, že pokud není traffic z lan tak pracuji v modu vytačení, tj, čekaji na inicializaci od klienta,
bud v modemu pokud to umi nastav neco jako keep-alive nebo persintence
nebo to obejdi přes ten wireguard.
kdysi cca 15 let dozadu jsem to řesil pernamentním pingem z klienta aby se spojeni neukončilo.

vtipné je že to tehda nevěděli ani u T-mobilu, sam klientum bez verejne IP to bylo fuck

ve wireguardu si zapni PersistentKeepalive


Re:Ping neprojde do pingnutí z druhé strany
« Odpověď #5 kdy: 23. 05. 2024, 12:51:31 »
Dekuji!
Mate pravdu, po zapnuti KeepAlive jednou za minutu ve Wireguardu je po problemu, WG se mi uz i spolehlive pripoji hned po startu RPi a nic se nerozpada.