Wireguard neustále generuje nějaký síťový provoz

Mi1an

Wireguard neustále generuje nějaký síťový provoz
« kdy: 07. 06. 2020, 19:06:30 »
Zdravím.
Je normální, že wireguard na routeru neustále něco odesílá?
Když se v routeru podívám na aktivitu na síťových rozhraních, tak u rozhraní wireguardu vidím
neustále asi ve tří sekundových intervalech Tx 592 bps - 1.18 kbps.
Žádný klient není připojen.
Wireguard jsem nasadil místo openvpn. U openvpn byl vždycky absolutní "rádiový klid", pokud nebyl žádný klient připojen.
Přijde mi ta aktivita trochu podezřelá. Paranoidní nejsem, jenom se mi to jeví, jako nějaká chyba.


Re:Wireguard neustále generuje nějaký síťový provoz
« Odpověď #1 kdy: 07. 06. 2020, 19:56:17 »
Ja mam zkusenost opacnou. OpenVPN vzdy potreboval nejake pakety na udrzeni spojeni. Wireguard neposle ani paket, dokud pres nej neco nepripojim/neposlu.

Mi1an

Re:Wireguard neustále generuje nějaký síťový provoz
« Odpověď #2 kdy: 07. 06. 2020, 20:00:31 »
Ja mam zkusenost opacnou. OpenVPN vzdy potreboval nejake pakety na udrzeni spojeni. Wireguard neposle ani paket, dokud pres nej neco nepripojim/neposlu.

No, u wireguardu se nastavuje Persistent KeepAlive, ale na klientech, ne na serveru. Proto mi to přijde divný.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Wireguard neustále generuje nějaký síťový provoz
« Odpověď #3 kdy: 07. 06. 2020, 21:40:58 »
No, u wireguardu se nastavuje Persistent KeepAlive, ale na klientech, ne na serveru. Proto mi to přijde divný.
Já to pochopil tak, že ať je keepalive na kterékoli straně, tak se posílá. A máš ho teda zapnuté nebo ne? Když spustíš tcpdump na tom wg interface, tak tam nějaký provoz vidíš?

Mi1an

Re:Wireguard neustále generuje nějaký síťový provoz
« Odpověď #4 kdy: 07. 06. 2020, 23:16:11 »
Citace
Já to pochopil tak, že ať je keepalive na kterékoli straně, tak se posílá. A máš ho teda zapnuté nebo ne? Když spustíš tcpdump na tom wg interface, tak tam nějaký provoz vidíš?

KeepAlive mám zapnuté v conf na klientech. Žádný klient ale není připojený.
Na routeru žádný KeepAlive nevidím a ani jsem ho tam nikam nedával.
Z tcpdump něco nečitelnýho leze v podstatě permanentně.
Na routeru jsem zkusil capture wireguard rozhraní.

Kód: [Vybrat]
milan@ubnt:~$ show interfaces wireguard wg0 capture
Capturing traffic on wg0 ...
22:53:47.136696 IP 172.217.21.228.443 > 192.168.21.2.60265: Flags [FP.], seq 1900084362:1900084418, ack 2612419515, win 269, options [nop,nop,TS val 2743652258 ecr 179266627], length 56
22:55:29.174457 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [P.], seq 3475538258:3475538297, ack 2908339739, win 67, length 39
22:55:29.174916 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [P.], seq 39:63, ack 1, win 67, length 24
22:55:29.175618 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [F.], seq 63, ack 1, win 67, length 0
22:55:29.239815 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [F.], seq 63, ack 1, win 67, length 0
22:55:29.457096 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [FP.], seq 0:63, ack 1, win 67, length 63
22:55:29.914024 IP 104.16.133.229.443 > 192.168.21.2.60274: Flags [FP.], seq 0:63, ack 1, win 67, length 63
22:58:59.371996 IP 151.101.188.157.443 > 192.168.21.2.60275: Flags [P.], seq 2591685999:2591686057, ack 1616905372, win 63, options [nop,nop,TS val 3594744961 ecr 179268676], length 58
22:58:59.372573 IP 151.101.188.157.443 > 192.168.21.2.60275: Flags [F.], seq 58, ack 1, win 63, options [nop,nop,TS val 3594744961 ecr 179268676], length 0
22:58:59.812919 IP 151.101.188.157.443 > 192.168.21.2.60275: Flags [F.], seq 58, ack 1, win 63, options [nop,nop,TS val 3594745072 ecr 179268676], length 0
22:59:00.294511 IP 151.101.188.157.443 > 192.168.21.2.60275: Flags [FP.], seq 0:58, ack 1, win 63, options [nop,nop,TS val 3594745192 ecr 179268676], length 58
22:59:01.257681 IP 151.101.188.157.443 > 192.168.21.2.60275: Flags [FP.], seq 0:58, ack 1, win 63, options [nop,nop,TS val 3594745433 ecr 179268676], length 58


192.168.21.2 je klient, který už je skoro 10 minut odpojený, tak to moc nechápu.
Trochu mi to připadá, jako když server neví, že se klient odpojil a snaží se komunikovat.

Je to celý nějaký divný. V GUI, v grafu tam pořád něco lítá a v terminálu teď nic.


_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Wireguard neustále generuje nějaký síťový provoz
« Odpověď #5 kdy: 08. 06. 2020, 00:59:47 »
Já výstup tcpdumpu číst neumím, vždycky si to pomocí -w nahraju do souboru a otevřu wiresharkem. Případně se to dá do wiresharku pipovat realtime:
Kód: [Vybrat]
ssh my-server "/usr/sbin/tcpdump -i eth0 -s0 -U -w - 'port 443'" | wireshark -k -i -Jinak bych to (divoce) tipoval na navázané spojení, které se teď protistrana snaží uzavřít.

Mi1an

Re:Wireguard neustále generuje nějaký síťový provoz
« Odpověď #6 kdy: 08. 06. 2020, 01:27:06 »
Jinak bych to (divoce) tipoval na navázané spojení, které se teď protistrana snaží uzavřít.

To zní rozumně a velmi pravděpodobně to tak bude.Ta komunikace pochází z IP google, cloudflare, apple....
a je cílená na IP klienta.
Po pár minutách to skončí a z tcpdump už nic neleze.
Nicméně graf v routeru pořád ukazuje aktivitu.
Myslím si, že je to nějaká komunikace mezi wireguardem a routerem.
Je to edgerouter a wireguard jsem tam doinstaloval jako balíček neposkytovaný výrobcem.
Ve FW s ním asi není úplně počítáno.