Wireguard - padá připojení

Wireguard - padá připojení
« kdy: 18. 02. 2022, 20:17:56 »
Zdravím,
mám na Mikrotiku Wireguard, ke kterému se připojují klienti, z Windows. U některých klientů nastává rozpojení připojení asi každou minutu. V logu Wireguard na Windows se při rozpojení objevuje tato hláška:

Kód: [Vybrat]
[TUN] [KlientID] Retrying handshake with peer 1 (IPADRESA_MT:13232) because we stopped hearing back after 15 seconds

Spojení se za několik sekund obnoví, ale mezi tím popadají aplikace připojené přes tunel. Zvláštní je, že to dělají jen někteří klienti, u ostatních se Wireguard nerozpojuje. Konfigurace mají stejné, liší se samozřejmě příslušné klíče. Vyzkoušeno na jednom PC, takže odpadá možnost v různém nastavení OS. Wireguard na MT i Windows jsou poslední dostupné verze.


Re:Wireguard - padá připojení
« Odpověď #1 kdy: 18. 02. 2022, 20:39:55 »
Takhle naslepo bych tipoval, že NAT zavře port po dlouhé pauze v komunikaci. WireGuard je totiž potichu, pokud není třeba přenášet data.

Pomůže volba PersistentKeepalive, která zajistí pravidelné posílání prázdných paketů pro zachování otevřené cesty.

Re:Wireguard - padá připojení
« Odpověď #2 kdy: 18. 02. 2022, 20:47:41 »
PersistentKeepalive jsem také zkoušel, ale tunel se rozpojí i při kontinuálním pingu.

Re:Wireguard - padá připojení
« Odpověď #3 kdy: 18. 02. 2022, 21:25:26 »
Tento klient se odpojuje:

Kód: [Vybrat]
Interface]
PrivateKey = PRIVKLIC-1
Address = 192.168.65.3/24
DNS = 192.168.80.31

[Peer]
PublicKey = VEREJNYKLIC-MT
PresharedKey = PREDSDILENYKLIC1
AllowedIPs = 192.168.80.0/24, 192.168.82.0/24, 192.168.83.0/24, 192.168.65.1/32
Endpoint = IP-MT:13232
PersistentKeepalive = 25

Tento klient běží ok:

Kód: [Vybrat]
[Interface]
PrivateKey = PRIVKLIC-2
Address = 192.168.65.4/24
DNS = 192.168.80.31

[Peer]
PublicKey = VEREJNYKLIC-MT
PresharedKey = PREDSDILENYKLIC2
AllowedIPs = 192.168.80.0/24, 192.168.82.0/24, 192.168.83.0/24, 192.168.65.1/32
Endpoint = IP-MT:13232

IP adresu 192.168.65.1 má interface wireguard na MT. Adresy 192.168.65.3 a 192.168.65.4 jsou v Allowed adresses na MT.

Re:Wireguard - padá připojení
« Odpověď #4 kdy: 18. 02. 2022, 23:42:22 »
No ono taky je důležité Odkud se připojuje. Nebo zkusit zda se budou odpojovat jiný klienti z daného místa připojení nebo obráceně zda odpojování zmizí, když se daný vaďák přemístí do jiné sítě, kde se nevaďáky neodpojovaly.

A NATÚ  může být několik za sebou. (by ale Keepalive měl řešit). No ale napadá mě, prostě když někdo na (některém)routeru  si ze srandy spustí conntrack -F , tak je žížala přeseknutá. Nemám pravdu?
« Poslední změna: 18. 02. 2022, 23:44:34 od mikesznovu »


Re:Wireguard - padá připojení
« Odpověď #5 kdy: 23. 02. 2022, 14:45:42 »
Zatím to vypadá, že problém je vyřešen po upgrade RouterOS na verzi 7.1.2.