Wireguard Mikrotik problem
Na WG som presiel naplno asi pred rokom, a predtym som ho dlhsie testoval, ale po rtoku mi zacina robit niekde kraviny, ze som musel nudzovo nasadit l2tp(ipsec).
Stav je asi takyto...mam desiatky WG serverov, ci uz na na MT alebo na Unifi masinach a na MT sa stretavam s nasledovnym.
Niektore sajty obcas zblbnu a to takym sposobom, ze mi bude zamrzne klient na win, vsetko zostane sede, nie je mozne aktitovat nove spojenie, pretoze tvrdi, ze ma ukoncit predosle aj ked ziadne nie je spustene.
V tomto pripade stacilo vacsinou vykillovat vsetky WG procesy na pozadi a vsetko sa rozbehlo.
Ak nie resetol som server a bol zase na dlhy cas pokoj.
Druhy problem ma stve viac...menil som u zakaznika branu, daval som mu tam RB5009 a menil som aj ovladanie siete na capsmanav2, co je, ale myslim nepodstatne...aj ked tych zmien oproti v1 je tam viac ako dost.
Problem je nasledovny...server sa rozhodne, ze zrazu a niekedy uz pri druhom spojeni klienta ho nespoji s tym, ze na klientovi vidim vacsinou v logoch, ze caka na handshake.
Riesnie na 90% je sravit disable/enable klienta na servri, cim dojde k resetu ich spojenia, ak nepomoze to tak disable/enable cely WG server a spojenia zase chvilu funguju.
Hladal som podobnosti s inymi WG servermi co mam a nic som nenasiel. Ma rozne pripojenie, niekde staticku ip priamo, niekde pppoe, niekde presmerovanu z ineho routra co ju ma rucne, niekde NAT 1:1 od ISP a skoro vsae mi to ide bez akychkolvek problemov.
Tu konkretne ide o pppoe spojenie cez Telekom, ale rovnakych konfigov mam niekolko a inde to funguje.
Stravil som za tym uz desiatky hodin, ale pricninnu suvislost som nebjavil a kedze zakznik bol viac ako nespokojny musel som mu nudzovo nasadit l2tp.
Riesil uz niekto nieco taketo?
Nehladajte chybu v konfigu, v mtu. vo firewalle a pod, to vsetko som uz 1000x skontroloval/vypinal/nastavoval a vysledky su vzdy take, ze po istom case sa spojenie uz neuskutocni.
Btw nie je problem v kleintoch, pretoze hoci na zaciatku hlasili oni chybu a mne to este z domu slo, neskor to uz prestalo ist aj mne rovnako ako im.
Nemuze za to Telecom a treba to, ze vyprsi lease a prideli novou adresu?
A preco mi inde Telekom funguje ok? Zeby mali na roznych ustredniach rozne MTU?
Inak ono to uz blblo az v takej miere, ze po prvom uspesnom spojeni a nalsednom rozpojenie (napriklad po min) sa mi uz druhe spravit nepodarilo kym som nerestol klient cez disable/enable.
A co nějaký packet capture ze strany klienta a ze strany serveru? Chodí všechny packety jak mají?
Muže jít o typické chování u kombinace MikroTik WireGuard + Windows klient, když se něco zasekne ve stavech tunelu. A ano, projevuje se to přesně tim šedým oknem, nemožnost tunel zapnout, hláška o probíhajícím spojení, i když žádné neběží.
Nebo jde o zaseknutý WinTun driver + chybějící keepalive > a Windows klient si myslí, že tunel stále běží.
Restart serveru to vyřeší, protože resetne všechny peer sessions.
Problémy s MTU nebo NAT keepalive, pokud některé stránky blbnou, může to být ze strany fragmentace paketů nebo příliš vysokého MTU (default je na MikroTiku tusim 1420)
Když se handshake ztratí, Windows klient se může při pokusu o znovuaktivaci zaseknout.
Doporučené nastavení co jsel našel bylo uvádĕno:
- Na Windows klientovi nastavit PersistentKeepalive = 25
- Na MikroTiku:
/interface wireguard peers set <peer> persistent-keepalive=25s
A MTU nastavit na:
- MikroTik: 1380
- Windows: 1380
PS: Když ti to zamrzne, nemusíš restartovat server, na MikroTiku stačí zadat:
/interface wireguard peers disable <peer>
/interface wireguard peers enable <peer>
Tím resetneš handshake bez restartu routeru.