Wireguard не поднимается туннель после перезагрузки устройства.

Подтверждаю, есть такой косяк. Накостылил передергивание пиров на сервере по расписанию и забил, но проблему это не решает. Надо запилить скрипт-попингуй в крон похоже.

1. Попробовать использовать nmcli, а не wg-quick. Сначала отключить сервис, потом выполнить sudo nmcli connection import type wireguard file "/path/to/wg.conf"

2. Попробовать проставить PersistentKeepalive 25 в конфиге.

Это не связано ни с wg-quick (это просто башпортянка) ни с keepalive. Какой-то внутренний косяк, откуда подтверждаю - по иронии судьбы сегодня утром в квартире сработал стабилизатор, после чего туннель не заработал. До этого такого поведения не наблюдалось, видимо что-то где-то обновилось.

Лучший «отговори меня от использования wg» :) Я про себя любимого. Регулярно читая темы про wg думаю «ну надож прям завтра точно попробовать, а то все пользуют, один я как лох без него» :)

Ну, справедливости ради, инструмент рабочий и производительный даже на чайнике. Детские огрехи простительны, опять же, обложиться костылями - святое. Не говоря уж о том, что я не делал расследование, возможно тупняк в среде пользователя.

отговори меня от использования wg

Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой их софт не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:

Deep Packet Inspection

WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.

На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.

Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером, помимо того что это +один внешний слой костылей. Коммерческие же провайдеры VPN обычно сразу предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard у них обычно всего два варианта — по стандартному или альтернативному порту без обфускации.

А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий, их не беспокоит что сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.

Ну могу сказать, что давно пользую ваергард, как для себя, так и для людей. У меня всё, как говорится, рок солид. Неудобство ровно одно — минимализм. Гораздо удобней было бы пользоваться паролями, но для этого надо накручивать доп слой, клиента своего писать, в общем для мелкого использования не вариант. Но в целом это можно пережить.

не грузит камень

Случайно не сравнивали нагрузку на камешек с вариантами ipsec и/или ipsec+l2tp ?

На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard.

Спасибо огромное! Это действительно ценное замечание! Чего-то даже в голову не приходило ещё и с этой стороны про него почитать.

К сожалению они далеки от наших реалий, их не беспокоит что сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.

Это не только про «наши лампочки», в мире достаточно мест где работает только ограниченный набор возможностей по созданию туннеля без относительно «лампочек», а просто «потому что». :)

Гораздо удобней было бы пользоваться паролями

Вот тут я честно не понял. Что означает «удобнее» именно для вас?

Случайно не сравнивали нагрузку на камешек с вариантами ipsec и/или ipsec+l2tp ?

До 1gbit\s примерно одинаково, однако для некоторых сетевух возможен аппаратный оффлоад ipsec. Wireguard ЕМНИП пока нигде аппаратно не оффлоадится. Так что с оффлоадом на интеловскую сетевушку через ipsec можно и 10+gbit\s прокачивать без существенного напряга для CPU. Wireguard я на таких каналах не пробовал ещё.

Емко в двух ответах разжевали всё. Спасибо огромное!

Я извиняюсь, а микротики разве умеют wg? Вроде раньше на стандартных прошивках не умели. Сделали?

https://help.mikrotik.com/docs/display/ROS/WireGuard

Убунту, негротик.

Ну тут всё понятно. У меня на дебиане и опенврт всё как часики поднимается.

Удобней настраивать девайсы, в том числе другим людям.

Почему WireGuard, а не, допустим, ipsec.

1. Мегафон, за каким-то хреном, еще месяц назад «рубил» ipsec.
   Не знаю, только у меня(в регионе, области, районе). Но, факт имел место быть… Сейчас работает…

2. Поднят OSFP. Есть головной офис, филиалы, дом, дача… Основные каналы, резервные каналы…OSFP просто и удобно. Mikrotik не умеет VTI. Городить gre поверх ipsec или ip-ip… Откровенно лень. Да и устарело это все).

Как понял, косяк в реализации Wireguard. Будем ждать, когда поправят…

Все эти костыли хорошо(на самом деле не очень), когда сидишь и обслуживаешь определенную инфраструктуру…
Когда занимаешься, время от времени. Наступает момент - «сам не понимаешь, как оно работает и что делать»… Тут костылик, там костылик. Забыл… Потом сидишь разбираешься)

Ну так это, не надо давать мозгам закисать. Да и полезно время от времени поизучать что где и чем подперто )))

https://help.mikrotik.com/docs/display/ROS/WireGuard

Сорри, все перечитал, но ответа на свой вопрос так и не нашел. В RouterOS 7 уже вроде обещали WG но в 6????? специально обновил один из своих микротов до последней 6.49.6 ничего похожего не нашел.

В 6 нет.

Достаточно использовать подход «Инфраструктура как код» и хранить этот код в git.

Точно. Особенно, когда поддержка инфраструктуры не является основным видом деятельности…)

Судя по всему в Router OS 7.4 проблему поправили… Вчера свет рубанули, в очередной раз. Все поднялось без проблем…