Наcтройка vpn wireguard

0

2

Приветствую,

Поднял и настроил VPN Wireguard на сервер, но очень медленно работает бывает грузить данные в несколько Kb/c или подает в байтах в чем может быть трабла? на свитче ограничений нету и в правилах тоже, это как-то может влиять на увеличение пользователей или сам провайдер сети может резать скорость? Wireguard работает по UDP.

Заранее спасибо за советы и предложения.

Ссылка

←	Что-то мой сайт недоступен. Что за?

Ssh команда

→

pmtu ?

anc ★★★★★
(10.10.22 13:00:39 MSK)
Последнее исправление: anc 10.10.22 13:01:15 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 10.10.22 13:00:39 MSK

Его кастомно нужно указать в конфиге сервера или в клиенте?

troy856
(10.10.22 13:04:28 MSK) автор топика

Ответ на: комментарий от troy856 10.10.22 13:04:28 MSK

Правило прописать в iptables на сервере

anc ★★★★★
(10.10.22 13:06:22 MSK)

Ответ на: комментарий от anc 10.10.22 13:06:22 MSK

Правило прописать в iptables на сервере

Это должно выглядеть так?

# firewall-cmd --permanent --direct --add-passthrough ipv4 -t mangle -I FORWARD -p tcp --syn -j TCPMSS --clamp-mss-to-pmtu

# firewall-cmd --add-rich-rule='rule tcp-mss-clamp value=pmtu'

# firewall-cmd --add-rich-rule='rule tcp-mss-clamp value=1420' Value указываем как 1420 или можно меньше?

Или может указать сразу на интерфейсе?

sudo ip link set dev wg0 mtu 1400

troy856
(10.10.22 13:33:27 MSK) автор топика

Ответ на: комментарий от troy856 10.10.22 13:33:27 MSK

Хотя правило добавил:

# firewall-cmd --permanent --direct --add-passthrough ipv4 -t mangle -I FORWARD -p tcp --syn -j TCPMSS --clamp-mss-to-pmtu

А вот на эту rule ругается:

# firewall-cmd --add-rich-rule='rule tcp-mss-clamp value=pmtu Error: INVALID_RULE: unknown element tcp-mss-clamp

troy856
(10.10.22 16:59:37 MSK) автор топика

Ссылка

Ответ на: комментарий от troy856 10.10.22 13:33:27 MSK

Это должно выглядеть так?
firewall-cmd --permanent --direct --add-passthrough ipv4 -t mangle -I FORWARD -p tcp --syn -j TCPMSS --clamp-mss-to-pmtu

Сорри, не знаток именно firewall-cmd, но выглядит вроде похоже к тому о чем я писал. Только не в таблицу FORWARD а в POSTROUTING.

anc ★★★★★
(10.10.22 17:46:48 MSK)

Ответ на: комментарий от anc 10.10.22 17:46:48 MSK

Cпасибо большое. Но огромного прироста скорости я так не увидел, какие ещё могут быть идеи?

troy856
(11.10.22 18:27:00 MSK) автор топика

Ответ на: комментарий от troy856 11.10.22 18:27:00 MSK

Так ты фрагментацию-то в итоге поглядел? Еще ж провайдер может резать udp. В общем, iperf3 в руки и изучай.

Anoxemian ★★★★★
(11.10.22 19:16:16 MSK)

Ответ на: комментарий от troy856 11.10.22 18:27:00 MSK

Смотреть iptables-save мы тут не телепаты.

anc ★★★★★
(11.10.22 20:27:02 MSK)

Ответ на: комментарий от Anoxemian 11.10.22 19:16:16 MSK

Да, вроде пакеты проходят без потерь


[  4]   0.00-1.01   sec   896 KBytes  7.28 Mbits/sec
[  4]   1.01-2.00   sec  1.88 MBytes  15.8 Mbits/sec
[  4]   2.00-3.01   sec  1.75 MBytes  14.6 Mbits/sec
[  4]   3.01-4.01   sec  1.75 MBytes  14.6 Mbits/sec
[  4]   4.01-5.01   sec  1.88 MBytes  15.7 Mbits/sec
[  4]   5.01-6.00   sec  1.75 MBytes  14.9 Mbits/sec
[  4]   6.00-7.01   sec  1.25 MBytes  10.4 Mbits/sec
[  4]   7.01-8.00   sec  1.75 MBytes  14.8 Mbits/sec
[  4]   8.00-9.01   sec  1.75 MBytes  14.7 Mbits/sec
[  4]   9.01-10.01  sec  1.75 MBytes  14.6 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-10.01  sec  16.4 MBytes  13.7 Mbits/sec                  sender
[  4]   0.00-10.01  sec  16.4 MBytes  13.7 Mbits/sec                  receiver

iperf Done.

troy856
(12.10.22 13:28:54 MSK) автор топика

Ответ на: комментарий от anc 11.10.22 20:27:02 MSK

Смотреть iptables-save мы тут не телепаты.


*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Oct 12 10:23:00 2022
# Generated by iptables-save v1.8.7 on Wed Oct 12 10:23:00 2022
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -o wg0 -j ACCEPT
COMMIT
# Completed on Wed Oct 12 10:23:00 2022
# Generated by iptables-save v1.8.7 on Wed Oct 12 10:23:00 2022
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o ens160 -j MASQUERADE
-A POSTROUTING -o ens160 -j MASQUERADE
COMMIT

troy856
(12.10.22 13:29:35 MSK) автор топика

Ссылка

Ответ на: комментарий от troy856 12.10.22 13:28:54 MSK

iperf3, он показывает фрагментацию.

Anoxemian ★★★★★
(12.10.22 17:02:16 MSK)

Ответ на: комментарий от Anoxemian 12.10.22 17:02:16 MSK

Есть возможность как-то пофиксить фрагметацию пакетов? или вопрос к провайдеру?

troy856
(13.10.22 00:36:15 MSK) автор топика
Последнее исправление: troy856 13.10.22 00:36:41 MSK (всего исправлений: 1)

Ответ на: комментарий от troy856 13.10.22 00:36:15 MSK

Конечно, подбери подходящий mtu. Начни с 1280 и ползи вверх.

Anoxemian ★★★★★
(13.10.22 02:00:04 MSK)

Ответ на: комментарий от Anoxemian 13.10.22 02:00:04 MSK

Поддерживаю, только начать с более низкого чисилка, 1280 как общепринятое «640кб хватит всем» :), в моей практике было что и его слишком «много».

anc ★★★★★
(13.10.22 03:35:11 MSK)

Ссылка

Ответ на: комментарий от Anoxemian 13.10.22 02:00:04 MSK

Конечно, подбери подходящий mtu. Начни с 1280 и ползи вверх.

Я вот сейчас выставил mtu в конфиге на сервере wg0 1420 а на клиенте 1280 или лучше одинаковые выставлять? Мониторинг тоже иногда флапает, вангую что это как раз связано с фрагментации пакетов «Interface wg0: High error rate (>2 for 5m)» Буду тогда дальше проверять, спасибо

troy856
(13.10.22 10:13:59 MSK) автор топика
Последнее исправление: troy856 13.10.22 10:18:41 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Что-то мой сайт недоступен. Что за?

Admin

Ssh команда

→

Похожие темы