Wireguard: handshake есть, но интернета нет

Ты немного опоздал. На полгода, примерно. vpn блокируют

Роскомнадзор у тебя происходит. Whois говорит что IPшник у твоей VPS польский, а значит ты пытаешься в окружающие нашу свободную страну враждебные интернеты тоннель пробить, нехороший ты человек. И чего тебе внутри цифрового забора не сидится?

Используй на клиенте амнезию вместо штатного вайргварда. Сервер переустанавливать не нужно, клиент амнезии работает и с обычным сервером, достаточно на клиента водрузить амнезию и добавить восемь строчек в уже существующий конфиг клиента в секцию [Interface]. У меня работает вот такое:

[Interface]
...
Jc = 3
Jmin = 40
Jmax = 70
S1 = 0
S2 = 0
H1 = 1
H2 = 2
H3 = 3
H4 = 4

Тайный смысл этих заклинаний в документации на амнезию. Возможно для твоего провайдера их придётся подкрутить.

https://github.com/amnezia-vpn/amnezia-client

У меня собственный VPS. Они уже на уровне уровне протокола блокируют?

Вы уверены, что на сервере ничего делать не нужно?

Как-то это ненадёжно... С таким же успехом можно и на bydpi параметры обфускации подбирать, бесплатно. Я-то надеялся с собственным VPS проблем не будет.

ни один сайт не открывается.

для этого хватает socks5 прокси от ssh -D3128 …

Продвижение пакетов между интерфейсами разрешено?

Пинг адресов Wireguard сети идёт?

Да, уверен. Wireguard блокируется на уровне протокола, с помощью DPI. Да, bydpi делает то же самое, почти, потому что в обоих реализациях используется методика разработанная ValdikSS. На сервере ничего делать не нужно, во первых об этом написано где то в документации (не помню где), во вторых я лично цепляюсь амнезией к серверам wireguard моего коммерческого VPN провайдера, который про амнезию вообще не знает и не понимает зачем это нужно.

Это ненадёжно, да, но вариантов у тебя всего три: смириться и сидеть внутри загона, завернуть туннель в носки (vray\x2ray, stunnel, ssh, shadowsocks и т.п. но для этого нужны носки на обоих концах, это не всегда возможно), byedpi\amnezia. Я тебя не агитирую, моё дело предложить...

Про «параметры подбирать бесплатно» не понял. Амнезия тоже бесплатная, ты хочешь чтобы тебе платно их подобрали или что?

Спасибо. Попробовал, хорошо было. Но спустя пару часов стало тормозить. Скорость нерегулярная, от 1 МБ/с до 10 кБ/с. Я пробовал установить shadowsocks, так же тормозит. Сейчас даже если я просто на сервер захожу по ssh, то всё лагает, нажимаю клавишу, через пару-тройку секунд она появляется. Вначале такого не было.

Я не понимаю, это я что-то не так делаю, VPS такой, или это меня уже блочат?

Спасибо за разъяснения. Буду пробовать амнезию.

P.S. Про «бесплатно» я имел в виду, что не нужно покупать VPS, чтобы играться с параметрами bydpi.

Если интересно, когда я настраивал свой прокси для Китая, через ssh я вообще не заходил по открытому соединению. Есть инфа что если ты по ssh коннектиться куда-то то этот сервер сразу под карандаш берут и трафик туда тротлят. Я пользовался esim в роуминге и через неё делал все административные действия. Сервер настраивал на xray reality. У меня получилось в итоге пробиться через китайский файрволл, все работало хорошо.

Они уже на уровне уровне протокола блокируют?

Да, у меня где-то месяц назад WG отвалился. Используй клиент с обфускацией как уже советовали, или посылай пустые UDP пакеты перед началом сессии (исходящий порт должен быть фиксирован).

На клиенте сделай mtu 1384 и если на vps есть ipv6 для туннеля поробуй через него.

или посылай пустые UDP пакеты перед началом сессии (исходящий порт должен быть фиксирован)

Давно уже не работает.

Давно уже не работает

У меня работает, но я постоянно шлю, через cron, каждые 5 секунд.

А можно тут поподробнее? У меня до прошлой недели работало, потом отвалилось. Пакеты гонялись в PRE-UP.

цепляюсь амнезией к серверам wireguard

Можно пример конфига? А то я попробовал добавить в секцию interface то, что ты запостил выше - пишет что неверный формат файла конфигурации. Если бы параметры были бы неправильные то врядли ругался бы на формат конфига.

[Interface]
Address = XXX.XXX.XXX.XXX/32,XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX/128
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
MTU = 1320
DNS = XXX.XXX.XXX.XXX, XXXX:XXXX:XXXX:XXXX::1
Jc = 3
Jmin = 40
Jmax = 70
S1 = 0
S2 = 0
H1 = 1
H2 = 2
H3 = 3
H4 = 4

[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
Endpoint = at3.vpn.airdns.org:47107
AllowedIPs = 0.0.0.0/0,::/0
PersistentKeepalive = 15

Скорее всего ты просто не Амнезию пускаешь, а обычный WG. У амнезии свой модуль ведра, или как альтернатива юзерспйсная реализация интерфейса на Go. И свой набор тулзов, например awg-quick, а не wg-quick. Впрочем если у тебя systemd дистр проще amnezia-client заюзать, там демон на go уже в комплекте. Но если у тебя не systemd нужно скрипты перепахивать, клиент на механизмы systemd полагается. Впрочем amneziawg-go + amneziawg-tools прекрасно из сосноли работают без всякой гуйни и systemd.

Модуль ведра = https://github.com/amnezia-vpn/amneziawg-linux-kernel-module

Юзерспейсная реализация (модуль ведра не нужен) = https://github.com/amnezia-vpn/amneziawg-go

Утилиты = https://github.com/amnezia-vpn/amneziawg-tools

В секции [Interface ] у меня отсутствует MTU, в секции {Peer] отсутствует PresharedKey b PersistentKeepalive = 15, в остальном всё то же самое.

Может ошибка из-за того, что у меня клиент не с амнезия-го с гитхаба, а с амнезия.орг?

Ненене, ты не путай. С amnezia.org раздают amnezia-client, это гуйня с amneziawg-go внутри, оно так то рабочее, но без systemd жить не может, оно использует механизмы systemd чтобы amneziawg-go от юзера через dbus запустить и интерфейс родить. Если у тебя нет systemd, и гуй тебе не принципиален, достаточно скачать отдельно amneziawg-go и amneziawg-tools, сначала как там в инструкции написано родить сетевой интерфейс через amneziawg-go, а потом его настроить через awg-quick например. Вместо amneziawg-go можно скачать и собрать ядрёный модуль, его достаточно в ядро вставить и awg-quick родит интерфейс сам.

По идее нужны всего две команды:

$ amneziawg-go wg0
$ awg-quick up wg0

При условии что конфиг у тебя лежит в /etc/amnezia/wg0.conf

А ты командой какой поднимаешь? Wg-quick up interface не распарит конфиг амнезии, тут нужно установить пакет амнезии и юзать ее команду для поднятия интерфейса

Ты свой то завел wg? Не отписал в том треде, чем кончилось.

А ты командой какой поднимаешь?

никакой, юзаю гуишный amnezia-client с ключом, пробовал добавить в него конфиг от wg - не прокатило.

постоянно шлю, через cron, каждые 5 секунд

расскажи подробнее про такую фичу, у себя попробую реализовать

Ну смотри, нативный конфиг можно экспортировать в базу, где гуишный WG остальные конфиги хранит, но прежде его надо под амнезию редактировать и всё заведется.

Я раскатывал в обратную сторону, брал amnezia-tools ставил, редачил нативный конфиг (серверный) и поднимал awg-quick up inf_name, ибо админка написана на команду wg-quick и она его тогда поднять не может, ибо не может параметры распарсить((

Что там рассказывать? Вешаешь на cron вызов nping с нужными параметрами (адрес, порт) каждые 5 секунд.

Правильно понял, что ты вызываешь nping в сторону клиента?

А как быть если со стороны клиента порт для подключения статический, а порт интерфейса клиента - динамика?

Да нет же, с клиента на сервер.

порт интерфейса клиента - динамика

Он в любом случае не должен быть динамическим.

Давно.

В таком случае, как ты с клиента, который выступает телефоном например отправляешь nping…?

Можете пояснить, нужно просто в конфиге добавить вот этим строчки и предполагается, что через него удастся законнектиться через обычный клиент или это работает только с помощью их фирменного приложения?

С ним и у меня работает, но на роутер можно поместить только классический файл конфига.

Можете пояснить, нужно просто в конфиге добавить вот этим строчки и предполагается, что через него удастся законнектиться через обычный клиент или это работает только с помощью их фирменного приложения?

С ним и у меня работает, но на роутер можно поместить только классический файл конфига.

Через обычный клиент вг не получится. Сорцы клиента есть на гитхабе.

Поясняю, клиент должен быть от Амнезии. Или тот который с GUI, или консольный. Для консольных клиентских утилит так же нужны модули ядра Амнезии, или её юзерспейсная реализация на GO. Тот клиент который с GUI уже её в кишках имеет, но без systemd запустить её не может, так что работает только на дистрибутивах с systemd.

А вот СЕРВЕР, то есть то к чему клиент коннектится, не обязан быть сервером Амнезии, годится обычный wireguard. Собственно у меня так и работает с коммерческим VPN провайдером который про Амнезию вообще ничего не знает (и знать не хочет, так как это локальные проблемы индейцев).

Спасибо, тогда могу переформулировать вопрос.

На моем роутере по умолчанию есть возможность поставить опенвпн и ваергард.

На одном из сервером поставил обычный ваергард и он почему-то работает, блока нет. Но мне нужно в другой стране.

Точно такими же способами ставлю эти протоколы на сервере в нужной мне стране от разных провайдеров - всегда блок. Ставлю амнезию или прошу друзей из другого региона подключиться - работает.

Видимо, блокировка.

В моем случае есть возможность стандартным клиентом оживить подключения или искать другой роутер и рассматривать другие протоколы, как поступить?

На шлюзе нужно разрешить forwarding для ipv4v6, и ещё делать masquerade для ipv4.

можете чуть более подробно пояснить или скинуть ссылку на мануал, если есть

Автор уже добавил в брандмауэр нужные правила, но ещё нужны единицы в выводе sysctl --all | grep forward