Пропал доступ в интернет через wireguard

0

1

Настроил wireguard на vps пару дней назад по этой инструкции: https://www.cyberciti.biz/faq/how-to-set-up-wireguard-firewall-rules-in-linux/

В качестве клиента выступает мобилка с официальным приложением. В секции Peer в AllowedIPs как положено 0.0.0.0/0. Сразу после настройки интернет работал. И вот спустя пару дней я решил подконнектиться снова, но теперь доступа в интернет не наблюдается. При этом IP пиров пингуются в обоих направлениях.

iptables-save на vps:

# Generated by iptables-save v1.8.9 (nf_tables) on Wed Dec 25 15:25:56 2024
*filter
:INPUT ACCEPT [1457:236490]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2125:5452042]
-A INPUT -i eth0 -p udp -m udp --dport 41194 -j ACCEPT
-A INPUT -i wg0 -j ACCEPT
-A FORWARD -i wg0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o wg0 -j ACCEPT
COMMIT
# Completed on Wed Dec 25 15:25:56 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Dec 25 15:25:56 2024
*nat
:PREROUTING ACCEPT [90:7653]
:INPUT ACCEPT [79:6993]
:OUTPUT ACCEPT [5:873]
:POSTROUTING ACCEPT [5:873]
-A POSTROUTING -s 192.168.6.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Dec 25 15:25:56 2024

IP сервака: 192.168.6.1 Мобилки: 192.168.6.2

# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Что это может быть? Провайдер VPS может вставлять палки в колеса?

←	Как работает SADP

nginx proxy header

→

Если VPS за пределами нашей родины, то это РКН. Блочит на уровне протокола. При этом внутри России wg ходит нормально.

gremlin_the_red ★★★★★
(25.12.24 19:16:47 MSK)

wireguard это не средство доступа в интернет, это средство шифрования виртуальной локальной сети. Не надо его абузить для транзита трафика из инета в инет.

firkax ★★★★★
(25.12.24 19:20:43 MSK)

Ответ на: комментарий от gremlin_the_red 25.12.24 19:16:47 MSK

Но тогда бы не было и пинга? И не коннектилось к 192.168.6.1:80 (на vps есть сервер на 80 порту)? А вот это все работает. А внешний интернет нет.

Olegymous ★★★
(25.12.24 19:29:09 MSK) автор топика

Ответ на: комментарий от Olegymous 25.12.24 19:29:09 MSK

Но тогда бы не было и пинга?

С чего бы ему не быть? Это dpi так работает - распознает и блочит отдельные протоколы.

И не коннектилось к 192.168.6.1:80 (на vps есть сервер на 80 порту)? А вот это все работает.

Во внутренней сети, естественно работает.

А внешний интернет нет.

Так и задумано чиновниками. Ищи как завести vless/x-ray - может поможет. Но у «них» с некоторых пор появилась мода временами блочить целыми IP-ками, если с них однажды засекли «запрещенные» протоколы работы.

praseodim ★★★★★
(25.12.24 19:49:50 MSK)

Ответ на: комментарий от praseodim 25.12.24 19:49:50 MSK

Во внутренней сети, естественно работает.

Там же должно быть все зашифровано. Как они могут отличить коннект к 192.168.6.1 от 64.233.162.103?

На том же МТС, где wireguard действительно заблокирован не идёт даже пинг.

Olegymous ★★★
(25.12.24 20:26:56 MSK) автор топика

Ответ на: комментарий от Olegymous 25.12.24 20:26:56 MSK

Там же должно быть все зашифровано. Как они могут отличить коннект к 192.168.6.1 от 64.233.162.103?

Не понял? 192.168.6.1 - это по определению локалнет. Ты к нему извне что ли коннектишься? O_o

На том же МТС, где wireguard действительно заблокирован не идёт даже пинг.

Везде может быть по-разному. Но я совершенно точно говорю, что dpi часто так и работает: пинги и соединения, например, по http проходят, а wg или опенвпн - нет или быстро рвутся.

praseodim ★★★★★
(25.12.24 20:32:25 MSK)
Последнее исправление: praseodim 25.12.24 20:34:37 MSK (всего исправлений: 1)

При этом IP пиров пингуются в обоих направлениях.

Ну так посмотри, пингуется ли с VPS внешний интернет.
Скорее всего, сломалось там или в твоих роутах.

hbars ★★★★★
(25.12.24 20:33:58 MSK)

Ответ на: комментарий от praseodim 25.12.24 20:32:25 MSK

192.168.6.1 это ip сервера внутри vpn, коннект к которому на 80 tcp порт проходит успешно с мобилки после поднятия vpn

Olegymous ★★★
(25.12.24 20:43:13 MSK) автор топика
Последнее исправление: Olegymous 25.12.24 20:44:38 MSK (всего исправлений: 1)

Ответ на: комментарий от hbars 25.12.24 20:33:58 MSK

Конечно пингуется.

Olegymous ★★★
(25.12.24 20:43:46 MSK) автор топика

VPS

А на этой vps траффик не лимитированный?

Попробуй зайти по ssh и потыкать что-то внешнее, есть ли вообще выход в интернеты? Также eth0 чёт странно, щас везде всякие enp4s0 и т.д.

no-such-file ★★★★★
(25.12.24 21:50:58 MSK)

Ответ на: комментарий от no-such-file 25.12.24 21:50:58 MSK

Лимитированный, но лимит не превышен. С самого vps весь интернет работает. Ещё из интересного обнаружилось, что коннект при включенном vpn нормально проходит и к внешнему ip сервера по ssh и http. А также в хроме каким-то образом открывается google.com и можно искать разное. Но ничего более открывающегося не обнаружилось. Запустил клиента на Винде - там ещё cloudflare открылся. В общем мистика какая-то.

Olegymous ★★★
(25.12.24 22:22:17 MSK) автор топика

Ответ на: комментарий от Olegymous 25.12.24 22:22:17 MSK

VPS-ка похоже того, подставная. Как ты верифицировать что тебе открыли VPS за рубежом, а не внутри РФ типа зарубежную?

anonymous
(26.12.24 07:27:59 MSK)

Ответ на: комментарий от anonymous 26.12.24 07:27:59 MSK

Или зарубежная VPS русских банит..

Как такое вообще верифицировать?

Инвентаризировать CA сертификаты для HTTPS:

Надо ещё дополнительную верификацию провайдера VPS.

anonymous
(26.12.24 07:37:37 MSK)

Ответ на: комментарий от Olegymous 25.12.24 22:22:17 MSK

В общем мистика какая-то

Какой DNS прописан? Провайдера?

NyXzOr ★★★★
(26.12.24 08:06:46 MSK)

Ответ на: комментарий от NyXzOr 26.12.24 08:06:46 MSK

Да DNS тоже надо верифицировать и использовать крыптографическую защиту.

anonymous
(26.12.24 09:23:05 MSK)

Ответ на: комментарий от Olegymous 25.12.24 22:22:17 MSK

4 вариант

Странный вирус на мобиле и винде.

Попробую с Linux.

anonymous
(26.12.24 10:24:09 MSK)

Ответ на: комментарий от firkax 25.12.24 19:20:43 MSK

Тебя забыли спросить.

anonymous
(26.12.24 11:08:00 MSK)

use amnezia, Luke (настраивается на VPS одной кнопкой, ничего делать вручную не надо)

ivanich10 ★
(26.12.24 11:28:28 MSK)
Последнее исправление: ivanich10 26.12.24 11:29:29 MSK (всего исправлений: 1)

Ответ на: комментарий от ivanich10 26.12.24 11:28:28 MSK

но роутер тоже должен поддерживать этот amnezia как клиент?

carter ★
(26.12.24 17:34:43 MSK)

Ответ на: комментарий от carter 26.12.24 17:34:43 MSK

openwrt и keenetic поддерживается

ivanich10 ★
(26.12.24 18:16:16 MSK)

Как я и предполагал проблема в самом VPS. Потому как я поднял там же второй VPS и подключился через wireguard из него к первому. Картина ровно та же: доступа в интернет нет.

Потом я сделал второй VPS сервером и указал его в клиентах. Всё заработало.

Olegymous ★★★
(26.12.24 20:52:46 MSK) автор топика

Ответ на: комментарий от no-such-file 25.12.24 21:50:58 MSK

Также eth0 чёт странно, щас везде всякие enp4s0 и т.д.

Как раз на vps не странно. ИМХО странно было если бы всякие enp4s0 присутствовали.

anc ★★★★★
(26.12.24 22:15:12 MSK)

Ответ на: комментарий от Olegymous 26.12.24 20:52:46 MSK

ЯННП, у вас два VPS у одного и того же прова, оба VPS расположены в одном DC при этом на первом VPS не робит, а на втором робит?

anc ★★★★★
(26.12.24 22:19:48 MSK)

Ответ на: комментарий от anc 26.12.24 22:19:48 MSK

У того же. Но второй я заказал в другой стране (DC) и там заработало. Для чистоты эксперимента создал и 3-й в той же стране, что у нерабочего первого — на нем тоже не работает.

У меня пока единственное предложение, что в DC, где не работает режут натированный трафик. В поддержке ответили, что они не при делах и настройка сервера полностью в ответственности клиента.

Как доберусь попробую поможет ли вот такой хак: https://gist.github.com/jkullick/f1f3c1b601596ec7093c1399f0667305

Olegymous ★★★
(27.12.24 06:06:39 MSK) автор топика
Последнее исправление: Olegymous 27.12.24 06:10:19 MSK (всего исправлений: 2)

Ответ на: комментарий от Olegymous 27.12.24 06:06:39 MSK

В небо. Может дело в mtu?

anc ★★★★★
(27.12.24 07:00:44 MSK)

Ответ на: комментарий от anc 27.12.24 07:00:44 MSK

Может дело в mtu?

В самом клиенте wireguard есть такая опция. Поставил там 1436 — легче не стало.

https://gist.github.com/jkullick/f1f3c1b601596ec7093c1399f0667305

Изменение TTL тоже не помогло, хотя по tcpdump вижу, что оно поменялось и правильное.

Вообще по tcpdump видно, что TCP пакет c eth0 до тестового сервера улетает, но ACK на него не приходит. А на инициированный непосредственно с сервера соответственно приходит. Из явных отличий в пакетах по tcpdump:

Window Size: 64620 с сервера, 65535 через VPN
Maximum Segment Size: 1436 с сервера, 1240 через VPN

пока не понял как их модифицировать средствами iptables.

Olegymous ★★★
(27.12.24 16:18:53 MSK) автор топика
Последнее исправление: Olegymous 27.12.24 16:19:43 MSK (всего исправлений: 1)

Ответ на: комментарий от Olegymous 27.12.24 16:18:53 MSK

Вообще по tcpdump видно, что TCP пакет c eth0 до тестового сервера улетает

Улетает с каким src ip? Чисто случайно вы про snat/masq на сервере не забыли?

anc ★★★★★
(27.12.24 16:26:01 MSK)

Ответ на: комментарий от anc 27.12.24 16:26:01 MSK

С публичным ip vps. MASQUARADE в iptables настроен (в первом сообщении есть выхлоп iptables)

Olegymous ★★★
(27.12.24 17:36:35 MSK) автор топика
Последнее исправление: Olegymous 27.12.24 17:41:16 MSK (всего исправлений: 1)

Ответ на: комментарий от Olegymous 27.12.24 17:36:35 MSK

MASQUARADE в iptables настроен (в первом сообщении есть выхлоп iptables)

У вас там условия "-s 192.168.6.0/24 -o eth0" поэтому я и спросил.

anc ★★★★★
(31.12.24 00:11:36 MSK)

Можешь попробовать с notWG, без смены конфигурации, если заработает, то это блокировка, ага

anonymous_sama ★★★★★
(31.12.24 07:29:51 MSK)

←	Как работает SADP

Admin

nginx proxy header

→

Похожие темы