Итак, имеем два микротика и Wireguard между ними по каналу в 200МБит.
Все хорошо, но некоторые сайты не открываются, особенно прикрытые ddos-guard.
Переписка с попытками выяснить у вендора за что меня так, собственно, обижают, успехом не увенчалась, вендор переводил стрелки на провайдера и настаивал, что меня не банили, но рассказывать, почему именно их защита не пускает на сайт не рассказывали.
То есть как схема выглядит:
ноуты-WG2-Интернет-WG1-компы
С ноутов (разные ОС) определенные сайты не открываются. Браузеры просто кончаются ERR_TIMEOUT при попытке HTTPS. HTTP проходит нормально. И телнет на 443 порт проходит нормально. С компов все работает замечательно.
Wireshark, зацепленный за WG2 (streaming в packet sniffer) показывает, что все плохо, много нарушений порядка пакетов и их перезапросы на копеечных HTTPS-запросах, хотя speedtest дает 40мс пинга и 90/50Мбит скорости. Теряюсь в догадках, что за фигня.
Возможно, проблема может быть связана с конфигурацией Wireguard или настройками маршрутизации на микротиках. Вам следует проверить следующее:
1. Убедитесь, что Wireguard правильно настроен и все параметры на обоих микротиках совпадают (ключи, IP-адреса, маршрутизация и т. д.).
2. Проверьте, есть ли какие-либо блокирующие правила брандмауэра на обоих микротиках, которые могут препятствовать доступу к определенным сайтам. Удостоверьтесь, что необходимые порты открыты.
3. Проверьте, что DNS-серверы, используемые на ноутбуках, правильно настроены. Возможно, DNS-запросы не маршрутизируются правильно через Wireguard.
4. Попробуйте использовать другой сервер Wireguard или другой туннель для подключения между микротиками, чтобы исключить возможную проблему с конкретным сервером или конфигурацией Wireguard.
5. Если есть возможность, проверьте работоспособность Wireguard на другой сети или соединение без Wireguard, чтобы исключить возможные ограничения вашего провайдера или сети, которые могут вызвать проблемы с доступом к определенным сайтам.
6. Обратитесь к провайдеру услуг хостинга или администратору сети, которые могут помочь вам исследовать проблемы сетевого подключения и определить возможные причины блокировки доступа к определенным сайтам.
Из дополнительных интересностей - если с WG1 я выводил не обратно в Интернет, а в еще один VPN (l2tp), то все работало нормально, заблокированные сайты нормально работали.
Немало времени провел я за wireshark, вроде никаких полных потерь пакетов нет, а не работает. Наткнулся на
и все заработало и с блокирующими сайтами, хотя внутри соединения все по прежнему не очень радужно с качеством передачи.
Как я понимаю, от меня до ddos-guard где-то по дороге сломан механизм PMTUD, поскольку эти умельцы запретили ICMP. Понятно.
То есть, если я кидаю пакет с DF (disable fragmentation) достаточно большого размера, то от меня он улетит, а где-то в сломаном просто будет выброшен, поскольку слишком большой. Понятно.
Непонятно, почему тут какую-то роль играет WG? Как я понимаю, я с ноута бросаю 1450 байт, они летят до WG1 с увеличенными заголовками и т.п., но там-то распаковываются обратно и летят дальше таким же размером, как я их послал? Конечная система не видит же, что я через WG и какие-то его избыточные заголовки прикручивал? Или видит? Кто-то разбирался поглубже?