Пытаюсь настроить wireguard туннель к WARP Cloudflare по мотивам статьи:
https://habr.com/ru/post/594551/
Настроил все по инструкции, прописал тестовый маршрут до 8.8.8.8/32. Делаю пинг до 8.8.8.8: глухо, трафик только уходит в туннель, но ничего не возвращается.
В моем случае это wireguard2 - второй туннель на hap ac2. Первый wireguard1 (не имеющий отношение к WARP) работает.
Cloudflare WARP
-
evbocharov
- Сообщения: 1
- Зарегистрирован: 06 мар 2022, 11:11
Re: Cloudflare WARP
Добрый. Получилось настроить?Chupakabra303 писал(а): ↑06 янв 2022, 13:18 Пытаюсь настроить wireguard туннель к WARP Cloudflare по мотивам статьи:
https://habr.com/ru/post/594551/
Настроил все по инструкции, прописал тестовый маршрут до 8.8.8.8/32. Делаю пинг до 8.8.8.8: глухо, трафик только уходит в туннель, но ничего не возвращается.
В моем случае это wireguard2 - второй туннель на hap ac2. Первый wireguard1 (не имеющий отношение к WARP) работает.
-
Sir_Prikol
- Сообщения: 562
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Cloudflare WARP
На IPv4 не вышло, когда прописал endpoint - адрес ipv6 - всё работает, судя по трейсу, на данный момент лежит ipv4 адрес, ну или его блокируют
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
xan500
- Сообщения: 1
- Зарегистрирован: 24 мар 2022, 17:30
Re: Cloudflare WARP
Заблокировали 162.159.192.x или изменили, но теперь работает такой 162.159.193.xSir_Prikol писал(а): ↑06 мар 2022, 22:42 На IPv4 не вышло, когда прописал endpoint - адрес ipv6 - всё работает, судя по трейсу, на данный момент лежит ipv4 адрес, ну или его блокируют
-
Chupakabra303
- Сообщения: 31
- Зарегистрирован: 24 янв 2017, 11:57
Re: Cloudflare WARP
Хотя микротик подключается к WARP по WireGuard нормально, но обнаружилась вот какая особенность. По крайней мере некоторые сайты открываются очень медленно или вообще не открываются. В свое время отказался от WARP на микротике в сторону другого VPN.
Недавно решил таки докопаться до истины. С самого начала думал про проблемы с MTU, но дело оказалось в другом. Похоже виноват FastTrack. В интернете про это люди тоже упоминают, и далее следует совет типа отключить FastTrack %), вот так сразу. Действительно отключение FT решает проблему, сайты начинают открываться оочень быстро. Похоже FT не умеет обрабатывать потоки WireGuard трафика.
Ну штош, значит нужно сделать "по-нормальному" и просто добавить исключающие правила в firewall, для отбхода FastTrack для WARP.
Нужно просто добавить перед правилом forward FastTrack (;;; defconf: fasttrack) следующее для интерефейса WireGuard WARP:
add action=accept chain=forward comment=";WireGuard no fasttrack" out-interface=WireGuardWARP
add action=accept chain=forward comment=";WireGuard no fasttrack" connection-nat-state="" connection-state=established,related,untracked in-interface=WireGuardWARP
Входящее правило фактически дублирует правило ";;; defconf: accept established,related, untracked" которое стоит после правила forward FastTrack. Но применяется раньше FT и только для интерфейса WireGuardWARP. Должно получиться приблизительно следующее:
21 ;;; ;WireGuard no fasttrack
chain=forward action=accept out-interface=WireGuardWARP log=no
log-prefix=""
22 ;;; ;WireGuard no fasttrack
chain=forward action=accept
connection-state=established,related,untracked connection-nat-state=""
in-interface=WireGuardWARP log=no log-prefix=""
....
23 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection hw-offload=yes
connection-state=established,related log=no log-prefix=""
24 ;;; defconf: accept established,related, untracked
chain=forward action=accept
connection-state=established,related,untracked
Недавно решил таки докопаться до истины. С самого начала думал про проблемы с MTU, но дело оказалось в другом. Похоже виноват FastTrack. В интернете про это люди тоже упоминают, и далее следует совет типа отключить FastTrack %), вот так сразу. Действительно отключение FT решает проблему, сайты начинают открываться оочень быстро. Похоже FT не умеет обрабатывать потоки WireGuard трафика.
Ну штош, значит нужно сделать "по-нормальному" и просто добавить исключающие правила в firewall, для отбхода FastTrack для WARP.
Нужно просто добавить перед правилом forward FastTrack (;;; defconf: fasttrack) следующее для интерефейса WireGuard WARP:
add action=accept chain=forward comment=";WireGuard no fasttrack" out-interface=WireGuardWARP
add action=accept chain=forward comment=";WireGuard no fasttrack" connection-nat-state="" connection-state=established,related,untracked in-interface=WireGuardWARP
Входящее правило фактически дублирует правило ";;; defconf: accept established,related, untracked" которое стоит после правила forward FastTrack. Но применяется раньше FT и только для интерфейса WireGuardWARP. Должно получиться приблизительно следующее:
21 ;;; ;WireGuard no fasttrack
chain=forward action=accept out-interface=WireGuardWARP log=no
log-prefix=""
22 ;;; ;WireGuard no fasttrack
chain=forward action=accept
connection-state=established,related,untracked connection-nat-state=""
in-interface=WireGuardWARP log=no log-prefix=""
....
23 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection hw-offload=yes
connection-state=established,related log=no log-prefix=""
24 ;;; defconf: accept established,related, untracked
chain=forward action=accept
connection-state=established,related,untracked