Cloudflare WARP

RIP, OSFP, BGP, MPLS/VPLS
Chupakabra303
Сообщения: 30
Зарегистрирован: 24 янв 2017, 11:57

Cloudflare WARP

Сообщение Chupakabra303 »

Пытаюсь настроить wireguard туннель к WARP Cloudflare по мотивам статьи:
https://habr.com/ru/post/594551/
Настроил все по инструкции, прописал тестовый маршрут до 8.8.8.8/32. Делаю пинг до 8.8.8.8: глухо, трафик только уходит в туннель, но ничего не возвращается.
В моем случае это wireguard2 - второй туннель на hap ac2. Первый wireguard1 (не имеющий отношение к WARP) работает.
evbocharov
Сообщения: 1
Зарегистрирован: 06 мар 2022, 11:11

Re: Cloudflare WARP

Сообщение evbocharov »

Chupakabra303 писал(а): 06 янв 2022, 13:18 Пытаюсь настроить wireguard туннель к WARP Cloudflare по мотивам статьи:
https://habr.com/ru/post/594551/
Настроил все по инструкции, прописал тестовый маршрут до 8.8.8.8/32. Делаю пинг до 8.8.8.8: глухо, трафик только уходит в туннель, но ничего не возвращается.
В моем случае это wireguard2 - второй туннель на hap ac2. Первый wireguard1 (не имеющий отношение к WARP) работает.
Добрый. Получилось настроить?
Аватара пользователя
Sir_Prikol
Сообщения: 556
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Cloudflare WARP

Сообщение Sir_Prikol »

На IPv4 не вышло, когда прописал endpoint - адрес ipv6 - всё работает, судя по трейсу, на данный момент лежит ipv4 адрес, ну или его блокируют
Дома: CCR2004 (7-ISP(GPON)белый IP)
xan500
Сообщения: 1
Зарегистрирован: 24 мар 2022, 17:30

Re: Cloudflare WARP

Сообщение xan500 »

Sir_Prikol писал(а): 06 мар 2022, 22:42 На IPv4 не вышло, когда прописал endpoint - адрес ipv6 - всё работает, судя по трейсу, на данный момент лежит ipv4 адрес, ну или его блокируют
Заблокировали 162.159.192.x или изменили, но теперь работает такой 162.159.193.x
Chupakabra303
Сообщения: 30
Зарегистрирован: 24 янв 2017, 11:57

Re: Cloudflare WARP

Сообщение Chupakabra303 »

Хотя микротик подключается к WARP по WireGuard нормально, но обнаружилась вот какая особенность. По крайней мере некоторые сайты открываются очень медленно или вообще не открываются. В свое время отказался от WARP на микротике в сторону другого VPN.

Недавно решил таки докопаться до истины. С самого начала думал про проблемы с MTU, но дело оказалось в другом. Похоже виноват FastTrack. В интернете про это люди тоже упоминают, и далее следует совет типа отключить FastTrack %), вот так сразу. Действительно отключение FT решает проблему, сайты начинают открываться оочень быстро. Похоже FT не умеет обрабатывать потоки WireGuard трафика.

Ну штош, значит нужно сделать "по-нормальному" и просто добавить исключающие правила в firewall, для отбхода FastTrack для WARP.
Нужно просто добавить перед правилом forward FastTrack (;;; defconf: fasttrack) следующее для интерефейса WireGuard WARP:

add action=accept chain=forward comment=";WireGuard no fasttrack" out-interface=WireGuardWARP
add action=accept chain=forward comment=";WireGuard no fasttrack" connection-nat-state="" connection-state=established,related,untracked in-interface=WireGuardWARP

Входящее правило фактически дублирует правило ";;; defconf: accept established,related, untracked" которое стоит после правила forward FastTrack. Но применяется раньше FT и только для интерфейса WireGuardWARP. Должно получиться приблизительно следующее:

21 ;;; ;WireGuard no fasttrack
chain=forward action=accept out-interface=WireGuardWARP log=no
log-prefix=""

22 ;;; ;WireGuard no fasttrack
chain=forward action=accept
connection-state=established,related,untracked connection-nat-state=""
in-interface=WireGuardWARP log=no log-prefix=""
....
23 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection hw-offload=yes
connection-state=established,related log=no log-prefix=""

24 ;;; defconf: accept established,related, untracked
chain=forward action=accept
connection-state=established,related,untracked