V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
MrLonely
V2EX  ›  SDN

我的 WireGuard 莫名其妙不通了,还有什么 SD-WAN 设备或者方案推荐吗?

  •  
  •   MrLonely · 2022-05-31 22:37:19 +08:00 · 2351 次点击
    这是一个创建于 935 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前两天配置好了用了好几天,确定没问题了才收起来的。明天要拿回老家部署了,一拿出来发现还是不通的。

    前两天看了无情开评的 Fortinet 设备测评,如果我想用 Fortinet 的设备给自己组网大概要花多少钱呀?

    第 1 条附言  ·  2022-06-01 12:39:31 +08:00
    画图软件我不会用。我用文字描述吧。

    A B 两台设备分别处于 A B 两点。

    1. 两点都是电信宽带 ✅

    2. 两点都是 RouterOS ,运行最新版 7.2.3 系统。同时额外安装了 zerotier ,加入了同一网络。

    3. 在两个网络下通过 ipip.net 查看公网 IP ,与路由器所显示的 WAN 口 IP 一致。✅

    4. 根据官方教程 https://help.mikrotik.com/docs/display/ROS/WireGuard 进行配置。

    5. 使用 MikroTik 官方的 DDNS 解析 IP ,两设备 Ping 对方 DDNS 域名都可以 Ping 通。并且显示 Ping 的 IP 与第 3 点处看到的一致。✅

    6. 教程里的创建接口,手动设置 WireGuard 接口 IP ,互相交换 public-key ,endpoint+port ,allowed ip ,firewall accept ,全部检查过不止一次。

    7. 完全一样的配置,之前配置好了之后还正常使用了一段时间。

    8. 在完全没有任何修改的情况下突然连不上了。

    9. A 点与处于 Azure HK 节点的 同样是 7.2.3 的 RouterOS 设备之间一切正常,point to point 正常,site to site 也正常。

    10. B 点与 Azure HK 节点完全不通,就像 B 点与 A 点不通一样的情况。

    11. 现在 zerotier 是通的。所以我暂时把 A B 两点的 subnet 的 Route 放在了 zerotier 接口上。与此同时依然在持续测试 A 与 B 之间的 point to point ping 。

    12. 按理说双公网 IP 下不需要添加 persistent keep alive 了,但是我还是习惯性地会给所有的 peer 都加上 00:00:25 ,之前看一个教程里推荐的设置。

    所以大家有什么下一步排错的 idea 吗?
    8 条回复    2022-09-06 14:37:24 +08:00
    prondtoo
        1
    prondtoo  
       2022-05-31 22:39:03 +08:00
    直接用微林,支持 UDP 的节点加速
    x86
        2
    x86  
       2022-05-31 23:37:37 +08:00
    爱快的 sd-wan ,稳定又不需要折腾,主要还便宜
    yaoyao1128
        3
    yaoyao1128  
       2022-05-31 23:39:59 +08:00 via iPhone
    tailscale 我用的这个
    同时 tinc 和蒲公英做的备用
    不过个人经历是 一定要做好光猫掉线回不去的打算……
    restkhz
        4
    restkhz  
       2022-06-01 06:41:00 +08:00 via Android
    那啥,我提醒一下,
    PersistentKeepalive 设置了吗?
    如果你家设备被 NAT 了的话,长时间的不通信会被切断映射导致根本收不到入站的包,所以需要用这个参数让它定时发个包。
    我也遇到过,当时配置好了,过了几个小时就掉了,极其恼火。
    希望…帮你省钱了。平时 wg 用着还是挺稳的。
    jasonyang9
        5
    jasonyang9  
       2022-06-01 09:15:02 +08:00
    @restkhz 也有可能,毕竟部署了 2 个地方。但 LZ 既不画拓扑,也没有配置,更没有日志信息,盲猜排错的么?
    restkhz
        6
    restkhz  
       2022-06-01 09:49:31 +08:00 via Android
    @jasonyang9 嘘,大概 LZ 是个老板,人家可以加钱排错。
    MrLonely
        7
    MrLonely  
    OP
       2022-06-01 12:44:13 +08:00
    @restkhz @jasonyang9 不好意思啊,两位。昨天发帖时太晚了。自己折腾了好几个小时修不好,人也疲惫了,就只想问问花钱换设备具体要花多少钱。
    我不会画那种漂亮的网络拓扑图,只能文字描述了。不过现在的网络状况都是 point to point 不通。只要 point to point 通了,forward 一开就可以变 site to site 了。

    日志的话,没看到什么特别的东西。WireGuard 就这点不好,没有报错,不通就是不通。不告诉你具体哪里出了问题。
    smallthing
        8
    smallthing  
       2022-09-06 14:37:24 +08:00
    如果你要测试 wireguard ,请自己装个系统测,你用成品的当然不知道问题在哪里
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2979 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 85ms · UTC 13:18 · PVG 21:18 · LAX 05:18 · JFK 08:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.