+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Сообщения журнала Wireguard

Сообщения журнала Wireguard, RouterOS

miankamran7100 Guest	#1 0 04.03.2024 03:01:00 Сообщения журнала Wireguard

pcunite Guest	#2 0 06.07.2025 13:38:00 Я хочу только записывать новые VPN-подключения, возможно, отключения. Какой сейчас лучший способ сделать это в версии 7.19.2?

rplant

Guest

07.07.2025 00:46:00

Сейчас, похоже, логи Wireguard почти не появляются. Ты мог бы попробовать использовать опцию regex в логировании и выбрать всё, что не содержит keepalive (или, возможно, содержит handshake). Ещё можно включить логирование на входящем правиле, которое пропускает пакеты Wireguard.

pcunite Guest	#4 0 07.07.2025 15:43:00 Отлично, это сработало для подключений и отключений: /system logging add regex=“WG1.Receiving handshake initiation from peer” topics=wireguard add regex=“Handshake for peer did not complete after.giving up” topics=wireguard

pcunite Guest	#5 0 16.07.2025 22:01:00 Итак, проблема у меня сейчас в том, что это сообщение повторяется каждые две минуты. Есть ли способ получше просто зафиксировать вход и выход из системы?

CGGXANNX

Guest

17.07.2025 00:37:00

В WireGuard на самом деле нет долгосрочной сессии, которая начинается с «входа» и заканчивается «выходом». Подробнее об этом можно почитать здесь: Protocol & Cryptography - WireGuard. Пиры не говорят: «Я сейчас хочу выйти», это просто происходит из-за таймаутов. И нет «хочу войти», чтобы начать длительную сессию. Есть только рукопожатие для установления общих симметричных ключей, но поскольку ключи короткоживущие, рукопожатия нужно постоянно повторять с короткими интервалами.

Если хотите поймать эти псевдовходы, один из вариантов — логировать входящее UDP правило на фаерволе, как предложил @rplant, потому что если таймаут UDP стоит 30 секунд, а persistent keep alive в WG настроен, например, на 25 секунд, то это правило в фаерволе должно сработать только один раз, когда удалённый хост впервые пытается связаться с портом WG. Но тогда вы не получите информации о пире WG (кроме удалённого IP и номера порта). И если удалённый хост переключается между сетями, то вы увидите больше «входов», чем «выходов».

anserk

Guest

20.07.2025 01:50:00

Есть более простой и удобный способ сделать это, вместо логирования правил файервола. Посмотрите на скрипт, который я написал для этого: Logging WireGuard peer connects and disconnects. Мой подход логирует настоящее имя пира, не зависит от настройки keepalives и также фиксирует (псевдо)отключения.

goscickiw

Guest

20.07.2025 07:30:00

Теперь под пунктом «Persistent Keepalive» должен быть чекбокс «Responder», не понимаю, почему его нет в оригинальном посте, возможно, его добавили позже. Его нужно поставить на сервере, чтобы он сам не пытался инициировать соединение с пирами, если WireGuard не предназначен для постоянного site-to-site соединения с публичными IP на обеих сторонах. Тогда в логах самого пира вы увидите сообщения «Handshake for peer did not complete…» только в случае проблем с подключением к серверу (например, из-за сбоев в интернете).

anserk Guest	#9 0 20.07.2025 13:34:00 Для сведения, вы отвечаете на пост, который был опубликован более года назад.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры