为什么在路由器上使用wireguard时需要配置PersistentKeepalive参数

萝卜大侠

最近遇到几个客户反馈wireguard的使用问题，有一个配置如下（敏感内容使用*号替代）

1. [Interface]
   
2. PrivateKey = ****************
   
3. Address = *******************
   
4. MTU = 1420
   
5. DNS = *******************
   
6. 
   
7. [Peer]
   
8. PresharedKey = *******************
   
9. PublicKey = *******************
   
10. AllowedIPs = 0.0.0.0/0, ::/0
    
11. Endpoint = *******************
    
12. PersistentKeepalive = 0

复制代码

以上配置在windows环境下可以正常使用，但是将配置文件上传到路由器后无法正确建立连接，非常奇怪。
后续经测试发现，如果将PersistentKeepalive参数设置为非零值即可正确建立连接。

PersistentKeepalive参数的作用究竟是什么？官网解释如下

简单来说，PersistentKeepalive是为了保证nat映射的有效性，在路由器中，如果nat映射失效，来自WAN口的数据将会被防火墙拒绝，从而导致wireguard无法正确建立连接，windows上不存在nat映射表，所以即使PersistentKeepalive设置为0 也可以正常建立连接。
路由器的nat映射表失效时间一般是30S，因此PersistentKeepalive一般设置为25，如果你的路由器nat映射表失效时间是10S，那么你需要根据实际情况调整PersistentKeepalive的值。

了解了问题原因，解决起来就简单了，解决方法有二
1. 在路由器上使用wireguard时，根据nat映射表失效时间强制添加PersistentKeepalive参数
2. 在路由器WAN侧防火墙上打开wireguard的监听端口，特别注意，是客户端的监听端口，不是服务端，客户端的监听端一般是随机，可以使用wg命令查看，如图：

将上图的端口在防火墙配置中打开后也可稳定建立连接

AAZZ

路由器上设置往往比电脑设置多一点要求。这个wireguard开始设计的时候就没有考虑路由器。

parabear

学习了！这个太好了，一直用wireguard差不多两个月了，最近突然连不上了，4个wg设置都不行，大概是什么情况？会不会被墙了？下面的是一个wg配置的log。谢谢

Wed Jan 11 12:14:08 2023 daemon.notice netifd: Interface 'wgclient' is now downWed Jan 11 12:14:08 2023 user.notice mwan3[11244]: Execute ifdown event on interface wgclient (unknown)Wed Jan 11 12:14:08 2023 user.notice firewall: Reloading firewall due to ifdown of wgclient ()Wed Jan 11 12:14:44 2023 daemon.notice netifd: Interface 'wgclient' is setting up nowWed Jan 11 12:14:49 2023 user.notice wireguard-debug: USER=root ifname=wgclient ACTION=REKEY-TIMEOUT SHLVL=1 HOME=/ HOTPLUG_TYPE=wireguard LOGNAME=root DEVICENAME= TERM=linux SUBSYSTEM=wireguard PATH=/usr/sbin:/usr/bin:/sbin:/bin PWD=/Wed Jan 11 12:14:50 2023 user.notice wgclient-up: env value:SHLVL=2 PWD=/Wed Jan 11 12:14:55 2023 user.notice wireguard-debug: USER=root ifname=wgclient ACTION=REKEY-TIMEOUT SHLVL=1 HOME=/ HOTPLUG_TYPE=wireguard LOGNAME=root DEVICENAME= TERM=linux SUBSYSTEM=wireguard PATH=/usr/sbin:/usr/bin:/sbin:/bin PWD=/Wed Jan 11 12:15:00 2023 user.notice wireguard-debug: USER=root ifname=wgclient ACTION=REKEY-TIMEOUT SHLVL=1 HOME=/ HOTPLUG_TYPE=wireguard LOGNAME=root DEVICENAME= TERM=linux SUBSYSTEM=wireguard PATH=/usr/sbin:/usr/bin:/sbin:/bin PWD=/Wed Jan 11 12:15:06 2023 user.notice wireguard-debug: USER=root ifname=wgclient ACTION=REKEY-TIMEOUT SHLVL=1 HOME=/ HOTPLUG_TYPE=wireguard LOGNAME=root DEVICENAME= TERM=linux SUBSYSTEM=wireguard PATH=/usr/sbin:/usr/bin:/sbin:/bin PWD=/Wed Jan 11 12:15:11 2023 user.notice wireguard-debug: USER=root ifname=wgclient ACTION=REKEY-TIMEOUT SHLVL=1 HOME=/ HOTPLUG_TYPE=wireguard LOGNAME=root DEVICENAME= TERM=linux SUBSYSTEM=wireguard PATH=/usr/sbin:/usr/bin:/sbin:/bin PWD=/Wed Jan 11 12:15:16 2023 user.notice wireguard-debug: USER=root ifname=wgclient ACTION=REKEY-TIMEOUT SHLVL=1 HOME=/ HOTPLUG_TYPE=wireguard LOGNAME=root DEVICENAME= TERM=linux SUBSYSTEM=wireguard PATH=/usr/sbin:/usr/bin:/sbin:/bin PWD=/

parabear

MT2500和AXT1800路由器nat映射表失效时间是多少？

萝卜大侠

parabear 发表于 2023-1-12 01:07
MT2500和AXT1800路由器nat映射表失效时间是多少？

一般都是30S

AXT1900

学习了，感谢分享