Как устранить обрывы AmneziaWG (WireGuard) на ПК — быстро

Проблема с самохостингом Amnezia VPN (AmneziaWG) на VPS от adminpvs, когда VPN на компьютере обрывается через несколько минут, чаще всего связана с NAT/conntrack таймаутами, отсутствием PersistentKeepalive в конфигурации WireGuard, проблемами MTU/фрагментации или локальными настройками энергосбережения/фаервола на ПК. Начните с проверки логов и статуса WireGuard (wg show, journalctl), добавьте PersistentKeepalive = 25 в клиентский профиль и проверьте настройку NAT/iptables и параметры conntrack на сервере — эти шаги решают большинство подобных зависаний.

Содержание

• Краткая диагностика и быстрый чек-лист
• AmneziaWG: отключение на ПК — причины и тесты
• Сетевые причины: NAT, conntrack, MTU и провайдер adminpvs
• Настройки AmneziaWG и WireGuard: правильные параметры
• Практические команды и чеклист для дебага
• Дополнительные советы и обходные пути
• Источники
• Заключение

Amnezia VPN самохостинг: быстрый чек-лист

Коротко — что проверить первым делом, чтобы быстро понять источник обрывов:

• Убедитесь, что в клиентском профиле WireGuard (AmneziaWG) задано PersistentKeepalive = 25. Это удерживает NAT-таблицу и часто решает обрывы. См. руководство WireGuard для примеров настройки: WireGuard Quickstart.
• Посмотрите «последнюю рукопожатие» (latest handshake) через wg show — если оно редко обновляется, значит NAT/маршрутизация разрывает путь.
• Проверьте логи сервера (systemd/journal) и лог AmneziaWG — там обычно видно, почему соединение теряется.
• Быстрая изоляция: подключите компьютер к мобильному хотспоту (тот же интернет, где мобильный клиент работает) — если на хотспоте ПК стабильно держит VPN, проблема в локальной сети ПК или у провайдера/роутера.

AmneziaWG отключение на ПК: причины и как тестировать

Почему ПК рвёт, а мобильный держит? Основные версии и что делать по-ошагово.

1. Клиентская проблема (Windows/macOS/Linux)

• Windows: часто виновато энергосбережение адаптера или «умные» драйверы Wi‑Fi/Ethernet. Отключите в Device Manager опцию «Allow the computer to turn off this device to save power». Проверьте сторонние антивирусы/фаерволы (ESET, Kaspersky и т.п.) — временно отключите и проверьте.
• Linux: проверьте, нет ли конфликтных NetworkManager-профилей; используйте wg show и journalctl -u wg-quick@wg0 -f. Если вы используете NetworkManager WireGuard plugin — проверьте там PersistentKeepalive.
• macOS: проверьте режим сна Wi‑Fi и настройки «Low Power Mode».

2. Клиентская конфигурация

• Обязательно в клиентском [Peer] добавить: PersistentKeepalive = 25 — это отправляет UDP-пакет каждые 25 секунд и держит NAT-маппинг живым.
• Настройте MTU (в клиенте или в интерфейсе) на 1420 или 1280, если есть подозрение на фрагментацию.

3. Тесты, которые быстро дают ответ

• Подключитесь с ПК и запустите: wg show — смотрите поле latest handshake. Оно должно обновляться каждые 25 сек (если PersistentKeepalive есть) или при трафике.
• Пинг по внутреннему IP VPN: ping -c 5 <peer_internal_ip> — если пинг сыплется, соединение падает.
• Запустите на ПК трассировку и/или tcpdump (см. ниже). В Windows — включите лог клиента WireGuard и просмотрите ошибки.

Сетевые причины: NAT, conntrack, MTU и провайдер adminpvs

Почему NAT/сетевые настройки часто виноваты? Потому что WireGuard использует UDP и NAT-маппинг может «закрыться» через 30–120 секунд. Мобильные сети и мобильные клиенты по-разному держат маппинги, поэтому мобильный может работать, а ПК — нет.

Что проверить и как править:

• Conntrack / NAT timeout:

• Проверьте текущие таймауты и записи conntrack (на сервере): установите пакет conntrack и посмотрите записи: sudo apt install conntrack затем sudo conntrack -L -p udp или sudo conntrack -L | grep <client_ip>.

• Временно увеличьте таймаут UDP: sudo sysctl -w net.netfilter.nf_conntrack_udp_timeout=120 и sudo sysctl -w net.netfilter.nf_conntrack_udp_timeout_stream=180. Для постоянного эффекта добавьте в /etc/sysctl.d/99-wg.conf.

• Документация conntrack: conntrack — netfilter project.

• Маршрутизация / форвардинг:

• Убедитесь, что net.ipv4.ip_forward=1: sudo sysctl -w net.ipv4.ip_forward=1.

• Проверьте правила NAT/masquerade на сервере: пример:

• sudo iptables -t nat -A POSTROUTING -s 10.7.0.0/24 -o eth0 -j MASQUERADE (замените подсеть и интерфейс).

• Если используете nftables — sudo nft list ruleset.

• MTU и фрагментация:

• UDP-пакеты могут теряться из‑за блокировки ICMP или неправильно настроенного MTU. Попробуйте на клиенте выставить MTU в 1420 или 1280:

• В wg-конфиге: MTU = 1420.

• Если после снижения MTU проблема исчезает — это «path MTU» проблема.

• Провайдер adminpvs:

• Проверьте, даёт ли VPS публичный IPv4, открыт ли порт UDP 51820 (или тот, что вы используете). Если VPS находится за NAT у провайдера — нужно настроить проброс порта или попросить публичный IP.

• Некоторые провайдеры имеют агрессивные межсетевые правила/защиту, которые могут разрывать долгие UDP-потоки; попробуйте менять порт (на 51820 → 51822 или 443/UDP) или уточнить у поддержки adminpvs.

• Наблюдение трафика:

• Снимите трафик на сервере: sudo tcpdump -n -i any udp port 51820 — вы увидите, приходят ли пакеты от клиента и уходят ли ответы.

Настройки AmneziaWG и WireGuard: правильные параметры

Пример корректного клиентского профиля WireGuard (часто решает обрывы):

[Interface]
PrivateKey = <ваш_private_key>
Address = 10.7.0.2/32
DNS = 1.1.1.1
MTU = 1420

[Peer]
PublicKey = <server_public_key>
Endpoint = your.server.ip:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

• PersistentKeepalive = 25 — ключевой параметр при NAT.
• MTU — уменьшите при подозрении на фрагментацию.
• На сервере проверьте PostUp/PostDown правила (маскарадинг), чтобы пакеты правильно NAT-ились через внешний интерфейс.
• Если вы используете AmneziaWG GUI/скрипты, проверьте в интерфейсе соответствие полей (endpoint/allowed-ips/keepalive) и обновите программное обеспечение до последней версии.

Подробно о WireGuard-конфигурации и FAQ: WireGuard FAQ.

Практические команды и чеклист для дебага (что выполнить по шагам)

1. На сервере (ssh):

• Посмотреть статус интерфейса и пиров:
• sudo wg show — смотрите Latest Handshake и Transfer.
• Смотреть логи в реальном времени:
• sudo journalctl -u wg-quick@wg0 -f (если используется wg-quick) или логи AmneziaWG (путь зависит от установки).
• Снифф трафика:
• sudo tcpdump -n -i any udp port 51820 -vv — смотрите, приходят ли пакеты от проблемного ПК.
• Проверить ip_forward и правила NAT:
• sysctl net.ipv4.ip_forward
• sudo iptables -t nat -L -n -v или sudo nft list ruleset
• Посмотреть conntrack:
• sudo conntrack -L | grep <client_public_ip_or_vpn_ip>

2. На клиенте (ПК):

• wg show или просмотр логов WireGuard GUI.
• Проверить сетевой интерфейс и MTU: ip link show / ifconfig.
• Отключить энергосбережение адаптера (Windows: Device Manager).
• Временно выключить антивирус/фаервол для теста.
• Подключиться к альтернативной сети (мобильный хотспот) — если проблема уходит, смотрите настройки роутера/провайдера.

3. Собрать отладочные данные, чтобы попросить помощь:

• Вывод wg show (server и client).
• sudo tcpdump логи (снятые в момент разрыва).
• journalctl логи сервера/AmneziaWG.
• Описание среды: ОС клиента, тип подключения (Wi‑Fi/ethernet), версия AmneziaWG, порт WireGuard, публичный IP VPS.

Дополнительные советы и обходные пути

• Попробуйте другой UDP‑порт (иногда провайдер блокирует/ограничивает стандартный порт 51820).
• Если провайдер не даёт публичный IP или блокирует UDP — можно настроить VPN поверх TCP (OpenVPN tcp/443) или использовать туннелирование (wstunnel, tcp-over-udp обходные инструменты), но это сложнее и медленнее.
• Обновите kernel, wireguard-tools и сам AmneziaWG до актуальных версий — иногда баги исправлены в новых релизах.
• Если ничего не помогает, соберите логи и обратитесь в поддержку adminpvs с описанием: «есть ли NAT/ACL по UDP, какая политика idle-timeout для UDP» — часто провайдеры корректируют настройки или предлагают публичный IP.

Источники

• WireGuard Quickstart — базовая настройка и пример конфигураций
• WireGuard FAQ — объяснение PersistentKeepalive и поведения UDP/NAT
• journalctl (systemd) manual — как смотреть логи сервисов
• conntrack — netfilter project — работа с таблицей conntrack и таймауты

Заключение

Чаще всего при самохостинге Amnezia VPN (AmneziaWG) на VPS от adminpvs причинами обрывов на компьютере становятся NAT/conntrack таймауты, отсутствие PersistentKeepalive в клиентской конфигурации, проблемы с MTU или локальные настройки энергоэкономии/фаервола на ПК. Последовательный план: добавить PersistentKeepalive = 25, уменьшить MTU при подозрении на фрагментацию, проверить/увеличить conntrack UDP‑таймауты на сервере, убедиться в правильных правилах NAT/masquerade и протестировать ПК через альтернативную сеть — обычно этого оказывается достаточно, чтобы вернуть стабильную работу VPN.