https://sindro.me/it/tags/wireguard/ Recent content in Wireguard on Marcello Barnaba Hugo it Tue, 07 Apr 2026 00:00:00 +0000 https://sindro.me/it/posts/2026-04-07-banip-icmp-mwan3/ Tue, 07 Apr 2026 00:00:00 +0000 https://sindro.me/it/posts/2026-04-07-banip-icmp-mwan3/ <p><strong>TL;DR:</strong> Se usi OpenWrt con mwan3 (failover multi-WAN) e una VPN WireGuard in <strong>split-tunnel</strong> (cioè NON routi tutto il traffico attraverso la VPN), aggiungi <code>nohostroute=1</code> all&rsquo;interfaccia WireGuard. Senza, netifd crea un route statico per l&rsquo;endpoint WireGuard all&rsquo;avvio dell&rsquo;interfaccia, pinnato a qualsiasi uplink sia attivo in quel momento. Per il primo corollario della Legge di Murphy, tutto ciò che può andare storto andrà storto <em>nel momento peggiore possibile</em> — quindi il link primario sarà giù esattamente quando WireGuard parte, e il route dell&rsquo;endpoint resta incollato permanentemente al backup. La tua VPN resterà incollata al backup lento mentre il link primario se ne sta lì a non fare un cazzo. Non te ne accorgerai finché non dovrai trasferire qualcosa di grosso.</p> <p>(Se <em>routi</em> tutto il traffico attraverso WireGuard, l&rsquo;host route ti <strong>serve</strong> per evitare un routing loop — ma su un setup multi-WAN, il problema del route stantio resta identico. Ti servirà un workaround diverso, tipo uno script hotplug che aggiorni il route dell&rsquo;endpoint quando mwan3 switcha uplink.)</p> <p>Oggi ho scoperto che il mio tunnel WireGuard verso un server remoto strisciava a <strong>2 Mbps</strong> da inizio febbraio. Il fix ha richiesto due comandi UCI. La root cause era il flag <code>nohostroute</code> mancante — più un bonus: il mio stesso firewall sabotava i miei stessi health check, facendo sembrare la fibra abbastanza inaffidabile da impedire al sistema di auto-correggersi.</p> <p>Ecco la storia forense completa, perché sono ancora incazzato e meritate di imparare dalle mie sofferenze.</p> <p>Prima però, un po&rsquo; di contesto su come è avvenuta questa indagine. Stavo lavorando con un assistente AI (Claude Code) che ha accesso SSH alla mia infrastruttura. Questo è possibile perché ho una base solida: autenticazione SSH a chiave ovunque, DNS interno corretto (<code>m42</code>, <code>golem</code> risolvono agli indirizzi VPN giusti), mesh WireGuard tra tutti i nodi, e l&rsquo;assistente si connette tramite un <code>ssh-agent</code> che gira come servizio utente systemd. Una variabile d&rsquo;ambiente e l&rsquo;AI raggiunge ogni macchina della mia rete — e, cosa fondamentale, può <em>incrociare</em> i dati trovati su una macchina con quelli di un&rsquo;altra. Quest&rsquo;indagine mi avrebbe richiesto ore di salti tra terminali. L&rsquo;AI l&rsquo;ha fatta in minuti, testando ipotesi metodicamente su tre macchine simultaneamente. L&rsquo;investimento in SSH, DNS e VPN fatti bene ha ripagato enormemente.</p>