slydiman

При включении комуфляжа в адрес добавляется ?secret_word Секретное слово разумеется ваше, прописанное на сервере. То есть если на клиенте адрес был https://my_server/, то становится https://my_server/?secret_word В данном примере подразумевается порт 443 стандартный для https.

Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит. Другие утверждали что и 150 тянет. Кстати, что за провайдер, где VPS, если не секрет?

Было ощущение что тегирование - это тегирование, а не порча IP пакетов, приводящая к тому что 99.9% устройств перестают понимать трафик. Самый ценный ответ был: 802.1q

Воткнул в POE шлюз SSC-PS308G. Там 8 POE портов, 2 гигабитных uplink LANs и SFP. Есть 2 режима VLAN - port и tag. В режиме port, только POE портам можно выбрать VLAN group от 1 до 8. При этом 2 LAN порта никак не настраиваются. Из китайской документации: Очевидно очепятка. Всё бы хорошо, если бы можно было задействовать не только POE порты. Выбирать двум POE портам отдельную группу, в один порт втыкать камеру, а другой POE порт в роутер (в тот самый LAN4, через POE сплитер разумеется) - видимо единственное решение. В режиме tag можно POE портам прикрутить PVID от 2 до 4096. При этом двум LAN и SFP порту прикручено 1 и поменять нельзя. Из китайской документации: Видимо это всё мало полезно. Вывод - просто забыть про тегирование VLAN. Всем спасибо.

Давайте конкретику. IP камеры 192.168.4.2, ей его выдал роутер по DHCP. Далее без перезагрузок роутера или камеры я включаю VLAN ID 4 на порту, куда воткнута камера, трафик становится тегированный. Как получить доступ к камере хотя бы из домашней сети с 192.168.1.x? > Если камера не умеет тэгированный трафик, то тут только VLan на основе портов. Не умеет что конкретно? Тут и есть VLAN на основе портов. В вопросе #1 камера втыкается в порт роутера, которому прикручен VLAN ID 4. В вопросе #2 камера втыкается в порт шлюза, которому прикручен VLAN ID 4. Как получить доступ к камере из домашней сети, которая в роутере 192.168.1.x и которой не задан VLAN ID? В вопросе #2 нужно ещё как-то сегмент CAM в роутере прикрутить к VLAN ID 4, не тегируя при этом никакой физический порт роутера.

По делу пожалуйста. Я всё это и не только перечитал. И там нет ответов на мои вопросы. Разумеется. В 1 пункте написано что камера получает IP 192.168.4.2 и прекрасно выходит в интернет и к ней прописан доступ из домашней сети. Проблемы начинаются при включении VLAN ID 4 на порту, куда воткнута камера. Про шлюз разговаривать нужно после того, как на роутере к сегменту будет прикручен VLAN ID 4 без привязки к физическому порту LAN4. И это часть вопроса 2.

1. Домашняя сеть 192.168.1.1. Создал сегмент CAM с IP роутера 192.168.4.1. Этот сегмент привязан к порту LAN4 без тегирования. Подключил туда камеру, которой закреплен IP 192.168.4.2. Камера выходит в интернет (подключается к своему облачному серверу), к камере есть доступ из домашней сети (прописан маршрут). В файрвол ничего не добавлял. Теперь к порту LAN4 прикручиваю тегирование VLAN ID 4. Камера интернета больше не видит, доступа к камере из домашней сети больше нет. Вопрос - как получить доступ к камере из домашней сети и пусть камеру в интернет, когда камера тегируется VLAN ID 4? Никакие правила файрвола не помогли. 2. Есть управляемый шлюз. Один из портов на этом шлюзе будет прикручен к VLAN ID 4 и камера переедет туда. Шлюз подключается к роутеру в LAN2, который входит в домашнюю сеть. На том же шлюзе в других портах куча других устройств домашней сети. Вопрос как прикрутить камеру к сегменту? Очевидно LAN4 на роутере уже будет отвязан от сегмента CAM за ненадобностью. Как задать привязку сегмента CAM к VLAN ID 4? Будет ли через порт LAN2 приходить тегированный трафик VLAN ID 4? И как в 1 вопросе - как получить доступ к камере из домашней сети и пусть камеру в интернет, когда камера тегируется VLAN ID 4?

Физическое подключение до свича провайдера 1гбит. Провайдер соответственно тарифу ограничивает канал до 300мбит. Авторизация по MAC, MTU 1500, никаких других VPN типа L2TP и пр. OpenConnect сервер поднят на VPS с каналом 100мбит. tls-priorities как сказано выше LEGACY:+CHACHA20-POLY1305:... UDP выключен на сервере. Скорость мерялась speedtest.net до соседнего с VPS провайдера. Keenetic Hopper (KN-3810) давал 18-20мбит. Keenetic Hopper SE (KN-3812) даёт 43-49мбит (upload до 83мбит). Но если выключить OpenConnect клиент на роутере и поднять OpenConnect клиент на Windows машине через тот же роутер, то скорость всё равно выше 90мбит. То есть Hopper SE по сравнению с Hopper даёт прирост скорости в 2-3 раза. Похоже скорость могла бы быть в 4-5 раз выше, но роутер не тянет. В скорости под 120мбит через OpenConnect клиент на роутере с выключенным UDP я не верю. Хотя возможно OpenConnect клиент на Windows использует другое шифрование и оно иначе обрабатывается в черном ящике dpi у провайдеров. Тут слишком много факторов, которые могут влиять. Если сохранить настройки роутера, то у Hopper я вижу "crypto engine hardware", а у Hoper SE я вижу "crypto engine software". Это нормально/правильно?

Так не бывает. Заказал Hopper SE. Через неделю напишу как оно на самом деле в сравнении со старым Hopper при прочих равных.

Ещё бы уточнять на счёт вкл/выкл udp, ибо это даёт разницу в разы. Интересует в первую очередь без udp.

Вопрос был про производительность. Её кто-то мерял? Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет. Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700. Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет. Есть какие-то результаты реальных тестов?

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect. При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

Ну если UDP включен, то и обсуждать нечего, всё ясно. UDP - это палево и как долго это проработает - только вопрос времени.

Для чистоты эксперимента на сервере выставил такой же tls-priorities - максимум 20Мбит/с при тех же 60% загрузки CPU на KN-3810 (Keenetic Hopper). Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с. Но если поднять OpenConnect клиент на Windows до того же OpenConnect сервера через тот же канал, то скорость выше 90МБит/с. На всякий случай уточню - UDP конечно же выключено.

Подтверждаю. KN-3810 (Keenetic Hopper). Скорость OpenConnect клиента не более 10 Мбит/с в обе стороны. Если поднять OpenConnect клиент на Windows машине через тот же роутер до того же OpenConnect сервера, то скорость 94 Мбит/с. Измерял speedtest до того же сервера с разницей в минуту. Скорость OpenConnect клиента специально ограничена? Не похоже на ограничения производительности самого роутера. Про OpenConnect server пока речи нет.