[openconnect]

Я правильно понимаю что при удалённом компоненте Cloud services agent (и соответственно неработающем KeenDNS) поднять OpenConnect server на роутере не получится из-за невозможности подсунуть свой сертификат?

То есть ровно такая же проблема как тут? 

 

[Доступ в веб-интерфейс роутера за WAN через Wireguard]

Так и сделал, хотел написать, а тут уже такой же ответ.

[Доступ в веб-интерфейс роутера за WAN через Wireguard]

1 час назад, Frans сказал:

Открыть переадресацию другого порта отличного от порта основного роутера

Это никак не поможет. Статья, на которую я дал ссылку в первом посте, не просто так появилась.

[Доступ в веб-интерфейс роутера за WAN через Wireguard]

Есть 3 интернет провайдера и 3 роутера Keenetic. Роутеры имеют IP 192.168.1.1, 192.168.8.1, 192.168.9.1 Каждый роутер подключен к своему провайдеру, за каждым роутером свои сервера. На первом роутере который 192.168.1.1 помимо основного WAN1 настроены WAN2 и WAN3 и подключены к двум другим роутерам. На первом роутере этим WAN портам соответствуют IP 192.168.8.100 и 192.168.9.100 Это позволяет клиентам первого роутера настроить через какого провайдера (или нескольких с балансировкой) ходить в интернет. Также из сети 192.168.1.х можно спокойно попасть в админку 2-го и 3-го роутера просто открыв в браузере 192.168.8.1 или 192.168.9.1
Проблема возникла когда на первом роутере настроился WireGuard сервер, пусть будет подсеть 172.16.82.х
Так вот задача VPN клиенту попасть в админку 2-го и 3-го роутера.
Ситуация в точности как описано тут 
https://help.keenetic.com/hc/ru/articles/4403101043218-Доступ-в-веб-интерфейс-USB-модема-за-VPN-клиентом-Wireguard-туннеля
Только там вместо 2-го роутера 4G модем, но суть та же.
Всё решается добавлением очень странной переадресации ВСЕГО, где вход - это целая подсеть 172.16.82.х (которая VPN). 
Тут слушается целая подсеть и если указать конкретный хост вместо подсети, то это не работает.
И собственно сама проблема - подсеть VPN можно перенаправить только на ОДИН адрес, то есть например на 2-й роутер. Тогда VPN клиент имеет доступ на 192.168.8.1, но не имеет доступа к 192.168.9.1 Как сделать чтобы VPN клиент имел доступ к обоим роутерам 192.168.8.1 и 192.168.9.1 одновременно?

[Удаленный доступ в WEB UI роутера по HTTPS со своим доменом]

Не понимаю что значит может использовать только сертификаты от LE. Не важно как получен сертификат. Он где-то хранится. Что мешает туда же записать его просто из веба? Ладно, всё понятно. Спасибо что на сегодня хотя бы ещё можно удалить компонент Cloud services agent.
Эх, шикарный был облачный сервис. В новом облаке обнаружил подписку на уведомления в телеграм - просто супер, знаешь когда кто домой пришёл, телевизор включил. Но времена нынче такие, что приходится выбирать и чем-то жертвовать.

[Удаленный доступ в WEB UI роутера по HTTPS со своим доменом]

Чтобы без реверс прокси на третьих девайсах я поднимаю (слово из 3х букв которое нельзя называть) до роутера и захожу по HTTP на внутренний IP роутера.
Но хотелось бы без костылей.
Все остальные девайсы сети зависят от роутера. Делать саму админку роутера зависимой ещё от каких-то девайсов - так себе решение.

[Удаленный доступ в WEB UI роутера по HTTPS со своим доменом]

2 минуты назад, Denis P сказал:

А сертификат для https откуда должен взяться?

Он у меня просто есть со всеми ключами, причем wildcard, ибо за этим роутером куча сайтов и сервисов с этим сертификатом.

[Удаленный доступ в WEB UI роутера по HTTPS со своим доменом]

Я удалил не KeenDNS, а Cloud services agent, потому что он делал лишнего даже при выключенной галочке Keenetic Cloud access.
Отдельно компонент KeenDNS поставить не возможно.
Я не очень понимаю что за acme компонент и зачем ему KeenDNS.
Есть обращение к WEB UI снаружи по HTTPS. WEB сервер должен использовать какой-то сертификат для TLS/SSL хэндшейка.
Нужно как-то дать ему этот сертификат и всё. Ни KeenDNS, ни acme, ни Let's encrypt в этом никак не должны участвовать.

[Удаленный доступ в WEB UI роутера по HTTPS со своим доменом]

Я правильно понимаю что указать свой домен (и сертификат) для доступа к роутеру снаружи нельзя? Только *.keenetic.pro или .link через KeenDNS и всеми облачными тараканами?

Возможно ли добавление такой опции в будущем?

[Удаленный доступ в WEB UI роутера по HTTPS со своим доменом]

Когда облако всё видит даже при выключенной галочке Keenetic Cloud access - это напрягает.
В связи с непонятками вокруг переезда на netcraze снёс нафиг Cloud services agent, ибо непонятно кому он ещё стучит и о чём.
При удалении Cloud services agent пропал и KeenDNS.
В Remote Web interface connections стоит HTTPS only.
У меня белый статический IP и свой домен. Я не использую никаких DynDNS и пр.
Как указать роутеру свой домен чтобы при обращении снаружи не получать ERR_SSL_UNRECOGNIZED_NAME_ALERT?
Заранее спасибо

[openconnect]

15 часов назад, Colgate сказал:

При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить?

При включении комуфляжа в адрес добавляется ?secret_word
Секретное слово разумеется ваше, прописанное на сервере.
То есть если на клиенте адрес был https://my_server/, то становится https://my_server/?secret_word
В данном примере подразумевается порт 443 стандартный для https.

[openconnect]

12 часа назад, DHARVED сказал:

Это предел железки или можно что покрутить? 

Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит.
Другие утверждали что и 150 тянет.
Кстати, что за провайдер, где VPS, если не секрет?

[Доступ в сегмент с другим VLAN ID]

Было ощущение что тегирование - это тегирование, а не порча IP пакетов, приводящая к тому что 99.9% устройств перестают понимать трафик.
Самый ценный ответ был: 802.1q

[Доступ в сегмент с другим VLAN ID]

Воткнул в POE шлюз SSC-PS308G. Там 8 POE портов, 2 гигабитных uplink LANs и SFP.
Есть 2 режима VLAN - port и tag.
В режиме port, только POE портам можно выбрать VLAN group от 1 до 8. При этом 2 LAN порта никак не настраиваются.
Из китайской документации: 

Цитата

VLAN port settings: Set the VLAN of the port (POE port only)
The same VLAN group cannot communicate, and different VLAN groups are isolated from each other.

Очевидно очепятка. Всё бы хорошо, если бы можно было задействовать не только POE порты.
Выбирать двум POE портам отдельную группу, в один порт втыкать камеру, а другой POE порт в роутер (в тот самый LAN4, через POE сплитер разумеется) - видимо единственное решение.

В режиме tag можно POE портам прикрутить PVID от 2 до 4096. При этом двум LAN и SFP порту прикручено 1 и поменять нельзя.
Из китайской документации:

Цитата

VLAN port settings: Configure PVID for the Poe port. The PoE port can be configured to specify a fixed Access port of vid, Lan or SFP port as a Trunk port (PVID1), access to support Tag VLAN switches or routers to achieve network division (*Device Management Vlan vid 1);

Видимо это всё мало полезно.

Вывод - просто забыть про тегирование VLAN. Всем спасибо.

[Доступ в сегмент с другим VLAN ID]

Давайте конкретику. IP камеры 192.168.4.2, ей его выдал роутер по DHCP. Далее без перезагрузок роутера или камеры я включаю VLAN ID 4 на порту, куда воткнута камера, трафик становится тегированный. Как получить доступ к камере хотя бы из домашней сети с 192.168.1.x?

> Если камера не умеет тэгированный трафик, то тут только VLan на основе портов. 

Не умеет что конкретно? Тут и есть VLAN на основе портов.
В вопросе #1 камера втыкается в порт роутера, которому прикручен VLAN ID 4. 
В вопросе #2 камера втыкается в порт шлюза, которому прикручен VLAN ID 4. 

Как получить доступ к камере из домашней сети, которая в роутере 192.168.1.x и которой не задан VLAN ID?
В вопросе #2 нужно ещё как-то сегмент CAM в роутере прикрутить к VLAN ID 4, не тегируя при этом никакой физический порт роутера.

[Доступ в сегмент с другим VLAN ID]

11 минуту назад, Илья Картавенко сказал:

Почитайте

По делу пожалуйста. Я всё это и не только перечитал. И там нет ответов на мои вопросы.
 

8 минут назад, MDP сказал:

Камера вообще роутер (шлюз) видит?

Разумеется. В 1 пункте написано что камера получает IP 192.168.4.2 и прекрасно выходит в интернет и к ней прописан доступ из домашней сети. Проблемы начинаются при включении VLAN ID 4 на порту, куда воткнута камера. Про шлюз разговаривать нужно после того, как на роутере к сегменту будет прикручен VLAN ID 4 без привязки к физическому порту LAN4. И это часть вопроса 2.

[Доступ в сегмент с другим VLAN ID]

1. Домашняя сеть 192.168.1.1. Создал сегмент CAM с IP роутера 192.168.4.1. Этот сегмент привязан к порту LAN4 без тегирования. Подключил туда камеру, которой закреплен IP 192.168.4.2. Камера выходит в интернет (подключается к своему облачному серверу), к камере есть доступ из домашней сети (прописан маршрут). В файрвол ничего не добавлял.
Теперь к порту LAN4 прикручиваю тегирование VLAN ID 4. Камера интернета больше не видит, доступа к камере из домашней сети больше нет. Вопрос - как получить доступ к камере из домашней сети и пусть камеру в интернет, когда камера тегируется VLAN ID 4? Никакие правила файрвола не помогли.

2. Есть управляемый шлюз. Один из портов на этом шлюзе будет прикручен к VLAN ID 4 и камера переедет туда. Шлюз подключается к роутеру в LAN2, который входит в домашнюю сеть. На том же шлюзе в других портах куча других устройств домашней сети. Вопрос как прикрутить камеру к сегменту? Очевидно LAN4 на роутере уже будет отвязан от сегмента CAM за ненадобностью. Как задать привязку сегмента CAM к VLAN ID 4? Будет ли через порт LAN2 приходить тегированный трафик VLAN ID 4? И как в 1 вопросе - как получить доступ к камере из домашней сети и пусть камеру в интернет, когда камера тегируется VLAN ID 4?

[openconnect]

В 15.09.2024 в 19:05, slydiman сказал:

2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz
... 
Заказал Hopper SE.
Через неделю напишу как оно на самом деле в сравнении со старым Hopper при прочих равных.

Физическое подключение до свича провайдера 1гбит.
Провайдер соответственно тарифу ограничивает канал до 300мбит.
Авторизация по MAC, MTU 1500, никаких других VPN типа L2TP и пр.
OpenConnect сервер поднят на VPS с каналом 100мбит.
tls-priorities как сказано выше LEGACY:+CHACHA20-POLY1305:...
UDP выключен на сервере.
Скорость мерялась speedtest.net до соседнего с VPS провайдера.
Keenetic Hopper (KN-3810) давал 18-20мбит.
Keenetic Hopper SE (KN-3812) даёт 43-49мбит (upload до 83мбит).
Но если выключить OpenConnect клиент на роутере и поднять OpenConnect клиент на Windows машине через тот же роутер, то скорость всё равно выше 90мбит.
То есть Hopper SE по сравнению с Hopper даёт прирост скорости в 2-3 раза.
Похоже скорость могла бы быть в 4-5 раз выше, но роутер не тянет.
В скорости под 120мбит через OpenConnect клиент на роутере с выключенным UDP я не верю.
Хотя возможно OpenConnect клиент на Windows использует другое шифрование и оно иначе обрабатывается в черном ящике dpi у провайдеров. Тут слишком много факторов, которые могут влиять.

Если сохранить настройки роутера,
то у Hopper я вижу "crypto engine hardware",
а у Hoper SE я вижу "crypto engine software".
Это нормально/правильно?

[openconnect]

Так не бывает.
Заказал Hopper SE.
Через неделю напишу как оно на самом деле в сравнении со старым Hopper при прочих равных.

[openconnect]

Ещё бы уточнять на счёт вкл/выкл udp, ибо это даёт разницу в разы. Интересует в первую очередь без udp.

[openconnect]

Цитата

Да, это arm.

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

[openconnect]

1 час назад, Le ecureuil сказал:

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

[openconnect]

Ну если UDP включен, то и обсуждать нечего, всё ясно.
UDP - это палево и как долго это проработает - только вопрос времени.

[openconnect]

Для чистоты эксперимента на сервере выставил такой же tls-priorities - максимум 20Мбит/с при тех же 60% загрузки CPU на KN-3810 (Keenetic Hopper).
Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с.
Но если поднять OpenConnect клиент на Windows до того же OpenConnect сервера через тот же канал, то скорость выше 90МБит/с.
На всякий случай уточню - UDP конечно же выключено.

[openconnect]

20 часов назад, BNKT0P сказал:

Настроил Openconnect клиента на роутере Giga KN-1011 и завернул беспроводной трафик через vpn подключение. Увы, но скорость ниже плинтуса, и на разных клиентских устройствах одинаковая - не более 10 Мбит/сек download и upload, загрузка CPU роутера скачет от 30 до 60% во время тестирования.

Подтверждаю. KN-3810 (Keenetic Hopper). Скорость OpenConnect клиента не более 10 Мбит/с в обе стороны. Если поднять OpenConnect клиент на Windows машине через тот же роутер до того же OpenConnect сервера, то скорость 94 Мбит/с. Измерял speedtest до того же сервера с разницей в минуту. Скорость OpenConnect клиента специально ограничена? Не похоже на ограничения производительности самого роутера. Про OpenConnect server пока речи нет.