Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
В 08.07.2024 в 16:21, AndreySH сказал:

приветствую. помогите с файрволом!

Стоит OpenConnect сервер на OpenWRT. когда клиент коннектится ,пинги из локальной сети на него идут(в ГУИ разрешил} а вот от клиента даже на сам роутер не идут. Как настроить файрвол? точнее где? интерфейса не появляется в ГУИ. По команде route в консоли ssh есть интерфейс (oc0), а вот через cli Кенетика show interface его нет и не знаю куда access list крепить.

 

 

 

 

Здравствуйте. Если не секрет, на что установлен OpenWRT? Какие скорости при этом выдает openconnect? На кn2710 сервер, клиент на iPhone. Пиковая скорость 160мбит. Ищу вариант железа с более высокой скоростью. Может mt7988a? 

Опубликовано (изменено)
В 04.07.2024 в 16:25, Konstantin2 сказал:

День добрый.
Не вижу openconnect в опциях Другие подключения и нет плитки сервера в Приложениях.
Как я понимаю должно быть?

UPDATE. Все понял, поставил новый интерфейс (бета), теперь есть.

Update 2. Скорость, конечно, не шоколад. Giga (KN-1010), 10 мбит, загрузка 60% CPU, одно ядро как понял

Настроил Openconnect клиента на роутере Giga KN-1011 и завернул беспроводной трафик через vpn подключение. Увы, но скорость ниже плинтуса, и на разных клиентских устройствах одинаковая - не более 10 Мбит/сек download и upload, загрузка CPU роутера скачет от 30 до 60% во время тестирования.

Если просто подключаться к ocserv напрямую клиентом с ноута или смартфона, то скорость не менее 100 Мбит/сек в обе стороны.

Кто знает куда копать, и что делать? 

Прошивка установлена последняя - 4.2 Beta 2.

P.S.
1. Если настроить Wireguard клиента на роутере Giga KN-1011 и завернуть беспроводной трафик через это подключение, то проблем со скоростью на беспроводных клиентах и утилизацией CPU роутера не наблюдается, всё супер.
2. Пробовал выключать и включать аппаратное ускорение (с перезагрузкой роутера) - никакого видимого эффекта.

Изменено пользователем BNKT0P
добавление информации
Опубликовано

Настроил ту же конфигурацию между двумя OpenWRT все отлично работает. При поднятии на keenetic OpenVPN с той же конфигурацией сети, тоже все прекрасно открывается. Подозреваю проблему именно в сервере Openconnect Keenetic. Но вот где именно понять не могу.

Опубликовано
20 часов назад, BNKT0P сказал:

Настроил Openconnect клиента на роутере Giga KN-1011 и завернул беспроводной трафик через vpn подключение. Увы, но скорость ниже плинтуса, и на разных клиентских устройствах одинаковая - не более 10 Мбит/сек download и upload, загрузка CPU роутера скачет от 30 до 60% во время тестирования.

Подтверждаю. KN-3810 (Keenetic Hopper). Скорость OpenConnect клиента не более 10 Мбит/с в обе стороны. Если поднять OpenConnect клиент на Windows машине через тот же роутер до того же OpenConnect сервера, то скорость 94 Мбит/с. Измерял speedtest до того же сервера с разницей в минуту. Скорость OpenConnect клиента специально ограничена? Не похоже на ограничения производительности самого роутера. Про OpenConnect server пока речи нет.

Опубликовано
1 hour ago, slydiman said:

Подтверждаю. KN-3810 (Keenetic Hopper). Скорость OpenConnect клиента не более 10 Мбит/с в обе стороны. Если поднять OpenConnect клиент на Windows машине через тот же роутер до того же OpenConnect сервера, то скорость 94 Мбит/с. Измерял speedtest до того же сервера с разницей в минуту. Скорость OpenConnect клиента специально ограничена? Не похоже на ограничения производительности самого роутера. Про OpenConnect server пока речи нет.

Точно такой же роутер (KN-3810). Все 1 в 1 как у тебя. Скорость 10-20 мбит/c. 

Опубликовано

На древней  Omni (KN-1410) тоже 20мбит, но с такой настройкой сервера

  

On 6/15/2024 at 1:49 AM, john ibsuser said:

В ocserv.conf: 

tls-priorities = "LEGACY:-AES-256-GCM:-AES-128-GCM:+CHACHA20-POLY1305:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1"

 

 

keenetic hopper se протестирую в ближайшие пару недель

Опубликовано

Для чистоты эксперимента на сервере выставил такой же tls-priorities - максимум 20Мбит/с при тех же 60% загрузки CPU на KN-3810 (Keenetic Hopper).
Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с.
Но если поднять OpenConnect клиент на Windows до того же OpenConnect сервера через тот же канал, то скорость выше 90МБит/с.
На всякий случай уточню - UDP конечно же выключено.

Опубликовано

Ну если UDP включен, то и обсуждать нечего, всё ясно.
UDP - это палево и как долго это проработает - только вопрос времени.

Опубликовано (изменено)

Такое ощущение, что уже определяют и режут скорость. Вчера днем настроил сервер с камуфляжем, была скорость 50Mbs к вечеру упала до 1Mbs, а то и почти до нуля в некоторые моменты времени. Также было и с замедлением ethervpn. 

Сейчас днем скорость скачет 2-5Mbs, но к вечеру обычно режут и чувствую будет 100kbs.

UDP отключен.

Кто-то сталкивался?

Update: с клиентом Cisco Anyconnect проблемы нет, можно им пользоваться.

Изменено пользователем Crazymon
Опубликовано

Померял скорости, плюс минус совпадают с OpenVPN и SSTP. Значит все работает похоже.

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

Опубликовано
1 час назад, Le ecureuil сказал:

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

Опубликовано
1 hour ago, slydiman said:

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

А там в новом дефолте +AES-128-GCM, а не минус ).

Опубликовано
19 часов назад, slydiman сказал:

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

iOS версию проверил, все работает.

Опубликовано
openconnect: Failed to open /dev/vhost-net: No such file or directory

Доброго всем времени. Последняя альфа, что-то не выходит каменный цветок. При этом any-connect что на винде, что на андроиде прям без проблем подключается. Куда копать, куда бежать?

(попытаюсь приложить self-test)

Опубликовано
В 09.09.2024 в 15:15, Vurdalaque K сказал:
openconnect: Failed to open /dev/vhost-net: No such file or directory

Доброго всем времени. Последняя альфа, что-то не выходит каменный цветок. При этом any-connect что на винде, что на андроиде прям без проблем подключается. Куда копать, куда бежать?

(попытаюсь приложить self-test)

Так эта ошибка ничего не значит по сути, у вас все работает:

Цитата

[I] Sep  8 14:42:16 openconnect: Got DTLS DPD response 
[I] Sep  8 14:43:32 openconnect: Send CSTP DPD 
[I] Sep  8 14:43:32 openconnect: Got CSTP DPD response 
[I] Sep  8 14:43:46 openconnect: Send DTLS DPD 
[I] Sep  8 14:43:46 openconnect: Got DTLS DPD response 
[I] Sep  8 14:45:02 openconnect: Send CSTP DPD 
[I] Sep  8 14:45:02 openconnect: Got CSTP DPD response 
[I] Sep  8 14:45:16 openconnect: Send DTLS DPD 
[I] Sep  8 14:45:16 openconnect: Got DTLS DPD response 

Канал стоит, keepalive ходят. Что еще нужно?

Опубликовано
On 9/5/2024 at 5:26 PM, Le ecureuil said:

Померял скорости, плюс минус совпадают с OpenVPN и SSTP. Значит все работает похоже.

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

Прописал в конфиге на стороне сервера. Это помогло решить проблемы со скоростью. Спасибо. Но к сожалению, на однопроцессорных Keenetics это не помогает. ЦПУ улетает в 100%. 

AnyConnect на iPhone подключается без проблем. 

Опубликовано
44 минуты назад, Pacha сказал:

Прописал в конфиге на стороне сервера. Это помогло решить проблемы со скоростью. Спасибо. Но к сожалению, на однопроцессорных Keenetics это не помогает. ЦПУ улетает в 100%. 

AnyConnect на iPhone подключается без проблем. 

ЦПУ и будет улетать, просто скорость будет повыше. Версия с этим фиксом пока еще не выпущена, будет в 4.2.b4.

Опубликовано
В 31.08.2024 в 22:37, slydiman сказал:

Для чистоты эксперимента на сервере выставил такой же tls-priorities - максимум 20Мбит/с при тех же 60% загрузки CPU на KN-3810 (Keenetic Hopper).
Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с.
Но если поднять OpenConnect клиент на Windows до того же OpenConnect сервера через тот же канал, то скорость выше 90МБит/с.
На всякий случай уточню - UDP конечно же выключено.

Подтверждаю:

Hopper (KN-3810) прошивка 4.2 Beta 3, гигабитный интернет (реальная скорость около 800 мегабит\сек), гигабитный OpenConnect Server(поднял на отдельной машине), скорость если использовать OpenConnect GUI - 700 мегабит\сек., но если клиент - Hopper, то те же 10-18 мегабит\сек.

Такое же поведение и при типе подключения OpenVpn.. Через софтовый клиент - 600-700 мегабит\сек, но если клиент - Hopper, то 10-15 мегабит\сек

Опубликовано (изменено)
22 минуты назад, simple сказал:

Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с.

У тех, у кого выше 100 мбит openconnect выдает, устройства на arm. Всё просто, никакого секрета.

Изменено пользователем Denis P
Опубликовано
57 минут назад, Denis P сказал:

У тех, у кого выше 100 мбит openconnect выдает, устройства на arm. Всё просто, никакого секрета.

Keenetic Hopper SE (KN-3812) должен показать хорошую производительность или нужно смотреть модели выше классом?

Опубликовано
22 часа назад, Le ecureuil сказал:

Так эта ошибка ничего не значит по сути, у вас все работает:

Канал стоит, keepalive ходят. Что еще нужно?

Вот только в статистике соединения "Отправлено" было 0 байт. Надо было во вкладке "Приоритеты подключения" поставить его выше основного ISP. Извиняюсь, был не прав. Теперь всё работает, спасибо.

Опубликовано
Цитата

Да, это arm.

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

Опубликовано
1 час назад, slydiman сказал:

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

В понедельник локально померяю и напишу.

Опубликовано
1 час назад, slydiman сказал:

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

Теоретически никак не может быть 700 просто из-за устройства протокола. Думаю, около 100 - реальный предел на ARM.

Опубликовано
3 часа назад, slydiman сказал:

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

на hopper SE получил ~120 при использовании CHACHA20-POLY1305

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.