Jump to content

Fedro

Forum Members
  • Posts

    9
  • Joined

  • Last visited

Equipment

  • Keenetic
    KN-1811

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

Fedro's Achievements

Newbie

Newbie (1/5)

1

Reputation

  1. Придется менять наш офисный KN-1011 на KN-1012, уж больно заманчива перспектива работать с openvpn на скорости канала :)))) Спасибо!
  2. Спасибо. Помогло. Но только при условии отключенного сжатия данных, если оставить включенным ситуация остается неизменной. Я мягко говоря недооценивал степень влияния этого параметра на возможную скорость работы сервиса. Замеры производительности туннеля по данным iperf3 (Мбит/с) в режиме и клиент и сервер запущены на Sprinter (KN-3711) AES256-GCM/SHA256 без DCO 43 AES128-GCM/SHA256 без DCO 43 CHACHA20-POLY1305 без DCO 43 AES256-GCM/SHA256 c DCO без компрессии 237 AES128-GCM/SHA256 c DCO без компрессии 238 CHACHA20-POLY1305 c DCO без компрессии 152 И если клиентскую часть запускать на win10 (2.6.11) а серверную на Keenetic Sprinter (KN-3711) в режиме AES256-GCM/SHA256 c DCO без компрессии то скорость 352Мбит/с.
  3. Добрый день! Попала мне в руки пара Sprinter (KN-3711) и пока есть немного времени я решил потестить новую платформу на примере этих чудесных машинок особенно по части работы различных VPN серверов, потому что на боевых системах делать это довольно неудобно, чтобы понять стоит ли экономить на шифровании, какие пределы скоростей. Был приятно удивлен работой аппаратного ускорения ipsec site2site, который почти не уступает в скорость Wireguard, а вот с OpenVPN что-то непонятное. Как бы я не менял конфигурацию, какие бы алгоритмы шифрования/проверки целостности (AES128/256/chacha20-poly1305, SHA1/SHA256) я не использовал в самых разных комбинациях - скорость всегда одна и та же - 50Мбит, что меня несколько удивило. Она такая если на одном устройстве клиент, а на другом сервер и точно такая же если клиента запускать на Win10 (я попробовал 3 шт 2.5.10, 2.6.7 и 2.6.11), я пробовал ставить последнюю версию ОС для разработчиков, ресетить роутер и восстанавливал прошивку спец утилитой. Никакого эффекта. Точно такой же конфиг сервера OpenVPN у меня стоит на KN 2710 работает в разы быстрее (100Мбит точно, больше канал проверить не позволяет), а в моем понимании производительность новой платформы не должна уступать предыдущей, по крайней мере существенно отличаться. Я что то делаю не то или так на этой конкретно модели задумано? Условия теста: роутеры подключены в один гигабитный коммутатор WAN-портами, тестовые машины подключены в lan-порты на роутере. Все интерфейсы ПК 1Гбит.
  4. Или технологичный метод Для примера используем те же настройки на стороне Keenetic Сеть для oc-server 10.10.10.0/24, пул адресов 200, IP для клиента выделяем статикой 10.10.10.24, галка NAT для клиентов снята. Домашняя сеть в которую нам нужен доступ (и только в нее через туннель) 192.168.1.0/24 На стороне клиента нам нужно исправить скрипт C:\Program Files\OpenConnect-GUI\vpnc-script-win.js и добавить его в раширенных настройках соединения vpnc-script После строки var REDIRECT_GATEWAY_METHOD = 0; вставляем строчки env("CISCO_SPLIT_INC") = 1; // how many IP's to reach in VPN network env("CISCO_SPLIT_INC_0_ADDR") = '192.168.1.0'; // env("CISCO_SPLIT_INC_0_MASK") = '255.255.255.0'; env("CISCO_SPLIT_INC_0_MASKLEN") = 24; После этого маршрутизация через туннель будет только в сеть 192.168.1.0/24 и сеть из пула адресов 10.10.10.0/24 Пример скрипта во вложении. vpnc-script-win.js
  5. добрый день! Да, можно, но не очень технологично пока. на стороне кинетика (предположим домашняя сеть у нас 192.168.1.0/24). Допустим вы выделяете отдельную подсеть (я бы пока рекомендовал делать так, после некоторого количества экспериментов) для пула адресов openconnect клиентов. Например 10.10.10.2 и 200 адресов пул Назначаем фиксированный адрес клиенту. к которому вы подключаетесь. Пусть будет 10.10.10.24 Галку NAT для клиентов можно снять в таком случае. На стороне клиента OpenConnetc GUI открываете расширенные настройки соединения и в строке vpnc script выбираете файл C:\Program Files\OpenConnect-GUI\vpnc-script-win.js, потом в этом файле находите сроку var REDIRECT_GATEWAY_METHOD = 0; и заменяете на var REDIRECT_GATEWAY_METHOD = 1; сохраняете файл. После подключения у вас маршрут в сеть 10.10.10.0/24 перестанет быть маршрутом по умолчанию. И добавляете в систему маршрут к домашней сети route -p add 192.168.1.0 mask 255.255.255.0 10.10.10.24 К сожалению, интерфейс oenconnect не идентифицируется как vpn и добавлять/удалять автоматически при поднятии этого интерфейса маршрут не получится.
  6. Это будет очень хорошо. Спасибо большое. Если бы по аналогии с l2tp сервером маршрут в выбранный сегмент сети для доступа клиентов push-ился автоматически, было бы просто великолепно.
  7. Подскажите пожалуйста, есть ли возможность передать на клиента маршрут, когда в качестве сервера выступает keenetic? Что то вроде oc-server dhcp route ?
  8. Есть частное решение такой задачи. По крайней мере я бы ее решал так, если серверов в сети за роутером с серыми адресами не очень много. Я бы сделал отдельное подключение WG на роутере с белым IP, чтобы разделить задачи сетевого взаимодействия между локальными сетями и публикацией портов, и напрямую подключил бы в него серверы, установив прямо на них клиентов WG. Потом, настроил бы этот интерфейс WG согласно статье https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель (назначаете интерфейс куда вы подключаете серверы приватным, включаете на нем NAT, разрешаете весь трафик). И весь трафик во внешний мир с этих серверов завернул бы через это подключение WG (мало, чтобы пакеты с проброшенных портов приходили на серверы, хорошо бы, чтобы они еще туда же и уходили, откуда пришли). При этом ,если в качестве доступных сетей на клиентах указывать не 0.0.0.0/0 а указать AllowedIPs = 0.0.0.0/1, 128.0.0.0/2, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4, 224.0.0.0/3 то все фейковые сети будут по прежнему маршрутизироваться через локальные интерфейсы серверов, а не через wireguard туннель, что позволит вам взаимодействовать с этими серверами из локальных сетей беспрепятственно. Не забывайте на клиентах указывать в настройках WG параметр DNS = 8.8.8.8 (или какой вы считаете нужным) Потом на вашем роутере с белыми IP вы просто пробрасываете порты на IP адреса, которые вы выдали в пуле WG и все работает. Только что интереса ради на стенде решил такую (с некоторыми ограничениями) задачу - в общем то работает.
×
×
  • Create New...