Юрий Иванов Posted August 28 Share Posted August 28 В 08.07.2024 в 16:21, AndreySH сказал: приветствую. помогите с файрволом! Стоит OpenConnect сервер на OpenWRT. когда клиент коннектится ,пинги из локальной сети на него идут(в ГУИ разрешил} а вот от клиента даже на сам роутер не идут. Как настроить файрвол? точнее где? интерфейса не появляется в ГУИ. По команде route в консоли ssh есть интерфейс (oc0), а вот через cli Кенетика show interface его нет и не знаю куда access list крепить. Здравствуйте. Если не секрет, на что установлен OpenWRT? Какие скорости при этом выдает openconnect? На кn2710 сервер, клиент на iPhone. Пиковая скорость 160мбит. Ищу вариант железа с более высокой скоростью. Может mt7988a? Quote Link to comment Share on other sites More sharing options...
BNKT0P Posted August 28 Share Posted August 28 (edited) В 04.07.2024 в 16:25, Konstantin2 сказал: День добрый. Не вижу openconnect в опциях Другие подключения и нет плитки сервера в Приложениях. Как я понимаю должно быть? UPDATE. Все понял, поставил новый интерфейс (бета), теперь есть. Update 2. Скорость, конечно, не шоколад. Giga (KN-1010), 10 мбит, загрузка 60% CPU, одно ядро как понял Настроил Openconnect клиента на роутере Giga KN-1011 и завернул беспроводной трафик через vpn подключение. Увы, но скорость ниже плинтуса, и на разных клиентских устройствах одинаковая - не более 10 Мбит/сек download и upload, загрузка CPU роутера скачет от 30 до 60% во время тестирования. Если просто подключаться к ocserv напрямую клиентом с ноута или смартфона, то скорость не менее 100 Мбит/сек в обе стороны. Кто знает куда копать, и что делать? Прошивка установлена последняя - 4.2 Beta 2. P.S. 1. Если настроить Wireguard клиента на роутере Giga KN-1011 и завернуть беспроводной трафик через это подключение, то проблем со скоростью на беспроводных клиентах и утилизацией CPU роутера не наблюдается, всё супер. 2. Пробовал выключать и включать аппаратное ускорение (с перезагрузкой роутера) - никакого видимого эффекта. Edited August 28 by BNKT0P добавление информации 1 1 Quote Link to comment Share on other sites More sharing options...
fakir81 Posted August 28 Share Posted August 28 Настроил ту же конфигурацию между двумя OpenWRT все отлично работает. При поднятии на keenetic OpenVPN с той же конфигурацией сети, тоже все прекрасно открывается. Подозреваю проблему именно в сервере Openconnect Keenetic. Но вот где именно понять не могу. 1 Quote Link to comment Share on other sites More sharing options...
slydiman Posted August 29 Share Posted August 29 20 часов назад, BNKT0P сказал: Настроил Openconnect клиента на роутере Giga KN-1011 и завернул беспроводной трафик через vpn подключение. Увы, но скорость ниже плинтуса, и на разных клиентских устройствах одинаковая - не более 10 Мбит/сек download и upload, загрузка CPU роутера скачет от 30 до 60% во время тестирования. Подтверждаю. KN-3810 (Keenetic Hopper). Скорость OpenConnect клиента не более 10 Мбит/с в обе стороны. Если поднять OpenConnect клиент на Windows машине через тот же роутер до того же OpenConnect сервера, то скорость 94 Мбит/с. Измерял speedtest до того же сервера с разницей в минуту. Скорость OpenConnect клиента специально ограничена? Не похоже на ограничения производительности самого роутера. Про OpenConnect server пока речи нет. 1 Quote Link to comment Share on other sites More sharing options...
Grenko8K Posted August 29 Share Posted August 29 1 hour ago, slydiman said: Подтверждаю. KN-3810 (Keenetic Hopper). Скорость OpenConnect клиента не более 10 Мбит/с в обе стороны. Если поднять OpenConnect клиент на Windows машине через тот же роутер до того же OpenConnect сервера, то скорость 94 Мбит/с. Измерял speedtest до того же сервера с разницей в минуту. Скорость OpenConnect клиента специально ограничена? Не похоже на ограничения производительности самого роутера. Про OpenConnect server пока речи нет. Точно такой же роутер (KN-3810). Все 1 в 1 как у тебя. Скорость 10-20 мбит/c. 1 Quote Link to comment Share on other sites More sharing options...
john ibsuser Posted August 29 Share Posted August 29 На древней Omni (KN-1410) тоже 20мбит, но с такой настройкой сервера On 6/15/2024 at 1:49 AM, john ibsuser said: В ocserv.conf: tls-priorities = "LEGACY:-AES-256-GCM:-AES-128-GCM:+CHACHA20-POLY1305:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1" keenetic hopper se протестирую в ближайшие пару недель Quote Link to comment Share on other sites More sharing options...
john ibsuser Posted August 31 Share Posted August 31 В общем не удержался, перенес настройки со старого роутера уже на этой неделе ). 100Мбит на OpenConnect выдает при загрузке проца около 60%. Quote Link to comment Share on other sites More sharing options...
slydiman Posted August 31 Share Posted August 31 Для чистоты эксперимента на сервере выставил такой же tls-priorities - максимум 20Мбит/с при тех же 60% загрузки CPU на KN-3810 (Keenetic Hopper). Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с. Но если поднять OpenConnect клиент на Windows до того же OpenConnect сервера через тот же канал, то скорость выше 90МБит/с. На всякий случай уточню - UDP конечно же выключено. 1 Quote Link to comment Share on other sites More sharing options...
john ibsuser Posted September 1 Share Posted September 1 А в логе подключается по какому cipher? И у меня hopper SE, UDP включено, без него пинг неюзабельный Quote Link to comment Share on other sites More sharing options...
slydiman Posted September 1 Share Posted September 1 Ну если UDP включен, то и обсуждать нечего, всё ясно. UDP - это палево и как долго это проработает - только вопрос времени. Quote Link to comment Share on other sites More sharing options...
john ibsuser Posted September 1 Share Posted September 1 Да тут все палево и вопрос времени, зафингерпринтить этот GnuTLS при использовании только по TCP тоже не составит проблем Quote Link to comment Share on other sites More sharing options...
Crazymon Posted September 1 Share Posted September 1 (edited) Такое ощущение, что уже определяют и режут скорость. Вчера днем настроил сервер с камуфляжем, была скорость 50Mbs к вечеру упала до 1Mbs, а то и почти до нуля в некоторые моменты времени. Также было и с замедлением ethervpn. Сейчас днем скорость скачет 2-5Mbs, но к вечеру обычно режут и чувствую будет 100kbs. UDP отключен. Кто-то сталкивался? Update: с клиентом Cisco Anyconnect проблемы нет, можно им пользоваться. Edited September 4 by Crazymon Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 5 Share Posted September 5 Померял скорости, плюс минус совпадают с OpenVPN и SSTP. Значит все работает похоже. В следующих версиях будет вот такой дефолт для сервера: tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE" 2 Quote Link to comment Share on other sites More sharing options...
slydiman Posted September 5 Share Posted September 5 1 час назад, Le ecureuil сказал: В следующих версиях будет вот такой дефолт для сервера: tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE" При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect. При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить. Quote Link to comment Share on other sites More sharing options...
john ibsuser Posted September 5 Share Posted September 5 1 hour ago, slydiman said: При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect. При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить. А там в новом дефолте +AES-128-GCM, а не минус ). Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 6 Share Posted September 6 19 часов назад, slydiman сказал: При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect. При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить. iOS версию проверил, все работает. Quote Link to comment Share on other sites More sharing options...
Vurdalaque K Posted September 9 Share Posted September 9 openconnect: Failed to open /dev/vhost-net: No such file or directory Доброго всем времени. Последняя альфа, что-то не выходит каменный цветок. При этом any-connect что на винде, что на андроиде прям без проблем подключается. Куда копать, куда бежать? (попытаюсь приложить self-test) Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 13 Share Posted September 13 В 09.09.2024 в 15:15, Vurdalaque K сказал: openconnect: Failed to open /dev/vhost-net: No such file or directory Доброго всем времени. Последняя альфа, что-то не выходит каменный цветок. При этом any-connect что на винде, что на андроиде прям без проблем подключается. Куда копать, куда бежать? (попытаюсь приложить self-test) Так эта ошибка ничего не значит по сути, у вас все работает: Цитата [I] Sep 8 14:42:16 openconnect: Got DTLS DPD response [I] Sep 8 14:43:32 openconnect: Send CSTP DPD [I] Sep 8 14:43:32 openconnect: Got CSTP DPD response [I] Sep 8 14:43:46 openconnect: Send DTLS DPD [I] Sep 8 14:43:46 openconnect: Got DTLS DPD response [I] Sep 8 14:45:02 openconnect: Send CSTP DPD [I] Sep 8 14:45:02 openconnect: Got CSTP DPD response [I] Sep 8 14:45:16 openconnect: Send DTLS DPD [I] Sep 8 14:45:16 openconnect: Got DTLS DPD response Канал стоит, keepalive ходят. Что еще нужно? 1 Quote Link to comment Share on other sites More sharing options...
Pacha Posted September 13 Share Posted September 13 On 9/5/2024 at 5:26 PM, Le ecureuil said: Померял скорости, плюс минус совпадают с OpenVPN и SSTP. Значит все работает похоже. В следующих версиях будет вот такой дефолт для сервера: tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE" Прописал в конфиге на стороне сервера. Это помогло решить проблемы со скоростью. Спасибо. Но к сожалению, на однопроцессорных Keenetics это не помогает. ЦПУ улетает в 100%. AnyConnect на iPhone подключается без проблем. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 13 Share Posted September 13 44 минуты назад, Pacha сказал: Прописал в конфиге на стороне сервера. Это помогло решить проблемы со скоростью. Спасибо. Но к сожалению, на однопроцессорных Keenetics это не помогает. ЦПУ улетает в 100%. AnyConnect на iPhone подключается без проблем. ЦПУ и будет улетать, просто скорость будет повыше. Версия с этим фиксом пока еще не выпущена, будет в 4.2.b4. 1 Quote Link to comment Share on other sites More sharing options...
simple Posted September 13 Share Posted September 13 В 31.08.2024 в 22:37, slydiman сказал: Для чистоты эксперимента на сервере выставил такой же tls-priorities - максимум 20Мбит/с при тех же 60% загрузки CPU на KN-3810 (Keenetic Hopper). Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с. Но если поднять OpenConnect клиент на Windows до того же OpenConnect сервера через тот же канал, то скорость выше 90МБит/с. На всякий случай уточню - UDP конечно же выключено. Подтверждаю: Hopper (KN-3810) прошивка 4.2 Beta 3, гигабитный интернет (реальная скорость около 800 мегабит\сек), гигабитный OpenConnect Server(поднял на отдельной машине), скорость если использовать OpenConnect GUI - 700 мегабит\сек., но если клиент - Hopper, то те же 10-18 мегабит\сек. Такое же поведение и при типе подключения OpenVpn.. Через софтовый клиент - 600-700 мегабит\сек, но если клиент - Hopper, то 10-15 мегабит\сек Quote Link to comment Share on other sites More sharing options...
Denis P Posted September 13 Share Posted September 13 (edited) 22 минуты назад, simple сказал: Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с. У тех, у кого выше 100 мбит openconnect выдает, устройства на arm. Всё просто, никакого секрета. Edited September 13 by Denis P 1 Quote Link to comment Share on other sites More sharing options...
simple Posted September 13 Share Posted September 13 57 минут назад, Denis P сказал: У тех, у кого выше 100 мбит openconnect выдает, устройства на arm. Всё просто, никакого секрета. Keenetic Hopper SE (KN-3812) должен показать хорошую производительность или нужно смотреть модели выше классом? Quote Link to comment Share on other sites More sharing options...
Vurdalaque K Posted September 14 Share Posted September 14 22 часа назад, Le ecureuil сказал: Так эта ошибка ничего не значит по сути, у вас все работает: Канал стоит, keepalive ходят. Что еще нужно? Вот только в статистике соединения "Отправлено" было 0 байт. Надо было во вкладке "Приоритеты подключения" поставить его выше основного ISP. Извиняюсь, был не прав. Теперь всё работает, спасибо. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 14 Share Posted September 14 16 часов назад, simple сказал: Keenetic Hopper SE (KN-3812) должен показать хорошую производительность или нужно смотреть модели выше классом? Да, это arm. Quote Link to comment Share on other sites More sharing options...
slydiman Posted September 14 Share Posted September 14 Цитата Да, это arm. Вопрос был про производительность. Её кто-то мерял? Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет. Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700. Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет. Есть какие-то результаты реальных тестов? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 14 Share Posted September 14 1 час назад, slydiman сказал: Вопрос был про производительность. Её кто-то мерял? Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет. Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700. Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет. Есть какие-то результаты реальных тестов? В понедельник локально померяю и напишу. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 14 Share Posted September 14 1 час назад, slydiman сказал: Вопрос был про производительность. Её кто-то мерял? Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет. Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700. Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет. Есть какие-то результаты реальных тестов? Теоретически никак не может быть 700 просто из-за устройства протокола. Думаю, около 100 - реальный предел на ARM. Quote Link to comment Share on other sites More sharing options...
john ibsuser Posted September 14 Share Posted September 14 On 8/31/2024 at 7:16 PM, john ibsuser said: 100Мбит на OpenConnect выдает при загрузке проца около 60%. Это se (3812) Quote Link to comment Share on other sites More sharing options...
Denis P Posted September 14 Share Posted September 14 3 часа назад, slydiman сказал: Вопрос был про производительность. Её кто-то мерял? Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет. Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700. Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет. Есть какие-то результаты реальных тестов? на hopper SE получил ~120 при использовании CHACHA20-POLY1305 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.