Jump to content

Recommended Posts

В 08.07.2024 в 16:21, AndreySH сказал:

приветствую. помогите с файрволом!

Стоит OpenConnect сервер на OpenWRT. когда клиент коннектится ,пинги из локальной сети на него идут(в ГУИ разрешил} а вот от клиента даже на сам роутер не идут. Как настроить файрвол? точнее где? интерфейса не появляется в ГУИ. По команде route в консоли ssh есть интерфейс (oc0), а вот через cli Кенетика show interface его нет и не знаю куда access list крепить.

 

 

 

 

Здравствуйте. Если не секрет, на что установлен OpenWRT? Какие скорости при этом выдает openconnect? На кn2710 сервер, клиент на iPhone. Пиковая скорость 160мбит. Ищу вариант железа с более высокой скоростью. Может mt7988a? 

Link to comment
Share on other sites

В 04.07.2024 в 16:25, Konstantin2 сказал:

День добрый.
Не вижу openconnect в опциях Другие подключения и нет плитки сервера в Приложениях.
Как я понимаю должно быть?

UPDATE. Все понял, поставил новый интерфейс (бета), теперь есть.

Update 2. Скорость, конечно, не шоколад. Giga (KN-1010), 10 мбит, загрузка 60% CPU, одно ядро как понял

Настроил Openconnect клиента на роутере Giga KN-1011 и завернул беспроводной трафик через vpn подключение. Увы, но скорость ниже плинтуса, и на разных клиентских устройствах одинаковая - не более 10 Мбит/сек download и upload, загрузка CPU роутера скачет от 30 до 60% во время тестирования.

Если просто подключаться к ocserv напрямую клиентом с ноута или смартфона, то скорость не менее 100 Мбит/сек в обе стороны.

Кто знает куда копать, и что делать? 

Прошивка установлена последняя - 4.2 Beta 2.

P.S.
1. Если настроить Wireguard клиента на роутере Giga KN-1011 и завернуть беспроводной трафик через это подключение, то проблем со скоростью на беспроводных клиентах и утилизацией CPU роутера не наблюдается, всё супер.
2. Пробовал выключать и включать аппаратное ускорение (с перезагрузкой роутера) - никакого видимого эффекта.

Edited by BNKT0P
добавление информации
  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

Настроил ту же конфигурацию между двумя OpenWRT все отлично работает. При поднятии на keenetic OpenVPN с той же конфигурацией сети, тоже все прекрасно открывается. Подозреваю проблему именно в сервере Openconnect Keenetic. Но вот где именно понять не могу.

  • Thanks 1
Link to comment
Share on other sites

20 часов назад, BNKT0P сказал:

Настроил Openconnect клиента на роутере Giga KN-1011 и завернул беспроводной трафик через vpn подключение. Увы, но скорость ниже плинтуса, и на разных клиентских устройствах одинаковая - не более 10 Мбит/сек download и upload, загрузка CPU роутера скачет от 30 до 60% во время тестирования.

Подтверждаю. KN-3810 (Keenetic Hopper). Скорость OpenConnect клиента не более 10 Мбит/с в обе стороны. Если поднять OpenConnect клиент на Windows машине через тот же роутер до того же OpenConnect сервера, то скорость 94 Мбит/с. Измерял speedtest до того же сервера с разницей в минуту. Скорость OpenConnect клиента специально ограничена? Не похоже на ограничения производительности самого роутера. Про OpenConnect server пока речи нет.

  • Upvote 1
Link to comment
Share on other sites

1 hour ago, slydiman said:

Подтверждаю. KN-3810 (Keenetic Hopper). Скорость OpenConnect клиента не более 10 Мбит/с в обе стороны. Если поднять OpenConnect клиент на Windows машине через тот же роутер до того же OpenConnect сервера, то скорость 94 Мбит/с. Измерял speedtest до того же сервера с разницей в минуту. Скорость OpenConnect клиента специально ограничена? Не похоже на ограничения производительности самого роутера. Про OpenConnect server пока речи нет.

Точно такой же роутер (KN-3810). Все 1 в 1 как у тебя. Скорость 10-20 мбит/c. 

  • Upvote 1
Link to comment
Share on other sites

На древней  Omni (KN-1410) тоже 20мбит, но с такой настройкой сервера

  

On 6/15/2024 at 1:49 AM, john ibsuser said:

В ocserv.conf: 

tls-priorities = "LEGACY:-AES-256-GCM:-AES-128-GCM:+CHACHA20-POLY1305:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1"

 

 

keenetic hopper se протестирую в ближайшие пару недель

Link to comment
Share on other sites

В общем не удержался, перенес настройки со старого роутера уже на этой неделе ). 100Мбит на OpenConnect выдает при загрузке проца около 60%. 

Link to comment
Share on other sites

Для чистоты эксперимента на сервере выставил такой же tls-priorities - максимум 20Мбит/с при тех же 60% загрузки CPU на KN-3810 (Keenetic Hopper).
Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с.
Но если поднять OpenConnect клиент на Windows до того же OpenConnect сервера через тот же канал, то скорость выше 90МБит/с.
На всякий случай уточню - UDP конечно же выключено.

  • Upvote 1
Link to comment
Share on other sites

Ну если UDP включен, то и обсуждать нечего, всё ясно.
UDP - это палево и как долго это проработает - только вопрос времени.

Link to comment
Share on other sites

Такое ощущение, что уже определяют и режут скорость. Вчера днем настроил сервер с камуфляжем, была скорость 50Mbs к вечеру упала до 1Mbs, а то и почти до нуля в некоторые моменты времени. Также было и с замедлением ethervpn. 

Сейчас днем скорость скачет 2-5Mbs, но к вечеру обычно режут и чувствую будет 100kbs.

UDP отключен.

Кто-то сталкивался?

Update: с клиентом Cisco Anyconnect проблемы нет, можно им пользоваться.

Edited by Crazymon
Link to comment
Share on other sites

Померял скорости, плюс минус совпадают с OpenVPN и SSTP. Значит все работает похоже.

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

  • Upvote 2
Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

Link to comment
Share on other sites

1 hour ago, slydiman said:

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

А там в новом дефолте +AES-128-GCM, а не минус ).

Link to comment
Share on other sites

19 часов назад, slydiman сказал:

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

iOS версию проверил, все работает.

Link to comment
Share on other sites

openconnect: Failed to open /dev/vhost-net: No such file or directory

Доброго всем времени. Последняя альфа, что-то не выходит каменный цветок. При этом any-connect что на винде, что на андроиде прям без проблем подключается. Куда копать, куда бежать?

(попытаюсь приложить self-test)

Link to comment
Share on other sites

В 09.09.2024 в 15:15, Vurdalaque K сказал:
openconnect: Failed to open /dev/vhost-net: No such file or directory

Доброго всем времени. Последняя альфа, что-то не выходит каменный цветок. При этом any-connect что на винде, что на андроиде прям без проблем подключается. Куда копать, куда бежать?

(попытаюсь приложить self-test)

Так эта ошибка ничего не значит по сути, у вас все работает:

Цитата

[I] Sep  8 14:42:16 openconnect: Got DTLS DPD response 
[I] Sep  8 14:43:32 openconnect: Send CSTP DPD 
[I] Sep  8 14:43:32 openconnect: Got CSTP DPD response 
[I] Sep  8 14:43:46 openconnect: Send DTLS DPD 
[I] Sep  8 14:43:46 openconnect: Got DTLS DPD response 
[I] Sep  8 14:45:02 openconnect: Send CSTP DPD 
[I] Sep  8 14:45:02 openconnect: Got CSTP DPD response 
[I] Sep  8 14:45:16 openconnect: Send DTLS DPD 
[I] Sep  8 14:45:16 openconnect: Got DTLS DPD response 

Канал стоит, keepalive ходят. Что еще нужно?

  • Upvote 1
Link to comment
Share on other sites

On 9/5/2024 at 5:26 PM, Le ecureuil said:

Померял скорости, плюс минус совпадают с OpenVPN и SSTP. Значит все работает похоже.

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

Прописал в конфиге на стороне сервера. Это помогло решить проблемы со скоростью. Спасибо. Но к сожалению, на однопроцессорных Keenetics это не помогает. ЦПУ улетает в 100%. 

AnyConnect на iPhone подключается без проблем. 

Link to comment
Share on other sites

44 минуты назад, Pacha сказал:

Прописал в конфиге на стороне сервера. Это помогло решить проблемы со скоростью. Спасибо. Но к сожалению, на однопроцессорных Keenetics это не помогает. ЦПУ улетает в 100%. 

AnyConnect на iPhone подключается без проблем. 

ЦПУ и будет улетать, просто скорость будет повыше. Версия с этим фиксом пока еще не выпущена, будет в 4.2.b4.

  • Upvote 1
Link to comment
Share on other sites

В 31.08.2024 в 22:37, slydiman сказал:

Для чистоты эксперимента на сервере выставил такой же tls-priorities - максимум 20Мбит/с при тех же 60% загрузки CPU на KN-3810 (Keenetic Hopper).
Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с.
Но если поднять OpenConnect клиент на Windows до того же OpenConnect сервера через тот же канал, то скорость выше 90МБит/с.
На всякий случай уточню - UDP конечно же выключено.

Подтверждаю:

Hopper (KN-3810) прошивка 4.2 Beta 3, гигабитный интернет (реальная скорость около 800 мегабит\сек), гигабитный OpenConnect Server(поднял на отдельной машине), скорость если использовать OpenConnect GUI - 700 мегабит\сек., но если клиент - Hopper, то те же 10-18 мегабит\сек.

Такое же поведение и при типе подключения OpenVpn.. Через софтовый клиент - 600-700 мегабит\сек, но если клиент - Hopper, то 10-15 мегабит\сек

Link to comment
Share on other sites

22 минуты назад, simple сказал:

Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с.

У тех, у кого выше 100 мбит openconnect выдает, устройства на arm. Всё просто, никакого секрета.

Edited by Denis P
  • Upvote 1
Link to comment
Share on other sites

57 минут назад, Denis P сказал:

У тех, у кого выше 100 мбит openconnect выдает, устройства на arm. Всё просто, никакого секрета.

Keenetic Hopper SE (KN-3812) должен показать хорошую производительность или нужно смотреть модели выше классом?

Link to comment
Share on other sites

22 часа назад, Le ecureuil сказал:

Так эта ошибка ничего не значит по сути, у вас все работает:

Канал стоит, keepalive ходят. Что еще нужно?

Вот только в статистике соединения "Отправлено" было 0 байт. Надо было во вкладке "Приоритеты подключения" поставить его выше основного ISP. Извиняюсь, был не прав. Теперь всё работает, спасибо.

Link to comment
Share on other sites

16 часов назад, simple сказал:

Keenetic Hopper SE (KN-3812) должен показать хорошую производительность или нужно смотреть модели выше классом?

Да, это arm.

Link to comment
Share on other sites

Цитата

Да, это arm.

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

Link to comment
Share on other sites

1 час назад, slydiman сказал:

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

В понедельник локально померяю и напишу.

  • Upvote 1
Link to comment
Share on other sites

1 час назад, slydiman сказал:

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

Теоретически никак не может быть 700 просто из-за устройства протокола. Думаю, около 100 - реальный предел на ARM.

Link to comment
Share on other sites

3 часа назад, slydiman сказал:

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

на hopper SE получил ~120 при использовании CHACHA20-POLY1305

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...