最近在家里做两地住处的 Site-to-Site WireGuard VPN（RouterOS），结果在 Netgear 交换机 GS305E 和 GS308E 踩到两个奇怪的陷阱 --- ## 陷阱1：两台管理层（Bridge／CPU）对於 VLAN tag 的行为不同 ### GS305E 的管理层能吃 tagged 跟 untagged 封包。 ### GS308E 的管理层只能收 untagged 封包。 所以当同一个地点的区网使用一样的 VLAN 架构模式，例如让 trunk port 带管理 VLAN ID 且都设定为 tagged，那麽 GS308E 的管理介面就会无法访问。 因为直觉上这两台型号应该行为一致，所以遇到的时候很困惑，绕了一大圈试错、改设定 ，最後才意识到问题出在 GS308E 对 tagged 封包的处理方式不同。 ## 陷阱2：两台 TCP stack 相容性不同 ### GS305E 能正确回应 MSS clamping 後的封包 ### GS308E 一旦 MSS 被改动，就会直接拒绝连线 我在 VPN 环境从 A 地 PC 访问 B 地的两台交换机时遇到 MTU/MSS 黑洞： GS305E 网页管理介面会卡在 「Redirect to login」页面。但 GS308E 管理介面却可以 访问。 原因应该是 WireGuard 预设 MTU 1420，但 GS305E 在回应开启网页管理介面时，透过 VPN 传出的 TCP 封包太大就被丢弃。 调整 WireGuard MTU=1280 并在 A 地 outbound SYN MSS clamp 之後，GS305E 正常了， 但换成 GS308E 完全连不上，显示「Connection refused」。 後来我试过各种组合，最後针对特定 IP（GS308E）排除 MSS clamp 规则，才终於让两台 管理页面都能访问。 --- 我发现这两台虽然名字只差一个字，命名看起来同系列，但底层韧体差异比预期来的大。 从随附的电源也能看出端倪，GS305E 的功耗更高，管理和韧体功能更完整； GS308E 虽然型号数字大、port 多，但实际上更像是降规版本。 Netgear 这系列其他型号的简易网管交换机可能都会有类似的陷阱。 比如GS108E、GS105E。 唉不过能塞进弱电箱就继续用...... 分享一下，有看到的人能少花一点时间除错。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.242.25.120 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1759808038.A.4E2.html ※ 编辑: ultimatevic (111.242.25.120 台湾), 10/07/2025 12:44:42 堪用，这体积同功能选择不多，不然我想拿 SwOS Lite a大推荐什麽 ? 对水星没爱 大哥这价格有点贵 韧体都更新到最新，但除错的时候发现第一版 GS308E 今年已经 EOL 不太确定新的 GS308E v4 有没有修正 ※ 编辑: ultimatevic (61.216.186.148 台湾), 10/14/2025 09:24:03