最近在家裡做兩地住處的 Site-to-Site WireGuard VPN（RouterOS），結果在 Netgear 交換機 GS305E 和 GS308E 踩到兩個奇怪的陷阱 --- ## 陷阱1：兩台管理層（Bridge／CPU）對於 VLAN tag 的行為不同 ### GS305E 的管理層能吃 tagged 跟 untagged 封包。 ### GS308E 的管理層只能收 untagged 封包。 所以當同一個地點的區網使用一樣的 VLAN 架構模式，例如讓 trunk port 帶管理 VLAN ID 且都設定為 tagged，那麼 GS308E 的管理介面就會無法訪問。 因為直覺上這兩台型號應該行為一致，所以遇到的時候很困惑，繞了一大圈試錯、改設定 ，最後才意識到問題出在 GS308E 對 tagged 封包的處理方式不同。 ## 陷阱2：兩台 TCP stack 相容性不同 ### GS305E 能正確回應 MSS clamping 後的封包 ### GS308E 一旦 MSS 被改動，就會直接拒絕連線 我在 VPN 環境從 A 地 PC 訪問 B 地的兩台交換機時遇到 MTU/MSS 黑洞： GS305E 網頁管理介面會卡在 「Redirect to login」頁面。但 GS308E 管理介面卻可以 訪問。 原因應該是 WireGuard 預設 MTU 1420，但 GS305E 在回應開啟網頁管理介面時，透過 VPN 傳出的 TCP 封包太大就被丟棄。 調整 WireGuard MTU=1280 並在 A 地 outbound SYN MSS clamp 之後，GS305E 正常了， 但換成 GS308E 完全連不上，顯示「Connection refused」。 後來我試過各種組合，最後針對特定 IP（GS308E）排除 MSS clamp 規則，才終於讓兩台 管理頁面都能訪問。 --- 我發現這兩台雖然名字只差一個字，命名看起來同系列，但底層韌體差異比預期來的大。 從隨附的電源也能看出端倪，GS305E 的功耗更高，管理和韌體功能更完整； GS308E 雖然型號數字大、port 多，但實際上更像是降規版本。 Netgear 這系列其他型號的簡易網管交換機可能都會有類似的陷阱。 比如GS108E、GS105E。 唉不過能塞進弱電箱就繼續用...... 分享一下，有看到的人能少花一點時間除錯。 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.25.120 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/Network/M.1759808038.A.4E2.html ※ 編輯: ultimatevic (111.242.25.120 臺灣), 10/07/2025 12:44:42 堪用，這體積同功能選擇不多，不然我想拿 SwOS Lite a大推薦什麼 ? 對水星沒愛 大哥這價格有點貴 韌體都更新到最新，但除錯的時候發現第一版 GS308E 今年已經 EOL 不太確定新的 GS308E v4 有沒有修正 ※ 編輯: ultimatevic (61.216.186.148 臺灣), 10/14/2025 09:24:03