Jump to content

Recommended Posts

Posted (edited)

Хотелось бы прояснить:

1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec?

2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Edited by KorDen
Posted
10 минут назад, KorDen сказал:

Хотелось бы прояснить:

1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec?

2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Есть две версии crypto engine.

Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621.

Вторая: AES Crypto engine. Этот блок умеет только AES ECB/CBC, и все. Этот блок стоит в MT7628.

EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с).

EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит.

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Во всех остальных моделях - только программная поддержка.

  • Thanks 5
  • 4 months later...
Posted
В 27.08.2016 в 23:42, Le ecureuil сказал:

Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621.

EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с).

EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит.

Приветствую!

Есть два вопроса:

1. "умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход" - значит ли это что нужно, к примеру с AES установить галочки на всех MD5/SHA1/SHA256 или можно выбрать что-то одно, к примеру SHA256?

2.  "EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08" - а на 2.09 и выше, надеюсь, тоже поддерживается?

И нужно ли дополнительно как-то включать/задействовать crypto engine версии EIP93 или все работает по умолчанию?

Спасибо.

Posted

1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента.

2 Да, конечно поддерживается

3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию)

Posted
7 часов назад, r13 сказал:

1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента.

2 Да, конечно поддерживается

3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию)

Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля?

Posted
11 час назад, smartandr сказал:

Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля?

При работе crypto engine EIP93 вы увидете в логе следующие строки:

[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

Posted
1 час назад, Le ecureuil сказал:

При работе crypto engine EIP93 вы увидете в логе следующие строки:


[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

Благодарствую, все именно так и есть. А скорость между Giga III и Ultra, расположенных на расстоянии 1200 км друг от друга, и измеренная при помощи NETCPS выглядит вот так: Done. 104857600 Kb transferred in 24.39 seconds

  • 1 month later...
Posted (edited)

В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?)

Edited by KorDen
Posted
21 час назад, KorDen сказал:

В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?)

Да, есть в LTE, DSL, VOX.

Можно.

  • 1 year later...
Posted
В 28.08.2016 в 00:42, Le ecureuil сказал:

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN?

Posted
В 5/3/2018 в 12:52, Игорь Тарасов сказал:

Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN?

Вообще на этих устройствах лучше сравнить и выбрать что вам подходит лучше. Скорости будут сравнимые, и очень будут зависить от настроек.

  • 3 weeks later...
Posted
В 27.08.2016 в 23:42, Le ecureuil сказал:

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Какие надо создать идеальные условия для того чтобы получить 60 Мбит.
IpsecVPN tunel между Giga II и Lite III Rev.B
параметры - aes-128/Sha-1 DH14, aes-128/Sha-1
При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40
 

  • 2 years later...
Posted
On 1/26/2017 at 11:38 AM, Le ecureuil said:

При работе crypto engine EIP93 вы увидете в логе следующие строки:


[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

А скажите пожалуйста. В свежей прошивке 3.5.х этих строк уже нет.

Только

EIP93: AES acceleration registered
EIP93: DES/3DES acceleration registered
EIP93: CryptoAPI started (v 0.11, ring size: 256)

Это нормально?

Posted
2 часа назад, gaaronk сказал:

Это нормально?

Да, нормально:

Цитата

Версия 3.3 Alpha 1.1

драйвер криптоускорителя переделан под стандартное CryptoAPI ядра

 

  • 4 months later...
Posted
В 29.05.2018 в 05:44, hard_alex@mail.ru сказал:

Какие надо создать идеальные условия для того чтобы получить 60 Мбит.
IpsecVPN tunel между Giga II и Lite III Rev.B
параметры - aes-128/Sha-1 DH14, aes-128/Sha-1
При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40
 

Поддержу вопрос, кто подскажет наилучшие настройки по IPSec в плане скорости. На связке speedster-start поднимается туннель и качает до 15 мбит (провайдера дают 100 мбит). Загрузка старта 50-80%, выставлено aes-128/Sha-1 DH1. В логе hardware crypto поднимается. 

Posted
В 05.05.2021 в 15:05, SySOPik сказал:

Поддержу вопрос, кто подскажет наилучшие настройки по IPSec в плане скорости. На связке speedster-start поднимается туннель и качает до 15 мбит (провайдера дают 100 мбит). Загрузка старта 50-80%, выставлено aes-128/Sha-1 DH1. В логе hardware crypto поднимается. 

Я бы перешел на CHACHA20-POLY1305 на второй фазе. Будет примерно (+/-) как Wireguard.

Posted (edited)
18 часов назад, Le ecureuil сказал:

Я бы перешел на CHACHA20-POLY1305 на второй фазе.

Эмм, я не там смотрю?

 

Скрытый текст

шифр.JPG

 

Edited by SySOPik
Posted

Попробовал CHACHA20-POLY1305 + все что можно опробовал в SA AEAD 2 фазы. Больше 12-16 мегабит выжать со Старта видимо нельзя. Процессор скачет 50-90%, CryptoEngineManager: IPsec crypto engine set to "hardware".

Posted

Раз вы можете выбирать AEAD-режимы, то попробуйте сразу wireguard. Возможно с ним будет лучше.

Posted
В 12.05.2021 в 22:47, Le ecureuil сказал:

попробуйте сразу wireguard

Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен?

Posted
1 час назад, SySOPik сказал:

Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен?

На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES.

Posted
2 часа назад, SySOPik сказал:

Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен?

На 7628 слабый одноядерный процессор, и crypto engine там довольно своеобразный. Я бы не возлагал на него особых надежд.

Если нужна скорость в IPsec лучше смотреть на 2010 или 3010 из самых доступных устройств.

Posted
4 часа назад, werldmgn сказал:

На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES.

Так от оно что, Михалыч. Этого в спеках я не видел, видимо не вникал или не нашел.

4 часа назад, Le ecureuil сказал:

На 7628 слабый одноядерный процессор, и crypto engine там довольно своеобразный

Это я уже понял. 3010 используются только где есть количество техники, на местах с парой устройств стоят 1110, их там за глаза. Надежд не возлагал, но подумал что хотя бы 25 мегабит стрельнет.  И на том спасибо.

  • 4 weeks later...
Posted

1. А если сравнить DES+MD5+DH1 и AEAD-режимы выхлоп получу? Чтобы за зря не переделывать ;-) У меня ULTRA-ULTRA или UTLRA-GIGA

2. Есть какой-то способ "зарулить" клиента локальной сети с той стороны IPSEC к ресурсам с этой стороны туннеля. Для L2TP проходит l2tp-server dhcp route, тут что-то подобное есть?

3. Как грамотнее всего при туннеле сеть-сеть с той и/или с этой стороны закрыть доступ к туннелю?

4. Можно ли сделать, что запрос с одного конца туннеля ходят, а стой стороны лазать не могут ;-)  Ну типа для поддержки, я могу со своей стороны "шарится", а народ мои ресурсы не видит.

Posted

1) Однозначно первое.  AEAD в виде chapoly хорош для устройств на 7628, на 7621 он будет примерно на том же уровне.

2) Нет, потому и придуманы все это туннели с интерфейсами. Только через политику.

3) На родительском upstream-интерфейсе, где пойдет ESP.

4) Это только через opkg пока можно.

Posted
В 11.06.2021 в 09:44, Le ecureuil сказал:

4) Это только через opkg пока можно.

Почему? Разве нельзя в файре блочить со стороны клиента?  Или имелась ввиду блокировка "галочкой" в меню?

Но сама идея упрощенной активации блокировки "шарится", со стороны клиента весьма интересна.

  • 4 months later...
Posted

Обновился до новой 3.6 прошивки. Две гиги KN-1010, IPSec между ними. Раньше была 2.13, все было хорошо.... Теперь при копировании файлов нагрузка на проц до 40 %. Обновлялся поверх, чтобы сохранить старый конфиг (очень много учеток PPTP, тоннелей, маршрутов). Что могло случиться? Шифрование AES-128/MD5. Раньше в логах можно было увидеть работу cryptoengine, теперь ничего. И еще теперь PPTP-сервер примерно каждые 5 минут рвет на секунду соединение, затем клиент с той стороны его поднимает. Естественно в этот промежуток потеря пакетов. В логах vpn0:"имя пользователя PPTP": failed to get interface statistics

Что за беда с этими 3.Х, прям хоть обратно откатывайся :(

Posted
23 минуты назад, Mr. Grey сказал:

Что за беда с этими 3.Х, прям хоть обратно откатывайся :(

Если есть желание -- попробуйте 2.16  ( предварительно сохраните прошивку и конфиги)

https://forum.keenetic.ru/announcement/5-где-взять-тестовые-сборки/

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.