Jump to content
Как правильно добавить self-test и прочую отладку в тему
Followers 2
KorDen

Поддержка IPsec и crypto engine hardware

By KorDen, in Обсуждение IPsec, OpenVPN и других туннелей

Recommended Posts

08/27/2016 08:25 PM (edited)

Хотелось бы прояснить:

1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec?

2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Edited by KorDen

Share this post

Link to post
Share on other sites
08/27/2016 08:42 PM
10 минут назад, KorDen сказал:

Хотелось бы прояснить:

1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec?

2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Есть две версии crypto engine.

Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621.

Вторая: AES Crypto engine. Этот блок умеет только AES ECB/CBC, и все. Этот блок стоит в MT7628.

EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с).

EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит.

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Во всех остальных моделях - только программная поддержка.

  • Thanks 5

Share this post

Link to post
Share on other sites
01/25/2017 12:47 PM
В 27.08.2016 в 23:42, Le ecureuil сказал:

Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621.

EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с).

EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит.

Приветствую!

Есть два вопроса:

1. "умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход" - значит ли это что нужно, к примеру с AES установить галочки на всех MD5/SHA1/SHA256 или можно выбрать что-то одно, к примеру SHA256?

2.  "EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08" - а на 2.09 и выше, надеюсь, тоже поддерживается?

И нужно ли дополнительно как-то включать/задействовать crypto engine версии EIP93 или все работает по умолчанию?

Спасибо.

Share this post

Link to post
Share on other sites
01/25/2017 12:52 PM

1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента.

2 Да, конечно поддерживается

3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию)

Share this post

Link to post
Share on other sites
01/25/2017 08:09 PM
7 часов назад, r13 сказал:

1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента.

2 Да, конечно поддерживается

3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию)

Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля?

Share this post

Link to post
Share on other sites
01/26/2017 08:38 AM
11 час назад, smartandr сказал:

Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля?

При работе crypto engine EIP93 вы увидете в логе следующие строки: 

[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

Share this post

Link to post
Share on other sites
01/26/2017 09:51 AM
1 час назад, Le ecureuil сказал:

При работе crypto engine EIP93 вы увидете в логе следующие строки: 


[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

Благодарствую, все именно так и есть. А скорость между Giga III и Ultra, расположенных на расстоянии 1200 км друг от друга, и измеренная при помощи NETCPS выглядит вот так: Done. 104857600 Kb transferred in 24.39 seconds

Share this post

Link to post
Share on other sites
03/08/2017 11:15 AM (edited)

В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?)

Edited by KorDen

Share this post

Link to post
Share on other sites
03/09/2017 08:47 AM
21 час назад, KorDen сказал:

В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?)

Да, есть в LTE, DSL, VOX.

Можно.

Share this post

Link to post
Share on other sites
05/03/2018 09:52 AM
В 28.08.2016 в 00:42, Le ecureuil сказал:

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN?

Share this post

Link to post
Share on other sites
05/08/2018 09:14 AM
В 5/3/2018 в 12:52, Игорь Тарасов сказал:

Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN?

Вообще на этих устройствах лучше сравнить и выбрать что вам подходит лучше. Скорости будут сравнимые, и очень будут зависить от настроек.

Share this post

Link to post
Share on other sites
05/29/2018 02:44 AM
В 27.08.2016 в 23:42, Le ecureuil сказал:

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Какие надо создать идеальные условия для того чтобы получить 60 Мбит.
IpsecVPN tunel между Giga II и Lite III Rev.B
параметры - aes-128/Sha-1 DH14, aes-128/Sha-1
При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40
 

Share this post

Link to post
Share on other sites
01/03/2021 03:42 PM
On 1/26/2017 at 11:38 AM, Le ecureuil said:

При работе crypto engine EIP93 вы увидете в логе следующие строки: 


[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

А скажите пожалуйста. В свежей прошивке 3.5.х этих строк уже нет.

Только 

EIP93: AES acceleration registered
EIP93: DES/3DES acceleration registered
EIP93: CryptoAPI started (v 0.11, ring size: 256)

Это нормально?

Share this post

Link to post
Share on other sites
01/03/2021 05:50 PM
2 часа назад, gaaronk сказал:

Это нормально?

Да, нормально:

Цитата

Версия 3.3 Alpha 1.1

драйвер криптоускорителя переделан под стандартное CryptoAPI ядра

 

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 2
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...