Jump to content
KorDen

Поддержка IPsec и crypto engine hardware

Recommended Posts

Хотелось бы прояснить:

1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec?

2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Edited by KorDen

Share this post


Link to post
Share on other sites
10 минут назад, KorDen сказал:

Хотелось бы прояснить:

1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec?

2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Есть две версии crypto engine.

Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621.

Вторая: AES Crypto engine. Этот блок умеет только AES ECB/CBC, и все. Этот блок стоит в MT7628.

EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с).

EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит.

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Во всех остальных моделях - только программная поддержка.

  • Thanks 5

Share this post


Link to post
Share on other sites
В 27.08.2016 в 23:42, Le ecureuil сказал:

Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621.

EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с).

EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит.

Приветствую!

Есть два вопроса:

1. "умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход" - значит ли это что нужно, к примеру с AES установить галочки на всех MD5/SHA1/SHA256 или можно выбрать что-то одно, к примеру SHA256?

2.  "EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08" - а на 2.09 и выше, надеюсь, тоже поддерживается?

И нужно ли дополнительно как-то включать/задействовать crypto engine версии EIP93 или все работает по умолчанию?

Спасибо.

Share this post


Link to post
Share on other sites

1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента.

2 Да, конечно поддерживается

3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию)

Share this post


Link to post
Share on other sites
7 часов назад, r13 сказал:

1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента.

2 Да, конечно поддерживается

3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию)

Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля?

Share this post


Link to post
Share on other sites
11 час назад, smartandr сказал:

Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля?

При работе crypto engine EIP93 вы увидете в логе следующие строки:

[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

Share this post


Link to post
Share on other sites
1 час назад, Le ecureuil сказал:

При работе crypto engine EIP93 вы увидете в логе следующие строки:


[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

Благодарствую, все именно так и есть. А скорость между Giga III и Ultra, расположенных на расстоянии 1200 км друг от друга, и измеренная при помощи NETCPS выглядит вот так: Done. 104857600 Kb transferred in 24.39 seconds

Share this post


Link to post
Share on other sites

В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?)

Edited by KorDen

Share this post


Link to post
Share on other sites
21 час назад, KorDen сказал:

В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?)

Да, есть в LTE, DSL, VOX.

Можно.

Share this post


Link to post
Share on other sites
В 28.08.2016 в 00:42, Le ecureuil сказал:

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN?

Share this post


Link to post
Share on other sites
В 5/3/2018 в 12:52, Игорь Тарасов сказал:

Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN?

Вообще на этих устройствах лучше сравнить и выбрать что вам подходит лучше. Скорости будут сравнимые, и очень будут зависить от настроек.

Share this post


Link to post
Share on other sites
В 27.08.2016 в 23:42, Le ecureuil сказал:

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Какие надо создать идеальные условия для того чтобы получить 60 Мбит.
IpsecVPN tunel между Giga II и Lite III Rev.B
параметры - aes-128/Sha-1 DH14, aes-128/Sha-1
При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40
 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...