Report post 08/27/2016 08:25 PM (edited) Хотелось бы прояснить: 1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec? 2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть? Edited August 27, 2016 by KorDen Quote Share this post Link to post Share on other sites
Report post 08/27/2016 08:42 PM 10 минут назад, KorDen сказал: Хотелось бы прояснить: 1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec? 2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть? Есть две версии crypto engine. Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621. Вторая: AES Crypto engine. Этот блок умеет только AES ECB/CBC, и все. Этот блок стоит в MT7628. EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с). EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит. AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно. Во всех остальных моделях - только программная поддержка. 5 Quote Share this post Link to post Share on other sites
Report post 01/25/2017 12:47 PM В 27.08.2016 в 23:42, Le ecureuil сказал: Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621. EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с). EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит. Приветствую! Есть два вопроса: 1. "умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход" - значит ли это что нужно, к примеру с AES установить галочки на всех MD5/SHA1/SHA256 или можно выбрать что-то одно, к примеру SHA256? 2. "EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08" - а на 2.09 и выше, надеюсь, тоже поддерживается? И нужно ли дополнительно как-то включать/задействовать crypto engine версии EIP93 или все работает по умолчанию? Спасибо. Quote Share this post Link to post Share on other sites
Report post 01/25/2017 12:52 PM 1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента. 2 Да, конечно поддерживается 3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию) Quote Share this post Link to post Share on other sites
Report post 01/25/2017 08:09 PM 7 часов назад, r13 сказал: 1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента. 2 Да, конечно поддерживается 3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию) Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля? Quote Share this post Link to post Share on other sites
Report post 01/26/2017 08:38 AM 11 час назад, smartandr сказал: Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля? При работе crypto engine EIP93 вы увидете в логе следующие строки: [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 Quote Share this post Link to post Share on other sites
Report post 01/26/2017 09:51 AM 1 час назад, Le ecureuil сказал: При работе crypto engine EIP93 вы увидете в логе следующие строки: [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 Благодарствую, все именно так и есть. А скорость между Giga III и Ultra, расположенных на расстоянии 1200 км друг от друга, и измеренная при помощи NETCPS выглядит вот так: Done. 104857600 Kb transferred in 24.39 seconds Quote Share this post Link to post Share on other sites
Report post 03/08/2017 11:15 AM (edited) В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?) Edited March 8, 2017 by KorDen Quote Share this post Link to post Share on other sites
Report post 03/09/2017 08:47 AM 21 час назад, KorDen сказал: В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?) Да, есть в LTE, DSL, VOX. Можно. Quote Share this post Link to post Share on other sites
Report post 05/03/2018 09:52 AM В 28.08.2016 в 00:42, Le ecureuil сказал: AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно. Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN? Quote Share this post Link to post Share on other sites
Report post 05/08/2018 09:14 AM В 5/3/2018 в 12:52, Игорь Тарасов сказал: Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN? Вообще на этих устройствах лучше сравнить и выбрать что вам подходит лучше. Скорости будут сравнимые, и очень будут зависить от настроек. Quote Share this post Link to post Share on other sites
Report post 05/29/2018 02:44 AM В 27.08.2016 в 23:42, Le ecureuil сказал: AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно. Какие надо создать идеальные условия для того чтобы получить 60 Мбит. IpsecVPN tunel между Giga II и Lite III Rev.B параметры - aes-128/Sha-1 DH14, aes-128/Sha-1 При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40 Quote Share this post Link to post Share on other sites
Report post 01/03/2021 03:42 PM On 1/26/2017 at 11:38 AM, Le ecureuil said: При работе crypto engine EIP93 вы увидете в логе следующие строки: [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 А скажите пожалуйста. В свежей прошивке 3.5.х этих строк уже нет. Только EIP93: AES acceleration registered EIP93: DES/3DES acceleration registered EIP93: CryptoAPI started (v 0.11, ring size: 256) Это нормально? Quote Share this post Link to post Share on other sites
Report post 01/03/2021 05:50 PM 2 часа назад, gaaronk сказал: Это нормально? Да, нормально: Цитата Версия 3.3 Alpha 1.1 драйвер криптоускорителя переделан под стандартное CryptoAPI ядра Quote Share this post Link to post Share on other sites