KorDen Posted August 27, 2016 Report post 08/27/2016 08:25 PM (edited) Хотелось бы прояснить: 1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec? 2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть? Edited August 27, 2016 by KorDen Quote Share this post Link to post Share on other sites More sharing options...
Le ecureuil Posted August 27, 2016 Report post 08/27/2016 08:42 PM 10 минут назад, KorDen сказал: Хотелось бы прояснить: 1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec? 2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть? Есть две версии crypto engine. Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621. Вторая: AES Crypto engine. Этот блок умеет только AES ECB/CBC, и все. Этот блок стоит в MT7628. EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с). EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит. AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно. Во всех остальных моделях - только программная поддержка. 5 Quote Share this post Link to post Share on other sites More sharing options...
smartandr Posted January 25, 2017 Report post 01/25/2017 12:47 PM В 27.08.2016 в 23:42, Le ecureuil сказал: Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621. EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с). EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит. Приветствую! Есть два вопроса: 1. "умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход" - значит ли это что нужно, к примеру с AES установить галочки на всех MD5/SHA1/SHA256 или можно выбрать что-то одно, к примеру SHA256? 2. "EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08" - а на 2.09 и выше, надеюсь, тоже поддерживается? И нужно ли дополнительно как-то включать/задействовать crypto engine версии EIP93 или все работает по умолчанию? Спасибо. Quote Share this post Link to post Share on other sites More sharing options...
r13 Posted January 25, 2017 Report post 01/25/2017 12:52 PM 1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента. 2 Да, конечно поддерживается 3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию) Quote Share this post Link to post Share on other sites More sharing options...
smartandr Posted January 25, 2017 Report post 01/25/2017 08:09 PM 7 часов назад, r13 сказал: 1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента. 2 Да, конечно поддерживается 3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию) Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля? Quote Share this post Link to post Share on other sites More sharing options...
Le ecureuil Posted January 26, 2017 Report post 01/26/2017 08:38 AM 11 час назад, smartandr сказал: Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля? При работе crypto engine EIP93 вы увидете в логе следующие строки: [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 Quote Share this post Link to post Share on other sites More sharing options...
smartandr Posted January 26, 2017 Report post 01/26/2017 09:51 AM 1 час назад, Le ecureuil сказал: При работе crypto engine EIP93 вы увидете в логе следующие строки: [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 Благодарствую, все именно так и есть. А скорость между Giga III и Ultra, расположенных на расстоянии 1200 км друг от друга, и измеренная при помощи NETCPS выглядит вот так: Done. 104857600 Kb transferred in 24.39 seconds Quote Share this post Link to post Share on other sites More sharing options...
KorDen Posted March 8, 2017 Report post 03/08/2017 11:15 AM (edited) В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?) Edited March 8, 2017 by KorDen Quote Share this post Link to post Share on other sites More sharing options...
Le ecureuil Posted March 9, 2017 Report post 03/09/2017 08:47 AM 21 час назад, KorDen сказал: В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?) Да, есть в LTE, DSL, VOX. Можно. Quote Share this post Link to post Share on other sites More sharing options...
Игорь Тарасов Posted May 3, 2018 Report post 05/03/2018 09:52 AM В 28.08.2016 в 00:42, Le ecureuil сказал: AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно. Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN? Quote Share this post Link to post Share on other sites More sharing options...
Le ecureuil Posted May 8, 2018 Report post 05/08/2018 09:14 AM В 5/3/2018 в 12:52, Игорь Тарасов сказал: Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN? Вообще на этих устройствах лучше сравнить и выбрать что вам подходит лучше. Скорости будут сравнимые, и очень будут зависить от настроек. Quote Share this post Link to post Share on other sites More sharing options...
hard_alex@mail.ru Posted May 29, 2018 Report post 05/29/2018 02:44 AM В 27.08.2016 в 23:42, Le ecureuil сказал: AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно. Какие надо создать идеальные условия для того чтобы получить 60 Мбит. IpsecVPN tunel между Giga II и Lite III Rev.B параметры - aes-128/Sha-1 DH14, aes-128/Sha-1 При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40 Quote Share this post Link to post Share on other sites More sharing options...
gaaronk Posted January 3 Report post 01/03/2021 03:42 PM On 1/26/2017 at 11:38 AM, Le ecureuil said: При работе crypto engine EIP93 вы увидете в логе следующие строки: [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 А скажите пожалуйста. В свежей прошивке 3.5.х этих строк уже нет. Только EIP93: AES acceleration registered EIP93: DES/3DES acceleration registered EIP93: CryptoAPI started (v 0.11, ring size: 256) Это нормально? Quote Share this post Link to post Share on other sites More sharing options...
KorDen Posted January 3 Report post 01/03/2021 05:50 PM 2 часа назад, gaaronk сказал: Это нормально? Да, нормально: Цитата Версия 3.3 Alpha 1.1 драйвер криптоускорителя переделан под стандартное CryptoAPI ядра Quote Share this post Link to post Share on other sites More sharing options...
SySOPik Posted May 5 Report post 05/05/2021 12:05 PM В 29.05.2018 в 05:44, hard_alex@mail.ru сказал: Какие надо создать идеальные условия для того чтобы получить 60 Мбит. IpsecVPN tunel между Giga II и Lite III Rev.B параметры - aes-128/Sha-1 DH14, aes-128/Sha-1 При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40 Поддержу вопрос, кто подскажет наилучшие настройки по IPSec в плане скорости. На связке speedster-start поднимается туннель и качает до 15 мбит (провайдера дают 100 мбит). Загрузка старта 50-80%, выставлено aes-128/Sha-1 DH1. В логе hardware crypto поднимается. Quote Share this post Link to post Share on other sites More sharing options...
Le ecureuil Posted May 11 Report post 05/11/2021 02:57 PM В 05.05.2021 в 15:05, SySOPik сказал: Поддержу вопрос, кто подскажет наилучшие настройки по IPSec в плане скорости. На связке speedster-start поднимается туннель и качает до 15 мбит (провайдера дают 100 мбит). Загрузка старта 50-80%, выставлено aes-128/Sha-1 DH1. В логе hardware crypto поднимается. Я бы перешел на CHACHA20-POLY1305 на второй фазе. Будет примерно (+/-) как Wireguard. Quote Share this post Link to post Share on other sites More sharing options...
SySOPik Posted May 12 Report post 05/12/2021 09:36 AM (edited) 18 часов назад, Le ecureuil сказал: Я бы перешел на CHACHA20-POLY1305 на второй фазе. Эмм, я не там смотрю? Скрытый текст Edited May 12 by SySOPik Quote Share this post Link to post Share on other sites More sharing options...
Le ecureuil Posted May 12 Report post 05/12/2021 11:20 AM @SySOPik пересоздайте соединение с "нуля" и выберите "Режим SA AEAD". Quote Share this post Link to post Share on other sites More sharing options...
SySOPik Posted May 12 Report post 05/12/2021 12:30 PM Понял. Спасибо. попробуем. Quote Share this post Link to post Share on other sites More sharing options...
SySOPik Posted May 12 Report post 05/12/2021 05:19 PM Попробовал CHACHA20-POLY1305 + все что можно опробовал в SA AEAD 2 фазы. Больше 12-16 мегабит выжать со Старта видимо нельзя. Процессор скачет 50-90%, CryptoEngineManager: IPsec crypto engine set to "hardware". Quote Share this post Link to post Share on other sites More sharing options...
Le ecureuil Posted May 12 Report post 05/12/2021 07:47 PM Раз вы можете выбирать AEAD-режимы, то попробуйте сразу wireguard. Возможно с ним будет лучше. Quote Share this post Link to post Share on other sites More sharing options...
SySOPik Posted May 14 Report post 05/14/2021 06:57 AM В 12.05.2021 в 22:47, Le ecureuil сказал: попробуйте сразу wireguard Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен? Quote Share this post Link to post Share on other sites More sharing options...
werldmgn Posted May 14 Report post 05/14/2021 08:25 AM 1 час назад, SySOPik сказал: Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен? На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES. Quote Share this post Link to post Share on other sites More sharing options...
Le ecureuil Posted May 14 Report post 05/14/2021 09:05 AM 2 часа назад, SySOPik сказал: Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен? На 7628 слабый одноядерный процессор, и crypto engine там довольно своеобразный. Я бы не возлагал на него особых надежд. Если нужна скорость в IPsec лучше смотреть на 2010 или 3010 из самых доступных устройств. Quote Share this post Link to post Share on other sites More sharing options...
SySOPik Posted May 14 Report post 05/14/2021 01:16 PM 4 часа назад, werldmgn сказал: На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES. Так от оно что, Михалыч. Этого в спеках я не видел, видимо не вникал или не нашел. 4 часа назад, Le ecureuil сказал: На 7628 слабый одноядерный процессор, и crypto engine там довольно своеобразный Это я уже понял. 3010 используются только где есть количество техники, на местах с парой устройств стоят 1110, их там за глаза. Надежд не возлагал, но подумал что хотя бы 25 мегабит стрельнет. И на том спасибо. Quote Share this post Link to post Share on other sites More sharing options...
CBLoner Posted June 10 Report post 06/10/2021 10:57 PM 1. А если сравнить DES+MD5+DH1 и AEAD-режимы выхлоп получу? Чтобы за зря не переделывать У меня ULTRA-ULTRA или UTLRA-GIGA 2. Есть какой-то способ "зарулить" клиента локальной сети с той стороны IPSEC к ресурсам с этой стороны туннеля. Для L2TP проходит l2tp-server dhcp route, тут что-то подобное есть? 3. Как грамотнее всего при туннеле сеть-сеть с той и/или с этой стороны закрыть доступ к туннелю? 4. Можно ли сделать, что запрос с одного конца туннеля ходят, а стой стороны лазать не могут Ну типа для поддержки, я могу со своей стороны "шарится", а народ мои ресурсы не видит. Quote Share this post Link to post Share on other sites More sharing options...
Le ecureuil Posted June 11 Report post 06/11/2021 06:44 AM 1) Однозначно первое. AEAD в виде chapoly хорош для устройств на 7628, на 7621 он будет примерно на том же уровне. 2) Нет, потому и придуманы все это туннели с интерфейсами. Только через политику. 3) На родительском upstream-интерфейсе, где пойдет ESP. 4) Это только через opkg пока можно. Quote Share this post Link to post Share on other sites More sharing options...
SySOPik Posted June 14 Report post 06/14/2021 09:37 AM В 11.06.2021 в 09:44, Le ecureuil сказал: 4) Это только через opkg пока можно. Почему? Разве нельзя в файре блочить со стороны клиента? Или имелась ввиду блокировка "галочкой" в меню? Но сама идея упрощенной активации блокировки "шарится", со стороны клиента весьма интересна. Quote Share this post Link to post Share on other sites More sharing options...
