KorDen Posted August 27, 2016 Share Posted August 27, 2016 (edited) Хотелось бы прояснить: 1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec? 2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть? Edited August 27, 2016 by KorDen Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted August 27, 2016 Share Posted August 27, 2016 10 минут назад, KorDen сказал: Хотелось бы прояснить: 1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec? 2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть? Есть две версии crypto engine. Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621. Вторая: AES Crypto engine. Этот блок умеет только AES ECB/CBC, и все. Этот блок стоит в MT7628. EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с). EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит. AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно. Во всех остальных моделях - только программная поддержка. 5 Quote Link to comment Share on other sites More sharing options...
smartandr Posted January 25, 2017 Share Posted January 25, 2017 В 27.08.2016 в 23:42, Le ecureuil сказал: Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621. EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с). EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит. Приветствую! Есть два вопроса: 1. "умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход" - значит ли это что нужно, к примеру с AES установить галочки на всех MD5/SHA1/SHA256 или можно выбрать что-то одно, к примеру SHA256? 2. "EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08" - а на 2.09 и выше, надеюсь, тоже поддерживается? И нужно ли дополнительно как-то включать/задействовать crypto engine версии EIP93 или все работает по умолчанию? Спасибо. Quote Link to comment Share on other sites More sharing options...
r13 Posted January 25, 2017 Share Posted January 25, 2017 1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента. 2 Да, конечно поддерживается 3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию) Quote Link to comment Share on other sites More sharing options...
smartandr Posted January 25, 2017 Share Posted January 25, 2017 7 часов назад, r13 сказал: 1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента. 2 Да, конечно поддерживается 3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию) Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 26, 2017 Share Posted January 26, 2017 11 час назад, smartandr сказал: Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля? При работе crypto engine EIP93 вы увидете в логе следующие строки: [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 Quote Link to comment Share on other sites More sharing options...
smartandr Posted January 26, 2017 Share Posted January 26, 2017 1 час назад, Le ecureuil сказал: При работе crypto engine EIP93 вы увидете в логе следующие строки: [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 Благодарствую, все именно так и есть. А скорость между Giga III и Ultra, расположенных на расстоянии 1200 км друг от друга, и измеренная при помощи NETCPS выглядит вот так: Done. 104857600 Kb transferred in 24.39 seconds Quote Link to comment Share on other sites More sharing options...
KorDen Posted March 8, 2017 Author Share Posted March 8, 2017 (edited) В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?) Edited March 8, 2017 by KorDen Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 9, 2017 Share Posted March 9, 2017 21 час назад, KorDen сказал: В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?) Да, есть в LTE, DSL, VOX. Можно. Quote Link to comment Share on other sites More sharing options...
Игорь Тарасов Posted May 3, 2018 Share Posted May 3, 2018 В 28.08.2016 в 00:42, Le ecureuil сказал: AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно. Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 8, 2018 Share Posted May 8, 2018 В 5/3/2018 в 12:52, Игорь Тарасов сказал: Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN? Вообще на этих устройствах лучше сравнить и выбрать что вам подходит лучше. Скорости будут сравнимые, и очень будут зависить от настроек. Quote Link to comment Share on other sites More sharing options...
hard_alex@mail.ru Posted May 29, 2018 Share Posted May 29, 2018 В 27.08.2016 в 23:42, Le ecureuil сказал: AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно. Какие надо создать идеальные условия для того чтобы получить 60 Мбит. IpsecVPN tunel между Giga II и Lite III Rev.B параметры - aes-128/Sha-1 DH14, aes-128/Sha-1 При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40 Quote Link to comment Share on other sites More sharing options...
gaaronk Posted January 3, 2021 Share Posted January 3, 2021 On 1/26/2017 at 11:38 AM, Le ecureuil said: При работе crypto engine EIP93 вы увидете в логе следующие строки: [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 [I] Nov 13 21:43:52 ndm: kernel: EIP93: inbound ESP connection, SPI: cb744335 А скажите пожалуйста. В свежей прошивке 3.5.х этих строк уже нет. Только EIP93: AES acceleration registered EIP93: DES/3DES acceleration registered EIP93: CryptoAPI started (v 0.11, ring size: 256) Это нормально? Quote Link to comment Share on other sites More sharing options...
KorDen Posted January 3, 2021 Author Share Posted January 3, 2021 2 часа назад, gaaronk сказал: Это нормально? Да, нормально: Цитата Версия 3.3 Alpha 1.1 драйвер криптоускорителя переделан под стандартное CryptoAPI ядра Quote Link to comment Share on other sites More sharing options...
SySOPik Posted May 5, 2021 Share Posted May 5, 2021 В 29.05.2018 в 05:44, hard_alex@mail.ru сказал: Какие надо создать идеальные условия для того чтобы получить 60 Мбит. IpsecVPN tunel между Giga II и Lite III Rev.B параметры - aes-128/Sha-1 DH14, aes-128/Sha-1 При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40 Поддержу вопрос, кто подскажет наилучшие настройки по IPSec в плане скорости. На связке speedster-start поднимается туннель и качает до 15 мбит (провайдера дают 100 мбит). Загрузка старта 50-80%, выставлено aes-128/Sha-1 DH1. В логе hardware crypto поднимается. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 11, 2021 Share Posted May 11, 2021 В 05.05.2021 в 15:05, SySOPik сказал: Поддержу вопрос, кто подскажет наилучшие настройки по IPSec в плане скорости. На связке speedster-start поднимается туннель и качает до 15 мбит (провайдера дают 100 мбит). Загрузка старта 50-80%, выставлено aes-128/Sha-1 DH1. В логе hardware crypto поднимается. Я бы перешел на CHACHA20-POLY1305 на второй фазе. Будет примерно (+/-) как Wireguard. Quote Link to comment Share on other sites More sharing options...
SySOPik Posted May 12, 2021 Share Posted May 12, 2021 (edited) 18 часов назад, Le ecureuil сказал: Я бы перешел на CHACHA20-POLY1305 на второй фазе. Эмм, я не там смотрю? Скрытый текст Edited May 12, 2021 by SySOPik Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 12, 2021 Share Posted May 12, 2021 @SySOPik пересоздайте соединение с "нуля" и выберите "Режим SA AEAD". Quote Link to comment Share on other sites More sharing options...
SySOPik Posted May 12, 2021 Share Posted May 12, 2021 Понял. Спасибо. попробуем. Quote Link to comment Share on other sites More sharing options...
SySOPik Posted May 12, 2021 Share Posted May 12, 2021 Попробовал CHACHA20-POLY1305 + все что можно опробовал в SA AEAD 2 фазы. Больше 12-16 мегабит выжать со Старта видимо нельзя. Процессор скачет 50-90%, CryptoEngineManager: IPsec crypto engine set to "hardware". Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 12, 2021 Share Posted May 12, 2021 Раз вы можете выбирать AEAD-режимы, то попробуйте сразу wireguard. Возможно с ним будет лучше. Quote Link to comment Share on other sites More sharing options...
SySOPik Posted May 14, 2021 Share Posted May 14, 2021 В 12.05.2021 в 22:47, Le ecureuil сказал: попробуйте сразу wireguard Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен? Quote Link to comment Share on other sites More sharing options...
Werld Posted May 14, 2021 Share Posted May 14, 2021 1 час назад, SySOPik сказал: Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен? На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 14, 2021 Share Posted May 14, 2021 2 часа назад, SySOPik сказал: Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен? На 7628 слабый одноядерный процессор, и crypto engine там довольно своеобразный. Я бы не возлагал на него особых надежд. Если нужна скорость в IPsec лучше смотреть на 2010 или 3010 из самых доступных устройств. Quote Link to comment Share on other sites More sharing options...
SySOPik Posted May 14, 2021 Share Posted May 14, 2021 4 часа назад, werldmgn сказал: На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES. Так от оно что, Михалыч. Этого в спеках я не видел, видимо не вникал или не нашел. 4 часа назад, Le ecureuil сказал: На 7628 слабый одноядерный процессор, и crypto engine там довольно своеобразный Это я уже понял. 3010 используются только где есть количество техники, на местах с парой устройств стоят 1110, их там за глаза. Надежд не возлагал, но подумал что хотя бы 25 мегабит стрельнет. И на том спасибо. Quote Link to comment Share on other sites More sharing options...
CBLoner Posted June 10, 2021 Share Posted June 10, 2021 1. А если сравнить DES+MD5+DH1 и AEAD-режимы выхлоп получу? Чтобы за зря не переделывать У меня ULTRA-ULTRA или UTLRA-GIGA 2. Есть какой-то способ "зарулить" клиента локальной сети с той стороны IPSEC к ресурсам с этой стороны туннеля. Для L2TP проходит l2tp-server dhcp route, тут что-то подобное есть? 3. Как грамотнее всего при туннеле сеть-сеть с той и/или с этой стороны закрыть доступ к туннелю? 4. Можно ли сделать, что запрос с одного конца туннеля ходят, а стой стороны лазать не могут Ну типа для поддержки, я могу со своей стороны "шарится", а народ мои ресурсы не видит. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 11, 2021 Share Posted June 11, 2021 1) Однозначно первое. AEAD в виде chapoly хорош для устройств на 7628, на 7621 он будет примерно на том же уровне. 2) Нет, потому и придуманы все это туннели с интерфейсами. Только через политику. 3) На родительском upstream-интерфейсе, где пойдет ESP. 4) Это только через opkg пока можно. Quote Link to comment Share on other sites More sharing options...
SySOPik Posted June 14, 2021 Share Posted June 14, 2021 В 11.06.2021 в 09:44, Le ecureuil сказал: 4) Это только через opkg пока можно. Почему? Разве нельзя в файре блочить со стороны клиента? Или имелась ввиду блокировка "галочкой" в меню? Но сама идея упрощенной активации блокировки "шарится", со стороны клиента весьма интересна. Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted October 26, 2021 Share Posted October 26, 2021 Обновился до новой 3.6 прошивки. Две гиги KN-1010, IPSec между ними. Раньше была 2.13, все было хорошо.... Теперь при копировании файлов нагрузка на проц до 40 %. Обновлялся поверх, чтобы сохранить старый конфиг (очень много учеток PPTP, тоннелей, маршрутов). Что могло случиться? Шифрование AES-128/MD5. Раньше в логах можно было увидеть работу cryptoengine, теперь ничего. И еще теперь PPTP-сервер примерно каждые 5 минут рвет на секунду соединение, затем клиент с той стороны его поднимает. Естественно в этот промежуток потеря пакетов. В логах vpn0:"имя пользователя PPTP": failed to get interface statistics Что за беда с этими 3.Х, прям хоть обратно откатывайся :( Quote Link to comment Share on other sites More sharing options...
krass Posted October 26, 2021 Share Posted October 26, 2021 23 минуты назад, Mr. Grey сказал: Что за беда с этими 3.Х, прям хоть обратно откатывайся Если есть желание -- попробуйте 2.16 ( предварительно сохраните прошивку и конфиги) https://forum.keenetic.com/announcement/5-где-взять-тестовые-сборки/ Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.