Jump to content

Поддержка IPsec и crypto engine hardware


Recommended Posts

Хотелось бы прояснить:

1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec?

2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Edited by KorDen
Link to comment
Share on other sites

10 минут назад, KorDen сказал:

Хотелось бы прояснить:

1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec?

2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Есть две версии crypto engine.

Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621.

Вторая: AES Crypto engine. Этот блок умеет только AES ECB/CBC, и все. Этот блок стоит в MT7628.

EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с).

EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит.

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Во всех остальных моделях - только программная поддержка.

  • Thanks 5
Link to comment
Share on other sites

  • 4 months later...
В 27.08.2016 в 23:42, Le ecureuil сказал:

Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621.

EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с).

EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит.

Приветствую!

Есть два вопроса:

1. "умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход" - значит ли это что нужно, к примеру с AES установить галочки на всех MD5/SHA1/SHA256 или можно выбрать что-то одно, к примеру SHA256?

2.  "EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08" - а на 2.09 и выше, надеюсь, тоже поддерживается?

И нужно ли дополнительно как-то включать/задействовать crypto engine версии EIP93 или все работает по умолчанию?

Спасибо.

Link to comment
Share on other sites

1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента.

2 Да, конечно поддерживается

3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию)

Link to comment
Share on other sites

7 часов назад, r13 сказал:

1 Ставя галочки вы разрешаете возможные сочетания, при коннекте будет выбрана одна пара в зависимости от настройки роутера и возможностей клиента.

2 Да, конечно поддерживается

3. Должно быть crypto engine hardware (в 2.09 включено по умолчанию)

Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля?

Link to comment
Share on other sites

11 час назад, smartandr сказал:

Понял. Спасибо. Как можно проверить/убедиться что crypto engine hardware задействован? И как можно проверить скорость туннеля?

При работе crypto engine EIP93 вы увидете в логе следующие строки:

[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

При работе crypto engine EIP93 вы увидете в логе следующие строки:


[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

Благодарствую, все именно так и есть. А скорость между Giga III и Ultra, расположенных на расстоянии 1200 км друг от друга, и измеренная при помощи NETCPS выглядит вот так: Done. 104857600 Kb transferred in 24.39 seconds

Link to comment
Share on other sites

  • 1 month later...

В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?)

Edited by KorDen
Link to comment
Share on other sites

21 час назад, KorDen сказал:

В свете моей попытки собрать общие параметры воедино, хотелось бы уточнить про RT63368 - правильно ли я понимаю, что EIP93 в нем есть? (2.08+) (и на LTE можно получить схожие с Giga II результаты?)

Да, есть в LTE, DSL, VOX.

Можно.

Link to comment
Share on other sites

  • 1 year later...
В 28.08.2016 в 00:42, Le ecureuil сказал:

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN?

Link to comment
Share on other sites

В 5/3/2018 в 12:52, Игорь Тарасов сказал:

Я правильно понимаю, что этот же модуль стоит в Extra II? Если так, то на каких VPN это можно реально ощутить? PPTP, L2TP/Ipsec, OpenVPN?

Вообще на этих устройствах лучше сравнить и выбрать что вам подходит лучше. Скорости будут сравнимые, и очень будут зависить от настроек.

Link to comment
Share on other sites

  • 3 weeks later...
В 27.08.2016 в 23:42, Le ecureuil сказал:

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

Какие надо создать идеальные условия для того чтобы получить 60 Мбит.
IpsecVPN tunel между Giga II и Lite III Rev.B
параметры - aes-128/Sha-1 DH14, aes-128/Sha-1
При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40
 

Link to comment
Share on other sites

  • 2 years later...
On 1/26/2017 at 11:38 AM, Le ecureuil said:

При работе crypto engine EIP93 вы увидете в логе следующие строки:


[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93: outbound ESP connection, SPI: ced84c75
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335
[I] Nov 13 21:43:52 ndm: kernel: EIP93:  inbound ESP connection, SPI: cb744335

 

А скажите пожалуйста. В свежей прошивке 3.5.х этих строк уже нет.

Только

EIP93: AES acceleration registered
EIP93: DES/3DES acceleration registered
EIP93: CryptoAPI started (v 0.11, ring size: 256)

Это нормально?

Link to comment
Share on other sites

2 часа назад, gaaronk сказал:

Это нормально?

Да, нормально:

Цитата

Версия 3.3 Alpha 1.1

драйвер криптоускорителя переделан под стандартное CryptoAPI ядра

 

Link to comment
Share on other sites

  • 4 months later...
В 29.05.2018 в 05:44, hard_alex@mail.ru сказал:

Какие надо создать идеальные условия для того чтобы получить 60 Мбит.
IpsecVPN tunel между Giga II и Lite III Rev.B
параметры - aes-128/Sha-1 DH14, aes-128/Sha-1
При скорости 35-40 мбит Лайт загружен на 100% (даже конекты некоторые рвутся), гига на 40
 

Поддержу вопрос, кто подскажет наилучшие настройки по IPSec в плане скорости. На связке speedster-start поднимается туннель и качает до 15 мбит (провайдера дают 100 мбит). Загрузка старта 50-80%, выставлено aes-128/Sha-1 DH1. В логе hardware crypto поднимается. 

Link to comment
Share on other sites

В 05.05.2021 в 15:05, SySOPik сказал:

Поддержу вопрос, кто подскажет наилучшие настройки по IPSec в плане скорости. На связке speedster-start поднимается туннель и качает до 15 мбит (провайдера дают 100 мбит). Загрузка старта 50-80%, выставлено aes-128/Sha-1 DH1. В логе hardware crypto поднимается. 

Я бы перешел на CHACHA20-POLY1305 на второй фазе. Будет примерно (+/-) как Wireguard.

Link to comment
Share on other sites

Posted (edited)
18 часов назад, Le ecureuil сказал:

Я бы перешел на CHACHA20-POLY1305 на второй фазе.

Эмм, я не там смотрю?

 

Скрытый текст

шифр.JPG

 

Edited by SySOPik
Link to comment
Share on other sites

Попробовал CHACHA20-POLY1305 + все что можно опробовал в SA AEAD 2 фазы. Больше 12-16 мегабит выжать со Старта видимо нельзя. Процессор скачет 50-90%, CryptoEngineManager: IPsec crypto engine set to "hardware".

Link to comment
Share on other sites

В 12.05.2021 в 22:47, Le ecureuil сказал:

попробуйте сразу wireguard

Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен?

Link to comment
Share on other sites

1 час назад, SySOPik сказал:

Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен?

На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES.

Link to comment
Share on other sites

2 часа назад, SySOPik сказал:

Вариант такой тоже обмозговал, но хотелось бы решить все чистым IP-Sec. Но все равно не могу понять, почему на таких низких скоростях такая нагрузка на проц, ведь модуль crypto engine set to "hardware" как бы должен снимать нагрузку с цпу? Или не должен?

На 7628 слабый одноядерный процессор, и crypto engine там довольно своеобразный. Я бы не возлагал на него особых надежд.

Если нужна скорость в IPsec лучше смотреть на 2010 или 3010 из самых доступных устройств.

Link to comment
Share on other sites

4 часа назад, werldmgn сказал:

На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES.

Так от оно что, Михалыч. Этого в спеках я не видел, видимо не вникал или не нашел.

4 часа назад, Le ecureuil сказал:

На 7628 слабый одноядерный процессор, и crypto engine там довольно своеобразный

Это я уже понял. 3010 используются только где есть количество техники, на местах с парой устройств стоят 1110, их там за глаза. Надежд не возлагал, но подумал что хотя бы 25 мегабит стрельнет.  И на том спасибо.

Link to comment
Share on other sites

  • 4 weeks later...

1. А если сравнить DES+MD5+DH1 и AEAD-режимы выхлоп получу? Чтобы за зря не переделывать ;-) У меня ULTRA-ULTRA или UTLRA-GIGA

2. Есть какой-то способ "зарулить" клиента локальной сети с той стороны IPSEC к ресурсам с этой стороны туннеля. Для L2TP проходит l2tp-server dhcp route, тут что-то подобное есть?

3. Как грамотнее всего при туннеле сеть-сеть с той и/или с этой стороны закрыть доступ к туннелю?

4. Можно ли сделать, что запрос с одного конца туннеля ходят, а стой стороны лазать не могут ;-)  Ну типа для поддержки, я могу со своей стороны "шарится", а народ мои ресурсы не видит.

Link to comment
Share on other sites

1) Однозначно первое.  AEAD в виде chapoly хорош для устройств на 7628, на 7621 он будет примерно на том же уровне.

2) Нет, потому и придуманы все это туннели с интерфейсами. Только через политику.

3) На родительском upstream-интерфейсе, где пойдет ESP.

4) Это только через opkg пока можно.

Link to comment
Share on other sites

В 11.06.2021 в 09:44, Le ecureuil сказал:

4) Это только через opkg пока можно.

Почему? Разве нельзя в файре блочить со стороны клиента?  Или имелась ввиду блокировка "галочкой" в меню?

Но сама идея упрощенной активации блокировки "шарится", со стороны клиента весьма интересна.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...