OPNsense Forum

International Forums => German - Deutsch => Topic started by: missionleben on May 09, 2016, 02:27:10 pm

Title: AES-NI - IPSEC
Post by: missionleben on May 09, 2016, 02:27:10 pm

Hallo Zusammen,

Ich habe das Problem, das es ziemlich egal zu sein scheint, ob ich die Hardware AES unterstützung aktiviert ist oder nicht. Es ändert sich werde der Datendurchsatz, noch die CPU-Auslastung. Das ganze läuft derzeit auf der 16.1.13.
So, was habe ich gemacht. Als erstes mal natürlich auf der Weboberfläche unter System-Einstellung-Verschiedenes-Hardwarekryptografiebeschleunigung die AES CPU Beschleunigung aktiviert.

Wenn ich mir nun an der Shell ein kldstat absetze wird mir der aesni.ko  als geladen angezeigt.
Ein dmesg | grep aes zeigt mit:

aesni0: <AES-CBC,AES-XTS> on motherboard

ein /usr/bin/openssl engine -t -c zeigt:

(rsax) RSAX engine support
  [RSA]
           [available]
(rdrand)  Intele RDRAND engine
   [RAND]
              [available]
(dynamic) Dynamic engine loading support   
            [unavailable]
 
Hier stellt sich mir schon die erste Frage. Müsste da nicht auch ein Eintrag in etwa so auftauchen:

(cryptodev) BSD cryptodev engine
 [RSA, DSA, DH, AES-128-CBC, AES-192-CBC, AES-256-CBC]
     [ available ]

gut ich wollte dann noch ein cryptotest oder cryptostatus ausführen. Die scheint es aber nicht mehr zu geben.

Was kann ich noch testen um den Fehler einzugrenzen?

Gruß

Christian

Title: Re: AES-NI - IPSEC
Post by: franco on May 10, 2016, 10:13:46 am

Hallo Christian,

Bin nicht der IPSec Experte, daher habe ich Ad gefragt und er hat mir folgende Informationen mitgegeben:

Der Status in FreeBSD war lange Zeit sehr schlecht. In 2010/2011 schaffte ein Xeon mit Linux 1.3 Gbps IPSec Durchsatz, auf einem vergleichbaren FreeBSD waren es damals 200 Mbps.

Auch AES-NI hilft hier (noch) nicht. Bis FreeBSD 10.2 gibt es keine echte Unterstützung, mit 10.3 soll sich das etwas ändern, mit FreeBSD 11 hoffentlich gewaltig. Wir haben momentan eine Testserie mit FreeBSD 10.3 gebaut und wollen damit alsbald die Verbesserungen testen.

Zu cryptodev: für die IPSec AES-NI Beschleunigung benötigst du nur das geladene aesni Kernel Modul. OpenSSL wird hier auch nicht benutzt, da die Verschlüsselung im Kernel stattfindet. cryptodev wird nur von OpenVPN in alten Hardware-Crypto-Varianten vor AES-NI gebraucht.

Falls du an dem OPNsense auf FreeBSD 10.3 Test teilnehmen möchtest (ist nur ein manuelles Update der Testbox), schreib mir doch bitte eine PM.


Danke und Gruß,
Franco