Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
AES-NI - IPSEC
« previous
next »
Print
Pages: [
1
]
Author
Topic: AES-NI - IPSEC (Read 3791 times)
missionleben
Newbie
Posts: 38
Karma: 1
AES-NI - IPSEC
«
on:
May 09, 2016, 02:27:10 pm »
Hallo Zusammen,
Ich habe das Problem, das es ziemlich egal zu sein scheint, ob ich die Hardware AES unterstützung aktiviert ist oder nicht. Es ändert sich werde der Datendurchsatz, noch die CPU-Auslastung. Das ganze läuft derzeit auf der 16.1.13.
So, was habe ich gemacht. Als erstes mal natürlich auf der Weboberfläche unter System-Einstellung-Verschiedenes-Hardwarekryptografiebeschleunigung die AES CPU Beschleunigung aktiviert.
Wenn ich mir nun an der Shell ein kldstat absetze wird mir der aesni.ko als geladen angezeigt.
Ein dmesg | grep aes zeigt mit:
aesni0: <AES-CBC,AES-XTS> on motherboard
ein /usr/bin/openssl engine -t -c zeigt:
(rsax) RSAX engine support
[RSA]
[available]
(rdrand) Intele RDRAND engine
[RAND]
[available]
(dynamic) Dynamic engine loading support
[unavailable]
Hier stellt sich mir schon die erste Frage. Müsste da nicht auch ein Eintrag in etwa so auftauchen:
(cryptodev) BSD cryptodev engine
[RSA, DSA, DH, AES-128-CBC, AES-192-CBC, AES-256-CBC]
[ available ]
gut ich wollte dann noch ein cryptotest oder cryptostatus ausführen. Die scheint es aber nicht mehr zu geben.
Was kann ich noch testen um den Fehler einzugrenzen?
Gruß
Christian
«
Last Edit: May 09, 2016, 04:13:46 pm by missionleben
»
Logged
franco
Administrator
Hero Member
Posts: 17668
Karma: 1611
Re: AES-NI - IPSEC
«
Reply #1 on:
May 10, 2016, 10:13:46 am »
Hallo Christian,
Bin nicht der IPSec Experte, daher habe ich Ad gefragt und er hat mir folgende Informationen mitgegeben:
Der Status in FreeBSD war lange Zeit sehr schlecht. In 2010/2011 schaffte ein Xeon mit Linux 1.3 Gbps IPSec Durchsatz, auf einem vergleichbaren FreeBSD waren es damals 200 Mbps.
Auch AES-NI hilft hier (noch) nicht. Bis FreeBSD 10.2 gibt es keine echte Unterstützung, mit 10.3 soll sich das etwas ändern, mit FreeBSD 11 hoffentlich gewaltig. Wir haben momentan eine Testserie mit FreeBSD 10.3 gebaut und wollen damit alsbald die Verbesserungen testen.
Zu cryptodev: für die IPSec AES-NI Beschleunigung benötigst du nur das geladene aesni Kernel Modul. OpenSSL wird hier auch nicht benutzt, da die Verschlüsselung im Kernel stattfindet. cryptodev wird nur von OpenVPN in alten Hardware-Crypto-Varianten vor AES-NI gebraucht.
Falls du an dem OPNsense auf FreeBSD 10.3 Test teilnehmen möchtest (ist nur ein manuelles Update der Testbox), schreib mir doch bitte eine PM.
Danke und Gruß,
Franco
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
AES-NI - IPSEC