Invité Posté(e) le 22 novembre 2016 Partager Posté(e) le 22 novembre 2016 Je trouve top a la fois le routeur mais aussi fenrir. Je te l accorde cest loin detre simple : ca fait plusieurs mois sue je suis dessus et dis toi que j ai loin d avoir tes competences. Looool. Jai fait 2 fois la meme erreur a savoir reseau box = reseau erx. En fait il y a tellement de fonctionnalite qu on ne sait meme pas ce qu on peut faire. Les pbs de hdd sur nas n ont rien arranges. Sent from Tapatalk 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 23 novembre 2016 Partager Posté(e) le 23 novembre 2016 qd tu seras a l'etape vpn tu me diras... je serai curieux de savoir si l offload IPSEC fonctionne bien. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 23 novembre 2016 Partager Posté(e) le 23 novembre 2016 Perso j'ai des problème de stabilité avec l'offload. Et de toute facon, l'erx tient pas mal sans offload. J'attend la prochaine update pour retenter 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 23 novembre 2016 Partager Posté(e) le 23 novembre 2016 Sans oublier le fait que certaines fonctions rendent l'offload inopérant (bridge, qos, ...), au moins en partie. il y a 3 minutes, gaetan.cambier a dit : Et de toute facon, l'erx tient pas mal sans offload. Je suis du même avis, mais j'aime me dire que je tire le max des capacités du bousin. http://community.ubnt.com/t5/EdgeMAX-Beta/ER-X-1-8-5-alpha-1-HW-Offload-speed-test/m-p/1534169/highlight/true#M15868 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 23 novembre 2016 Partager Posté(e) le 23 novembre 2016 il y a 6 minutes, gaetan.cambier a dit : Perso j'ai des problème de stabilité avec l'offload. Et de toute facon, l'erx tient pas mal sans offload. J'attend la prochaine update pour retenter Juste sur IPSEC ou avec HWNAT ? Offload IPSEC ne passe pas du tt de mon coté mais effectivement ca tourne sans 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 23 novembre 2016 Partager Posté(e) le 23 novembre 2016 De mes souvenir et ma parano, vu le peu de choses prise en charge par offload Ipsec, c'était inutile pour moi donc ça doit être l'autre option ;) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 23 novembre 2016 Partager Posté(e) le 23 novembre 2016 Pourtant c'est déjà pas mal je trouve (release notes de la 1.9.0) : Citation [Offload] Add IPsec crypto offload support for ER-X platform (including the ER-X, ER-X-SFP, and EP-R6 models) which provides significant IPsec performance improvement. This is disabled by default and can be enabled using the CLI (or the equivalent in the Web UI Config Tree): set system offload ipsec enable and then "commit" and "save", and then a router reboot is currently required for the setting to take effect. One thing to note is that IPsec offload only applies to ESP (for the actual data traffic), not IKE. In addition, not all algorithms are compatible with IPsec offload, and there are also some differences with the other platforms. Therefore here is a summary of the current status. For the ER-X platform: ESP encryption algorithms that can be "offloaded": 3des, aes128, aes256 ESP hash algorithms that can be "offloaded": md5, sha1, sha256 ESP encryption algorithms incompatible with "offload": aes128gcm128, aes256gcm128. (More specifically, if these are configured then IPsec offload cannot be enabled, and vice versa.) ESP hash algorithms incompatible with "offload": sha384, sha512. (More specifically, if these are configured then IPsec offload cannot be enabled, and vice versa.) IKE encryption algorithms that are not supported: aes128gcm128, aes256gcm128. (More specifically, these are not supported for IKE on the ER-X platform.) All config options for IKE hash algorithms are supported. Mais je n'ai pas du tout testé l'IPSec sur l'erx, seulement sur mon erpoe (tunnel site à site en ikev1 avec mes serveurs, en ikev2 je n'arrive pas à faire marcher la VTI correctement). À noter que dans ton cas @Hedy, l'offload IPSec n'a presque aucun intérêt puisque tu fais du L2TP si me souviens bien. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 23 novembre 2016 Partager Posté(e) le 23 novembre 2016 exact 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 24 novembre 2016 Partager Posté(e) le 24 novembre 2016 Ben oui j'utilise aesgcm 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 24 novembre 2016 Partager Posté(e) le 24 novembre 2016 gnagnagna L'avantage de gcm c'est les perf quand on a un gros débit, mais comme il n'est pas dans l'offload, a mon avis il ne va pas plus vite que les autres (qui sont supportés), niveau sécurité c'est au mieux similaire aux autres puisqu'il a été approuvé par la NSA => https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 24 novembre 2016 Partager Posté(e) le 24 novembre 2016 En fait l'aesgcm est + efficace sur des cpu intel depuis quelques annees. Par contre je sais pas quel est le mieux pour les smartphones ... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 24 novembre 2016 Partager Posté(e) le 24 novembre 2016 il y a 14 minutes, gaetan.cambier a dit : En fait l'aesgcm est + efficace sur des cpu intel depuis quelques annees. Oui c'est vrai, beaucoup d'algo à base d'AES sont accélérés par l'AES-NI (ça date de 2010) et c'est effectivement nettement plus rapide avec que sans (à noter que ce n'est pas réservé aux Intel, AMD et VIA ont aussi des x86 avec une gestion intégrée de l'AES). (sur ma machine il y a un facteur 6) Par contre, je ne connais pas les caractéristiques de ta connexion Internet, mais je pense que même sans accélération coté PC, tu dois pouvoir aller bien au delà des capacités de l'erx. Mais si ta connexion est suffisamment rapide, l'aes256 est pris en charge à la fois par les Intel et l'erx (même si sans le GCM, c'est un cran en dessous niveau sécurité). Perso, l'offload m’intéresse plus pour la conso énergétique et le soulagement du CPU que pour les perfs. Pour ce qui est de la sécurité, quand j'ai besoin de blinder la sécurité, j'ai plus confiance en Camellia (ou ChaCha20 si j'ai besoin de perfs). il y a 44 minutes, gaetan.cambier a dit : Par contre je sais pas quel est le mieux pour les smartphones ... Pas mal de cpu ARM gèrent l'offload (certains Allwinner, Broadcom ou encore Qualcomm par exemple), mais encore faut il que le pilote qui va avec ait été acheté (c'est souvent soumis à licence) et correctement installé. C'est bien entendu le cas pour les Cavium, sinon on ne serait pas entrain d'en parler . <mode super parano on>Utiliser l'accélération matériel implique automatiquement d'avoir pleine confiance dans la "propreté" du hard et des pilotes qui vont avec</mode super parano off> ps : j'ai passé ma matinée avec MS sur un soucis de cipher, donc je suis chaud sur le sujet. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 25 novembre 2016 Partager Posté(e) le 25 novembre 2016 Il y a 9 heures, Fenrir a dit : Par contre, je ne connais pas les caractéristiques de ta connexion Internet, mais je pense que même sans accélération coté PC, tu dois pouvoir aller bien au delà des capacités de l'erx. Mais si ta connexion est suffisamment rapide, l'aes256 est pris en charge à la fois par les Intel et l'erx (même si sans le GCM, c'est un cran en dessous niveau sécurité). oui, pas de risque de saturé mon pc avec ipsec ... ca risque pas Il y a 9 heures, Fenrir a dit : Perso, l'offload m’intéresse plus pour la conso énergétique et le soulagement du CPU que pour les perfs. en fait moi aussi pour le smartphone ... mais aucune info trouvée si éventuellement quelqu'un avait les info pour les samsung S6 et S5 neo, je suis preneur 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 25 novembre 2016 Partager Posté(e) le 25 novembre 2016 http://browser.primatelabs.com/geekbench3/1780313 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 25 novembre 2016 Partager Posté(e) le 25 novembre 2016 si je comprend bien, AES256-SHA1 serait une bonne iddée pour le smartphone ... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 25 novembre 2016 Partager Posté(e) le 25 novembre 2016 ça devrait 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 7 décembre 2016 Partager Posté(e) le 7 décembre 2016 Le 08/11/2016 à 11:00, Hedy a dit : jai un bug sur le mien avec l offload ipsec Citation [Release Notes v1.9.1beta1] Changelog Changes since v1.9.1alpha2 Enhancements and bug fixes [DHCP] Fix error when DHCP static lease with dot in name (i.e. "lch.cern") was not written to /etc/hosts and thus could not be resolved by dnsmasq. Discussed here [L2TP] Add warning message on ER-X platform that "IPsec offload" should not be used together with L2TP VPN. This is a temporary solution until proper fix is delived in 2.0 version. Discussed here [Routing] Fix incomplete-route issue that was no fully fixed in 1.9.1alpha2. Discussed here [Routing] Improve memory management in routing daemons (i.e. bgpd, nsm, ribd...). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 7 décembre 2016 Partager Posté(e) le 7 décembre 2016 merci - c'est en cours donc. ;o) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 19 décembre 2016 Partager Posté(e) le 19 décembre 2016 Pour Info [Release Notes v1.9.1] https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-9-1/ba-p/1766160 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 19 décembre 2016 Partager Posté(e) le 19 décembre 2016 Oui j’avais vu, elle est installée chez moi depuis samedi, pas de soucis pour le moment. @gaetan.cambier pendant que j'y pense, netconsole est maintenant présent si tu veux jouer avec les modules et avoir un peu de log pendant la phase de boot 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 19 décembre 2016 Partager Posté(e) le 19 décembre 2016 Marrant ça, la 1.9.1 n'est pas encore sur la page de téléchargement Ubiquiti 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 19 décembre 2016 Partager Posté(e) le 19 décembre 2016 Oui c'est classique chez eux, il y a toujours un décalage de quelques jours entre la sortie d'une version stable et sa publication sur le site principal, ça leur permet de prolonger un peu les tests avant de donner les versions en pâture à des centaines de milliers d'utilisateurs 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 19 décembre 2016 Partager Posté(e) le 19 décembre 2016 Merci pour l'info. Je vais attendre que tu ais fini de le tester alors 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 20 décembre 2016 Partager Posté(e) le 20 décembre 2016 (modifié) Apres qq problemes d'espace memoire libre... l update s'est bien passée ! La BDD du Webproxy sur erx, ca prends trop de place... ;o) Modifié le 20 décembre 2016 par Hedy 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 20 décembre 2016 Partager Posté(e) le 20 décembre 2016 Je part dans 30 minutes et j'ai besoin de mon vpn .... ne pas craquer .... ne pas faire l'jpdate 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.