Je trouve top a la fois le routeur mais aussi fenrir.

Je te l accorde cest loin detre simple : ca fait plusieurs mois sue je suis dessus et dis toi que j ai loin d avoir tes competences. Looool. Jai fait 2 fois la meme erreur a savoir reseau box = reseau erx.

En fait il y a tellement de fonctionnalite qu on ne sait meme pas ce qu on peut faire.

Les pbs de hdd sur nas n ont rien arranges. [emoji855]

Sent from Tapatalk

qd tu seras a l'etape vpn tu me diras... je serai curieux de savoir si l offload IPSEC fonctionne bien.

Perso j'ai des problème de stabilité avec l'offload. Et de toute facon, l'erx tient pas mal sans offload.

J'attend la prochaine update pour retenter

Sans oublier le fait que certaines fonctions rendent l'offload inopérant (bridge, qos, ...), au moins en partie.

il y a 3 minutes, gaetan.cambier a dit :

Et de toute facon, l'erx tient pas mal sans offload.

Je suis du même avis, mais j'aime me dire que je tire le max des capacités du bousin.

http://community.ubnt.com/t5/EdgeMAX-Beta/ER-X-1-8-5-alpha-1-HW-Offload-speed-test/m-p/1534169/highlight/true#M15868

il y a 6 minutes, gaetan.cambier a dit :

Perso j'ai des problème de stabilité avec l'offload. Et de toute facon, l'erx tient pas mal sans offload.

J'attend la prochaine update pour retenter

Juste sur IPSEC ou avec HWNAT ?

Offload IPSEC ne passe pas du tt de mon coté

mais effectivement ca tourne sans

De mes souvenir et ma parano, vu le peu de choses prise en charge par offload Ipsec, c'était inutile pour moi donc ça doit être l'autre option ;)

Pourtant c'est déjà pas mal je trouve (release notes de la 1.9.0) :

Citation

[Offload] Add IPsec crypto offload support for ER-X platform (including the ER-X, ER-X-SFP, and EP-R6 models) which provides significant IPsec performance improvement. This is disabled by default and can be enabled using the CLI (or the equivalent in the Web UI Config Tree):

set system offload ipsec enable

and then "commit" and "save", and then a router reboot is currently required for the setting to take effect.
One thing to note is that IPsec offload only applies to ESP (for the actual data traffic), not IKE. In addition, not all algorithms are compatible with IPsec offload, and there are also some differences with the other platforms. Therefore here is a summary of the current status. For the ER-X platform:

• ESP encryption algorithms that can be "offloaded": 3des, aes128, aes256
• ESP hash algorithms that can be "offloaded": md5, sha1, sha256
• ESP encryption algorithms incompatible with "offload": aes128gcm128, aes256gcm128. (More specifically, if these are configured then IPsec offload cannot be enabled, and vice versa.)
• ESP hash algorithms incompatible with "offload": sha384, sha512. (More specifically, if these are configured then IPsec offload cannot be enabled, and vice versa.)
• IKE encryption algorithms that are not supported: aes128gcm128, aes256gcm128. (More specifically, these are not supported for IKE on the ER-X platform.)
• All config options for IKE hash algorithms are supported.

Mais je n'ai pas du tout testé l'IPSec sur l'erx, seulement sur mon erpoe (tunnel site à site en ikev1 avec mes serveurs, en ikev2 je n'arrive pas à faire marcher la VTI correctement).

À noter que dans ton cas @Hedy, l'offload IPSec n'a presque aucun intérêt puisque tu fais du L2TP si me souviens bien.

exact

Ben oui j'utilise aesgcm

gnagnagna

L'avantage de gcm c'est les perf quand on a un gros débit, mais comme il n'est pas dans l'offload, a mon avis il ne va pas plus vite que les autres (qui sont supportés), niveau sécurité c'est au mieux similaire aux autres puisqu'il a été approuvé par la NSA => https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography

En fait l'aesgcm est + efficace sur des cpu intel depuis quelques annees.

Par contre je sais pas quel est le mieux pour les smartphones ...

il y a 14 minutes, gaetan.cambier a dit :

En fait l'aesgcm est + efficace sur des cpu intel depuis quelques annees.

Oui c'est vrai, beaucoup d'algo à base d'AES sont accélérés par l'AES-NI (ça date de 2010) et c'est effectivement nettement plus rapide avec que sans (à noter que ce n'est pas réservé aux Intel, AMD et VIA ont aussi des x86 avec une gestion intégrée de l'AES).

(sur ma machine il y a un facteur 6)

Par contre, je ne connais pas les caractéristiques de ta connexion Internet, mais je pense que même sans accélération coté PC, tu dois pouvoir aller bien au delà des capacités de l'erx. Mais si ta connexion est suffisamment rapide, l'aes256 est pris en charge à la fois par les Intel et l'erx (même si sans le GCM, c'est un cran en dessous niveau sécurité).

Perso, l'offload m’intéresse plus pour la conso énergétique et le soulagement du CPU que pour les perfs. Pour ce qui est de la sécurité, quand j'ai besoin de blinder la sécurité, j'ai plus confiance en Camellia (ou ChaCha20 si j'ai besoin de perfs).

il y a 44 minutes, gaetan.cambier a dit :

Par contre je sais pas quel est le mieux pour les smartphones ...

Pas mal de cpu ARM gèrent l'offload (certains Allwinner, Broadcom ou encore Qualcomm par exemple), mais encore faut il que le pilote qui va avec ait été acheté (c'est souvent soumis à licence) et correctement installé. C'est bien entendu le cas pour les Cavium, sinon on ne serait pas entrain d'en parler .

<mode super parano on>Utiliser l'accélération matériel implique automatiquement d'avoir pleine confiance dans la "propreté" du hard et des pilotes qui vont avec</mode super parano off>

ps : j'ai passé ma matinée avec MS sur un soucis de cipher, donc je suis chaud sur le sujet.

Il y a 9 heures, Fenrir a dit :

Par contre, je ne connais pas les caractéristiques de ta connexion Internet, mais je pense que même sans accélération coté PC, tu dois pouvoir aller bien au delà des capacités de l'erx. Mais si ta connexion est suffisamment rapide, l'aes256 est pris en charge à la fois par les Intel et l'erx (même si sans le GCM, c'est un cran en dessous niveau sécurité).

oui, pas de risque de saturé mon pc avec ipsec ... ca risque pas 

Il y a 9 heures, Fenrir a dit :

Perso, l'offload m’intéresse plus pour la conso énergétique et le soulagement du CPU que pour les perfs.

en fait moi aussi pour le smartphone ... mais aucune info trouvée si éventuellement quelqu'un avait les info pour les samsung S6 et S5 neo, je suis preneur 

http://browser.primatelabs.com/geekbench3/1780313

si je comprend bien, AES256-SHA1 serait une bonne iddée pour le smartphone ...

ça devrait

Le 08/11/2016 à 11:00, Hedy a dit :

jai un bug sur le mien avec l offload ipsec

 

Citation

[Release Notes v1.9.1beta1]

Changelog

Changes since v1.9.1alpha2

Enhancements and bug fixes

• [DHCP] Fix error when DHCP static lease with dot in name (i.e. "lch.cern") was not written to /etc/hosts and thus could not be resolved by dnsmasq. Discussed here

• [L2TP] Add warning message on ER-X platform that "IPsec offload" should not be used together with L2TP VPN. This is a temporary solution until proper fix is delived in 2.0 version. Discussed here
• [Routing] Fix incomplete-route issue that was no fully fixed in 1.9.1alpha2. Discussed here
• [Routing] Improve memory management in routing daemons (i.e. bgpd, nsm, ribd...).

 

merci - c'est en cours donc. ;o)

Pour Info

[Release Notes v1.9.1]

https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-9-1/ba-p/1766160
 

Oui j’avais vu, elle est installée chez moi depuis samedi, pas de soucis pour le moment.

@gaetan.cambier pendant que j'y pense, netconsole est maintenant présent si tu veux jouer avec les modules et avoir un peu de log pendant la phase de boot

Marrant ça, la 1.9.1 n'est pas encore sur la page de téléchargement Ubiquiti

Oui c'est classique chez eux, il y a toujours un décalage de quelques jours entre la sortie d'une version stable et sa publication sur le site principal, ça leur permet de prolonger un peu les tests avant de donner les versions en pâture à des centaines de milliers d'utilisateurs

Merci pour l'info. Je vais attendre que tu ais fini de le tester alors

Apres qq problemes d'espace memoire libre... l update s'est bien passée !

La BDD du Webproxy sur erx, ca prends trop de place... ;o)

 

Modifié le 20 décembre 20168 a par Hedy

Je part dans 30 minutes et j'ai besoin de mon vpn .... ne pas craquer .... ne pas faire l'jpdate [emoji14]