LMH1 Skrevet 22. februar 2016 Del Skrevet 22. februar 2016 Hei noen som har Ac66U som har tips hva man bør sette den til for best ytelse på Open VPN server? ["AES-128-CBC"],["AES-192-CBC"],["AES-256-CBC"],["BF-CBC"],["CAST5-CBC"],["CAMELLIA-128-CBC"],["CAMELLIA-192-CBC"],["CAMELLIA-256-CBC"],["DES-CBC"],["DES-EDE-CBC"],["DES-EDE3-CBC"],["DESX-CBC"],["IDEA-CBC"],["RC2-40-CBC"],["RC2-64-CBC"],["RC2-CBC"],["RC5-CBC"],["SEED-CBC"] Hva er det sikreste som krever mist cpu kraft? Vet den ["AES-256-CBC"], gjør man får 10-20 mbit over openVPN. Ekstra HMAC-godkjenning (Bi-directional). Er det noe vits å ha høy sikkerhet? Største sikkerhetrisikoen er vel DNS leaks. Men vet ikke hvordan man ungår det her. Lenke til kommentar
kpolberg Skrevet 22. februar 2016 Del Skrevet 22. februar 2016 Utifra hva jeg kan se, så har AC66U en MIPS CPU, det betyr at du ikke vil få den ekstra ytelsen i openssl biblioteket som ARM vil kunne få. Mest sannsynligvis vil BF-CBC gi deg høyest hastighet, men dette kan du selv finne utav hvis du har mulighet til å logge inn på ruteren via ssh og kjøre kommandoen "openssl speed". Ikke at noe av dette hjelper i det store og det hele. Da de aller fleste VPN tilbydere har fast oppsett på krypterings algoritmen (aes-128-cbc eller aes-256-cbc er vel de vanligste). Så hvis du da ikke skal sette opp en egen tunnell mellom deg og noen andre du kjenner, hvor du har kontroll på begge endepunktene, så er det fint lite du kan gjøre. 1 Lenke til kommentar
LMH1 Skrevet 23. februar 2016 Forfatter Del Skrevet 23. februar 2016 Tenker du på putty som SSH klient? For connection refused der. Lenke til kommentar
kpolberg Skrevet 23. februar 2016 Del Skrevet 23. februar 2016 Jeg antok du kjørte merlin på på ruteren din. Står ihvertfall i readme filen deres at sshd er skrudd på. Ser faktisk ut som det er skrudd på i senere offisielle releaser også. A few features that first appeared in Asuswrt-Merlin have since been integrated/enabled/re-implemented in the official firmware: - SSHD ** SSHD ** The router can be accessed over SSH (through Dropbear). Password-based login will use the same username and password as telnet/web access. You can also optionally insert a RSA or ECDSA public key there for keypair-based authentication. Finally, there is also an option to make SSH access available over WAN. Kilde: https://github.com/RMerl/asuswrt-merlin/blob/master/README-merlin.txt Lenke til kommentar
Bjonness406 Skrevet 23. februar 2016 Del Skrevet 23. februar 2016 Du må gå inn på administrasjon > system og skru på SSH Lenke til kommentar
LMH1 Skrevet 23. februar 2016 Forfatter Del Skrevet 23. februar 2016 (endret) ASUSWRT-Merlin RT-AC66U_3.0.0.4 Thu Dec 24 18:54:38 UTC 2015 admin@RT-AC66U:/tmp/home/root# openssl speed Doing mdc2 for 3s on 16 size blocks: 163090 mdc2's in 2.93s Doing mdc2 for 3s on 64 size blocks: 45186 mdc2's in 2.85s Doing mdc2 for 3s on 256 size blocks: 12215 mdc2's in 2.96s Doing mdc2 for 3s on 1024 size blocks: 2978 mdc2's in 2.91s Doing mdc2 for 3s on 8192 size blocks: 388 mdc2's in 2.98s Doing md4 for 3s on 16 size blocks: 558393 md4's in 2.97s Doing md4 for 3s on 64 size blocks: 463484 md4's in 2.95s Doing md4 for 3s on 256 size blocks: 324402 md4's in 2.97s Doing md4 for 3s on 1024 size blocks: 145251 md4's in 2.92s Doing md4 for 3s on 8192 size blocks: 23728 md4's in 2.93s Doing md5 for 3s on 16 size blocks: 407655 md5's in 2.93s Doing md5 for 3s on 64 size blocks: 342122 md5's in 2.98s Doing md5 for 3s on 256 size blocks: 222061 md5's in 2.89s Doing md5 for 3s on 1024 size blocks: 92445 md5's in 2.87s Doing md5 for 3s on 8192 size blocks: 15303 md5's in 3.00s Doing hmac(md5) for 3s on 16 size blocks: 451884 hmac(md5)'s in 2.97s Doing hmac(md5) for 3s on 64 size blocks: 368984 hmac(md5)'s in 2.96s Doing hmac(md5) for 3s on 256 size blocks: 242130 hmac(md5)'s in 2.99s Doing hmac(md5) for 3s on 1024 size blocks: 98191 hmac(md5)'s in 2.95s Doing hmac(md5) for 3s on 8192 size blocks: 15350 hmac(md5)'s in 2.98s Doing sha1 for 3s on 16 size blocks: 417813 sha1's in 2.97s Doing sha1 for 3s on 64 size blocks: 296931 sha1's in 2.87s Doing sha1 for 3s on 256 size blocks: 164894 sha1's in 2.94s Doing sha1 for 3s on 1024 size blocks: 57688 sha1's in 2.87s Doing sha1 for 3s on 8192 size blocks: 8319 sha1's in 2.88s Doing sha256 for 3s on 16 size blocks: 339274 sha256's in 2.92s Doing sha256 for 3s on 64 size blocks: 201901 sha256's in 2.96s Doing sha256 for 3s on 256 size blocks: 91499 sha256's in 2.96s Doing sha256 for 3s on 1024 size blocks: 29017 sha256's in 2.98s Doing sha256 for 3s on 8192 size blocks: 3876 sha256's in 2.95s Doing sha512 for 3s on 16 size blocks: 85238 sha512's in 2.97s Doing sha512 for 3s on 64 size blocks: 85830 sha512's in 2.96s Doing sha512 for 3s on 256 size blocks: 39334 sha512's in 2.98s Doing sha512 for 3s on 1024 size blocks: 14745 sha512's in 2.90s Doing sha512 for 3s on 8192 size blocks: 1272 sha512's in 1.85s Doing whirlpool for 3s on 16 size blocks: 51947 whirlpool's in 2.47s Doing whirlpool for 3s on 64 size blocks: 30978 whirlpool's in 2.80s Doing whirlpool for 3s on 256 size blocks: 13482 whirlpool's in 2.95s Doing whirlpool for 3s on 1024 size blocks: 3921 whirlpool's in 2.91s Doing whirlpool for 3s on 8192 size blocks: 510 whirlpool's in 2.91s Doing rmd160 for 3s on 16 size blocks: 359675 rmd160's in 3.00s Doing rmd160 for 3s on 64 size blocks: 226330 rmd160's in 2.74s Doing rmd160 for 3s on 256 size blocks: 127749 rmd160's in 2.97s Doing rmd160 for 3s on 1024 size blocks: 42370 rmd160's in 2.92s Doing rmd160 for 3s on 8192 size blocks: 5925 rmd160's in 2.91s Doing rc4 for 3s on 16 size blocks: 5898205 rc4's in 2.89s Doing rc4 for 3s on 64 size blocks: 1681888 rc4's in 3.00s Doing rc4 for 3s on 256 size blocks: 440587 rc4's in 3.00s Doing rc4 for 3s on 1024 size blocks: 109604 rc4's in 2.92s Doing rc4 for 3s on 8192 size blocks: 13876 rc4's in 2.97s Doing des cbc for 3s on 16 size blocks: 1121069 des cbc's in 2.96s Doing des cbc for 3s on 64 size blocks: 295625 des cbc's in 2.97s Doing des cbc for 3s on 256 size blocks: 74377 des cbc's in 2.98s Doing des cbc for 3s on 1024 size blocks: 18302 des cbc's in 2.88s Doing des cbc for 3s on 8192 size blocks: 2347 des cbc's in 2.95s Doing des ede3 for 3s on 16 size blocks: 356442 des ede3's in 2.54s Doing des ede3 for 3s on 64 size blocks: 100243 des ede3's in 2.76s Doing des ede3 for 3s on 256 size blocks: 26669 des ede3's in 2.91s Doing des ede3 for 3s on 1024 size blocks: 6718 des ede3's in 2.92s Doing des ede3 for 3s on 8192 size blocks: 832 des ede3's in 2.88s Doing aes-128 cbc for 3s on 16 size blocks: ^[2062393 aes-128 cbc's in 2.91s Doing aes-128 cbc for 3s on 64 size blocks: 555350 aes-128 cbc's in 2.93s Doing aes-128 cbc for 3s on 256 size blocks: 142468 aes-128 cbc's in 2.93s Doing aes-128 cbc for 3s on 1024 size blocks: 36061 aes-128 cbc's in 2.92s Doing aes-128 cbc for 3s on 8192 size blocks: 4474 aes-128 cbc's in 2.89s Doing aes-192 cbc for 3s on 16 size blocks: 1750644 aes-192 cbc's in 2.88s Doing aes-192 cbc for 3s on 64 size blocks: 478647 aes-192 cbc's in 2.94s Doing aes-192 cbc for 3s on 256 size blocks: 120340 aes-192 cbc's in 2.91s Doing aes-192 cbc for 3s on 1024 size blocks: 30776 aes-192 cbc's in 2.90s Doing aes-192 cbc for 3s on 8192 size blocks: 3827 aes-192 cbc's in 2.95s Doing aes-256 cbc for 3s on 16 size blocks: 1578130 aes-256 cbc's in 2.94s Doing aes-256 cbc for 3s on 64 size blocks: 411657 aes-256 cbc's in 2.89s Doing aes-256 cbc for 3s on 256 size blocks: 105368 aes-256 cbc's in 2.86s Doing aes-256 cbc for 3s on 1024 size blocks: admin@RT-AC66U:/tmp/home/root# ASUSWRT-Merlin RT-AC66U_3.0.0.4 Thu Dec 24 18:54: 38 UTC 2015 -sh: ASUSWRT-Merlin: not found admin@RT-AC66U:/tmp/home/root# admin@RT-AC66U:/tmp/home/root# openssl speed -sh: admin@RT-AC66U:/tmp/home/root#: not found admin@RT-AC66U:/tmp/home/root# Doing mdc2 for 3s on 16 size blocks: 163090 mdc2' s in 2.93s > Doing mdc2 for 3s on 64 size blocks: 45186 mdc2's in 2.85s Doing sha512 for 3s on 256 size blocks: 39334 sha512's in 2.98s Doing sha512 for 3s on 1024 size blocks: 14745 sha512's in 2.90s Doing sha512 for 3s on 8192 size blocks: 1272 sha512's in 1.85s Doing whirlpool for 3s on 16 size blocks: 51947 whirlpool's in 2.47s Slikt sier meg ingen ting? -sh: Doing: not found admin@RT-AC66U:/tmp/home/root# Doing aes-256-cbc for 3s on 256 size blocks: 1040 48 aes-256-cbc's in 2.89s > Doing aes-256-cbc for 3s on 1024 size blocks: 26697 aes-256-cbc's in 2.93s -sh: Doing: not found admin@RT-AC66U:/tmp/home/root# Doing aes-256-cbc for 3s on 8192 size blocks: 336 2 aes-256-cbc's in 2.92s > OpenSSL 1.0.2e 3 Dec 2015 > built on: reproducible build, date unspecified > options:bn(64,32) rc4(ptr,char) des(idx,cisc,16,long) aes(partial) idea(int) b lowfish(ptr) > compiler: mipsel-uclibc-gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DOPENS SL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -ffunction-sections -fdata-se ctions -mips2 -mabi=32 -O3 -Wall -DBN_DIV3W -DOPENSSL_BN_ASM_MONT -DSHA1_ASM -DS HA256_ASM -DAES_ASM > The 'numbers' are in 1000s of bytes per second processed. > type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes > aes-256-cbc 7757.20k 8843.61k 9216.71k 9330.28k 9432.02k > admin@RT-AC66U:/tmp/home/root# Her over prøvde jeg: openssl speed -engine padlock -evp aes-256-cbc Så er så dårlig ytelse den routeren har? Dagens AC87 har nesten 3-4 ganger bedre ytelse? Endret 23. februar 2016 av LMH1 Lenke til kommentar
kpolberg Skrevet 23. februar 2016 Del Skrevet 23. februar 2016 (endret) Du har jo ikke klart å få med resultatene. Ser ut som du har gjort copy paste i vilden sky for min del. Fra en ruter med MIPS cpu. (TP-Link WDR4300) type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes blowfish cbc 10809.17k 11762.30k 11985.22k 12112.46k 12318.65k aes-128 cbc 9090.80k 9844.31k 10139.46k 10071.90k 9983.65k aes-192 cbc 7714.91k 8348.04k 8612.19k 8639.44k 8637.58k aes-256 cbc 6897.53k 7406.72k 7554.07k 7529.31k 7602.51k Fra ODROID-C1 type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes blowfish cbc 24914.94k 28312.47k 29294.42k 29548.20k 29625.00k aes-128 cbc 32384.51k 36566.93k 38234.20k 38679.89k 38808.23k aes-192 cbc 28398.29k 31731.97k 32872.28k 33149.61k 33240.41k aes-256 cbc 25574.18k 28157.65k 29013.08k 29247.83k 29310.98k Fra Intel E3 1240v3 x86 uten AES type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes blowfish cbc 127642.41k 135526.34k 137641.30k 131655.68k 128677.21k aes-128 cbc 149327.31k 163873.17k 166846.29k 168065.71k 168064.34k aes-192 cbc 126294.79k 137395.50k 138093.14k 140409.51k 140222.00k aes-256 cbc 109841.70k 117756.14k 119459.24k 119614.81k 120176.64k Fra Intel E3 1240v3 x86 med AES (-evp) type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes aes-128-cbc 776093.75k 831897.00k 847784.45k 850505.39k 850463.40k aes-192-cbc 657815.08k 698381.03k 709054.46k 711298.39k 710331.05k aes-256-cbc 571276.99k 601315.97k 609236.74k 611225.26k 610855.59k Kjør kommandoen openssl speed bf-cbc aes-128-cbc aes-192-cbc aes-256-cbc EDIT: assembly optimalisering krever ikke -evp flagg. Endret 23. februar 2016 av kpolberg Lenke til kommentar
LMH1 Skrevet 24. februar 2016 Forfatter Del Skrevet 24. februar 2016 (endret) Asus ac 66u: type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytesblowfish cbc 11910.28k 12684.84k 13186.13k 13295.80k 13183.66kaes-128 cbc 11226.93k 12129.66k 12648.23k 12561.87k 12546.41kaes-192 cbc 9723.00k 10405.23k 10620.33k 10772.69k 10701.31kaes-256 cbc 8694.39k 9115.47k 9249.51k 9237.85k 9328.57kadmin@RT-AC66U:/tmp/home/root# The 'numbers' are in 1000s of bytes per second processed. Er tallene å stole på over VPN? Da kun cpuen måles? Merkelig nok dårlig test, fordi virker ut som har litt bedre resultat en deg enn TP-Link WDR4300. Betyr det på det beste er 10-16 mbit\s det jeg kan forvente på openvpn? Endret 24. februar 2016 av LMH1 Lenke til kommentar
kpolberg Skrevet 24. februar 2016 Del Skrevet 24. februar 2016 Tallene er til å stole på de. De kan riktignok ikke direkte overføres til faktisk båndbredde over OpenVPN, men de kan brukes som en pekepinn på faktisk throughput under ideelle forhold. Jeg forstår ikke helt hvorfor dette skulle være en dårlig test? Selv om begge ruterene bruker MIPS instruksjonssett, så er det ikke samme CPU. På AC66U så har du en 600 MHz broadcom CPU, mens jeg på min WDR4300 har en Atheros 560 MHz. 1 Lenke til kommentar
LMH1 Skrevet 24. februar 2016 Forfatter Del Skrevet 24. februar 2016 (endret) Betyr det på det beste er 10-16 mbit\s det jeg kan forvente på openvpn? Fikk ikke direkte svar på det. Men antar i så fall det er riktig pekepin hva jeg skal forvente. Om du har tips hva jeg med samme oppsett må ha for å klare mellom 100-500 mbit hva det billigste og mest lønnsom i så fall? For vet ikke om Ac88u eller 87u kun gir 40 mbit som hjelper lite. Så skal jeg få så rask ytelse over vpn må jeg gå for pfsense eller tilsvarende med intel cpu? Da de cpuene har en del fordeler med tanke på ytelse. Eller tror du også begrensingene ligger i open VPN klienten? Må over på bedriftløsninger i så fall? Da dette er kun for surfing eller lett bruk? Endret 24. februar 2016 av LMH1 Lenke til kommentar
kpolberg Skrevet 24. februar 2016 Del Skrevet 24. februar 2016 10-16 Mbit/s høres ikke helt feil ut iforhold til hardwaren på AC66U. 100 Mbit/s bør være mulig på en wrt1900ac f.eks, har selv fått 80 Mbit/s(maks av linjen). Skal du over 100 Mbit/s vil nok det billigste være å bygge en maskin med AES-NI støtte(Intel/AMD x86). Selve krypteringsalgoritmen(aes), støtter AES instruksjonssettet gjennom openssl biblioteket i pfSense, jeg leste for en stund siden at denne støtten skal gjelde ipsec med aes-128-gcm, men usikker på om dette er med i pfSense 2.2.6 eller om det kommer senere. Sånn generelt. Krypterte tuneller er ikke ett enkelt område å få til å yte bra. Det er flere ting som spiller inn. Latency, MTU med mer er ting som spiller inn, og som ikke allid kan løses helt enkelt. 1 Lenke til kommentar
LMH1 Skrevet 24. februar 2016 Forfatter Del Skrevet 24. februar 2016 (endret) Takk for svar, hadde du kunne skrivet litt mere utfyllende kunne du fått best svar. Svarene dine er gode. Ser du også komenterte pfsense men syns det ble hakket dårligere svar. Men da vet jeg omtrent hvor jeg bør legge meg prismessig. Har du noen tips til hvilken vei jeg bør gå videre hvis det er slik du ikke ønsker å hjelpe meg mere? For mye av bøkene er enten utdaterte, koster mye mere en det er verdt eller mangelfulle for nybegynnere. Så blir litt dyrt å kjøpe noe som hjelper bare litt for så å kjøpe bedre igjen. Endret 24. februar 2016 av LMH1 Lenke til kommentar
kpolberg Skrevet 24. februar 2016 Del Skrevet 24. februar 2016 Jeg kommenterer stort sett ting jeg kjenner til, derfor pfSense. Men for å nevne andre løsninger som har akselerert aes som jeg bruker. OpenWRT, hakket vanskeligere å komme igang med enn pfSense, og du må kompilere inn støtten for assembly instruksjonene selv på ARM arkitektur. Har ikke testet på x86 plattform, men godt mulig at den tar nytte av AES-NI instruksjonssett på x86 arkitektur automatisk. Edgerouter-Lite har egen hardware offloading for AES, men i praktiske tester klarer jeg ikke mer enn ca 60-70 Mbit/s(merk dette gjelder kun IPSEC tuneller, OpenVPN er foreløpig ikke akselerert såvidt jeg vet). Sånn i forhold til tips. Er vel ikke så mye annet å gjøre enn å lese og gjøre praktiske tester. Sett opp spesifike mål for hva du ønsker og oppnå. Ofte er det ikke så nøye om man klarer å oppnå de faktiske mål som er satt, så lenge man forstår underveis hvorfor man ikke oppnår målene. Problemet i ditt tilfelle ser ut til å være en motvilje for å sette deg inn i faglitteratur på engelsk. I så måte vil det være nesten umulig å lære noe om spesielle områder. Da _alt_ av informasjon stort sett er på engelsk. 3 Lenke til kommentar
LMH1 Skrevet 24. februar 2016 Forfatter Del Skrevet 24. februar 2016 Så både Pfsene\wrt1900ac med OpenWRT blir mere for eksperter? Mens asus routere blir mere for hjemmebruk? Derfor er det lite man må gjøre for å få det å fungere bra? Lenke til kommentar
kpolberg Skrevet 24. februar 2016 Del Skrevet 24. februar 2016 Jeg vil ikke si pfSense er for eksperter, jeg synes WebGUIet der er riktig så intuitivt, men en må kanskje beregne litt mer manuelt oppsett. Dette mest på grunn av at folk som skal ha en skikkelig brannmur ønsker helst at alt er skrudd _av_ per default. OpenWRT har en litt høy inngangsterskel, men så lenge man behersker litt linux og endel nettverksbegreper så er det meste relativt godt dokumentert i wikien deres. Asus sin firmware har nok mindre funksjoner enn typisk OpenWRT/pfSense, men det skal sies at det er en av de bedre jeg har sett. Fra changelogen til asuswrt-merlin kan jeg se at de har dratt inn endel assembly optimalisering for ARM, så det vil kunne bety at du burde kunne få relativt greit ytelse over OpenVPN på en AC68U. Det kunne vært interresant å se resultatene fra "openssl speed aes" fra noen som har denne ruteren kjørende med merlin. 1 Lenke til kommentar
LMH1 Skrevet 24. februar 2016 Forfatter Del Skrevet 24. februar 2016 Jeg er mere interisert i 87u eller 88u. CPU1: Broadcom BCM4708A0 (800 MHz, 2 cores)CPU2: MediaTek MT7510 Ports: USB: 1x USB 3.0 LAN: 4x GbE (RJ45) 10/100/1000 BaseT xDSL: 1x (RJ11) ADSL2+/VDSL https://wikidevi.com/wiki/ASUS_RT-AC68U https://wikidevi.com/wiki/ASUS_DSL-AC68U For meg virker DSL routeren som har best cpu. Lenke til kommentar
kpolberg Skrevet 24. februar 2016 Del Skrevet 24. februar 2016 AC87U ser ut til å ha en 1GHz ARM CPU, AC88U har 1.4GHz ARM CPU, så begge disse to burde kunne levere opp imot eller bedre enn WRT1900AC. Dette forutsatt at de har assembly optimaliseringen lagt inn. DSL-AC68U som du linker til, ser ut til å være samme som RT-AC68U, men da med DSL modem innebygget. Ytelsen på AC87U eller AC88U burde være en god del bedre. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå