Lancom Router Site2Site mit SHA-2 (SHA-256)

[kkockott]

Hallo,

auf unserem Lancom 1711 ist das aktuellste Release 8.82 installiert. Laut Appendum PDF unterstüzt dieses Release auf bestimmten Geräten

den Hash-Algorithmus 'SHA-2-256'. Über Lanconfig kann ich aber diesen Algorithmus gar nicht auswählen sondern wie gehabt nur MD5/SH1.

Bedeutet das der Lancom 1711 unterstützt das nicht bzw. welche Router von Lancom können das. Ich findet dazu keine Kompatibiliäts-Liste.

Vielen Dank

[Avalanche]

Ich habe gerade auf einem 1781AW nachgeschaut. Dort gibt es SHA2-256 zur Auswahl. Scheint also so zu sein, dass das von Deinem Gerät nicht unterstützt wird.

[kkockott]

vielen Dank, das Feature gibt es wohl erst ab der 1781 Serie zwecks CPU Leistung

[Avalanche]

Ich würde vermuten, dass das Feature nur für die Geräte verfügbar ist, bei denen es die CPU in Hardware kann. Alles andere dürfte ziemlich stark ausbremsen.

[alf29]

Moin,

zumindest auf einem 3850 sehe ich's hier:

root@brg-wz:/Setup/VPN/Proposals/IPSEC
> set ?

Possible Entries for columns in IPSEC:
[1][Name] : 17 chars from: ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()+-,/:;<=>?[\]^_.0123456789
[2][Encaps-Mode] : Tunnel (1), Transport (2), Mixed(LCOS4) (65001)
[3][ESP-Crypt-Alg] : none (0), AES-CBC (12), BLOWFISH-CBC (7), CAST128-CBC (6), 3DES-CBC (3), DES-CBC (2), NULL (11)
[4][ESP-Crypt-Keylen] : 5 chars from: 1234567890
[5][ESP-Auth-Alg] : none (0), HMAC-MD5 (1), HMAC-SHA1 (2), HMAC-SHA2-256 (5)
[6][AH-Auth-Alg] : none (0), HMAC-MD5 (1), HMAC-SHA1 (2), HMAC-SHA2-256 (5)
[7][IPCOMP-Alg] : none (0), DEFLATE (2), LZS (3)
[8][Lifetime-Sec] : 10 chars from: 1234567890
[9][Lifetime-KB] : 10 chars from: 1234567890

und das 3850 hat die gleiche CPU wie das 1711. Es ist allerdings korrekt, daß der Krypto-Beschleuniger des XScale-Prozessors nur HMAC-SHA1 und HMAC-MD5 beherrscht, HMAC-SHA256 dürfte also deutlich langsamer sein.

Gruß Alfred

[kkockott]

Moin,

zumindest auf einem 3850 sehe ich's hier:

root@brg-wz:/Setup/VPN/Proposals/IPSEC
> set ?

Possible Entries for columns in IPSEC:
[1][Name] : 17 chars from: ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()+-,/:;<=>?[\]^_.0123456789
[2][Encaps-Mode] : Tunnel (1), Transport (2), Mixed(LCOS4) (65001)
[3][ESP-Crypt-Alg] : none (0), AES-CBC (12), BLOWFISH-CBC (7), CAST128-CBC (6), 3DES-CBC (3), DES-CBC (2), NULL (11)
[4][ESP-Crypt-Keylen] : 5 chars from: 1234567890
[5][ESP-Auth-Alg] : none (0), HMAC-MD5 (1), HMAC-SHA1 (2), HMAC-SHA2-256 (5)
[6][AH-Auth-Alg] : none (0), HMAC-MD5 (1), HMAC-SHA1 (2), HMAC-SHA2-256 (5)
[7][IPCOMP-Alg] : none (0), DEFLATE (2), LZS (3)
[8][Lifetime-Sec] : 10 chars from: 1234567890
[9][Lifetime-KB] : 10 chars from: 1234567890

und das 3850 hat die gleiche CPU wie das 1711. Es ist allerdings korrekt, daß der Krypto-Beschleuniger des XScale-Prozessors nur HMAC-SHA1 und HMAC-MD5 beherrscht, HMAC-SHA256 dürfte also deutlich langsamer sein.

Gruß Alfred

beim 1711 steht

root@LANCOM:/Setup/VPN/Proposals/IPSEC
> set ?

Possible Entries for columns in IPSEC:
[1][Name] : 17 chars from: ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()+-,/:;<=>?[\]^_.0123456789
[2][Encaps-Mode] : Tunnel (1), Transport (2), Mixed(LCOS4) (65001)
[3][ESP-Crypt-Alg] : none (0), AES-CBC (12), BLOWFISH-CBC (7), CAST128-CBC (6), 3DES-CBC (3), DES-CBC (2), NULL (11)
[4][ESP-Crypt-Keylen] : 5 chars from: 1234567890
[5][ESP-Auth-Alg] : none (0), HMAC-MD5 (1), HMAC-SHA1 (2)
[6][AH-Auth-Alg] : none (0), HMAC-MD5 (1), HMAC-SHA1 (2)
[7][IPCOMP-Alg] : none (0), DEFLATE (2), LZS (3)
[8][Lifetime-Sec] : 10 chars from: 1234567890
[9][Lifetime-KB] : 10 chars from: 1234567890

laut LANmonitor hat der 1711 folgende CPU

Intel iXP422 Stepping B0 CPU-Takt 266 Mhz

[kkockott]

muss das Thema nochmal aufgreifen

weis jemand ob nur die CC Version vom Lancom 1781-4G / Lancom 1781A-4G die Verschlüsslung SHA-256 über die Hardware unterstützt

oder ob das auch nur die nicht CC Versionen beherschen oder nicht die nötige Hardware haben also auch über Software verschlüsseln müssen

bzw. könnte mal jemand so lieb sein und nachschauen ob der 1781-4G bzw. A ohne CC SHA-256 auch anbietet als IPSec Proposal

[MariusP]

Hi kkockott,
Ich weis von keiner Verlangsamung der VPN-Übertragungsgeschwindigkeit zwischen CC und nicht CC Geräten.
Welche IPSEC-Parameter unterstützt werden findest du unter:
http://www.lancom-systems.de/loesungen/ ... ungen/faq/

Die verwende Hardwarebeschleunigungseinheit unterstützt bei jedem PowerPC-Gerät SHA-256.
Hier unter Freescale zu finden:
http://www.lancom-forum.de/lancom-faq-f ... -t115.html

SHA256 als Proposal wird ab der 8.70 aufwärts unterstützt.

Ich hoffe ich konnte dich mit den Antworten zufriedenstellen.
Wenn du direkte Antworten haben möchtest, muss ich dich bitten dich an die offiziellen Lancom-Kanäle für CC zu wenden. Sorry
Gruß

[Dr.Einstein]

Wie war das? Bei den CC-Geräten war der Chip nicht verbaut (oder deaktiviert), da der Hardwarebeschleuniger nicht CC zertifiziert wurde.

Gruß Dr.Einstein

[kkockott]

vielen Dank - das wäre ja wirklich schräg wenn die CC Variante den Krypto-Prozessor nicht nutzt

[LoUiS]

Hi,

was ist daran "schraeg"? Die VPN Beschleunigung im Chip ist von Freescale nicht CC zertifiziert und darf somit im CC Betrieb auch nicht genutzt werden.


Ciao
LoUiS