Hardware Crypto für OpenVPN aktivieren oder nicht?



  • Inzwischen bin ich total verwirrt, es gibt zwar in den OpenVPN Server Einstellungen den Punkt "Hardware Crypto" aber viele Foren Beiträge und die Docs [1] sagen das man diese nicht setzen braucht.

    System / Advanced / Miscellaneous -> Cryptographic Hardware ist auf AES-NI gesetzt.
    CPU ist eine Intel(R) Xeon(R) CPU E3-1220 v5
    Dashboard zeigt "Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICM".

    Bei OpenVPN verwende ich AES-256-CBC, muss ich jetzt in den Einstellungen noch die Hardware Crypto auf "BSD cryptodev…" setzten oder nicht?
    Wenn nein warum kann man das überhaupt einstellen?

    [1] https://doc.pfsense.org/index.php/Are_cryptographic_accelerators_supported



  • Hi,

    Stand meines Wissens ist hier auch noch, dass bei Verwendung von AES-NI die Option Hardware Crypto auf "No Hardware Crypto Acceleration" gestellt werden soll. So ist es auch in der Doc in deinem Link beschrieben.

    Aber die Auswirkungen der verschiedenen Optionen kannst mit dem da angeführten Befehl auf deine Verschlüsselung angepasst ganz leicht selbst testen.



  • IPsec profitiert von dem Modul, OpenVPNs OpenSSL benutzt die Hardwareverschlüsselung ohne das Modul von selbst. Hier sollte man das Modul nicht laden, da es OpenVPN u.U. langsamer macht.
    Allerdings läuft OpenVPN aufgrund seiner Architektur am schnellsten, wenn Du einen Prozessor mit möglichst hoher Single Thread Performance hast, sprich viel Gigaherz.



  • IPsec profitiert von dem Modul, OpenVPNs OpenSSL benutzt die Hardwareverschlüsselung ohne das Modul von selbst..

    Und dem ist wirklich so, man kann mit einer SG-4860 fast ~500 MBit/s an Durchsatz bei einem IPSec Tunnel heraus bekommen,
    und das ist schon recht ordentlich.

    Allerdings läuft OpenVPN aufgrund seiner Architektur am schnellsten, wenn Du einen Prozessor mit möglichst hoher Single Thread Performance hast, sprich viel Gigaherz.

    Die aktuelle OpenVPN Version erlaubt es aber schon das jeder Tunnel einen eigenen CPU Kern oder HT Kern benutzt, von daher ist
    es auch irgend wie nicht mehr richtig nur "single threated" denn das wäre dann ja wirklich nur alle Tunnel über einen Kern, allerdings
    ist es auch noch nicht richtig Multi CPU Core threated wie manche jetzt denken, denn einige Ereignisse werden zu einer eigenen Instanz
    zusammen geschaltet und per CPU Kern abgearbeitet, ist halt schon ein Schritt in die richtige Richtung, aber eben doch noch nicht.

    System / Advanced / Miscellaneous -> Cryptographic Hardware ist auf AES-NI gesetzt.
    CPU ist eine Intel(R) Xeon(R) CPU E3-1220 v5

    Was machst Du Dir überhaupt Gedanken dazu!? Mit der CPU kannst Du alles machen was Du wilsst und es sollte alles funktionieren!
    Damit hast Du 1 GBit/s am WAN, max. VPN Durchsatz und kannst pfSense als eine volle UTM betreiben, ohne Abstriche machen zu
    müssen!



  • @BlueKobold:

    System / Advanced / Miscellaneous -> Cryptographic Hardware ist auf AES-NI gesetzt.
    CPU ist eine Intel(R) Xeon(R) CPU E3-1220 v5

    Was machst Du Dir überhaupt Gedanken dazu!? Mit der CPU kannst Du alles machen was Du wilsst und es sollte alles funktionieren!
    Damit hast Du 1 GBit/s am WAN, max. VPN Durchsatz und kannst pfSense als eine volle UTM betreiben, ohne Abstriche machen zu
    müssen!

    Ja das stimmt, ware einfach aus Interesse  :)