Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Le 08/04/2015 17:50, Jérôme Nicolle a écrit : Le 08/04/2015 14:44, Frédéric Perrod a écrit : As-tu regardé du côté de Banana Pi R1: Un dualcore ARM à 1GHz, sans support crypto hardware ? Ca sait déjà pas router 200Mbps avec un peu de statefull, une fois chiffré il a à peine de quoi tenir une ADSL :-( C'est un peu ce que je pensais... On fait des machines excellentes à base d'ARM, faut pas se leurer, mais certains sont mieux adaptés que d'autres tant l'archi est flexible. Sinon, tu peux te préparer a devenir créatif: https://www.kickstarter.com/projects/onetswitch/onetswitch-open-source-hardware-for-networking (reste qqs heures, ça peux plaire a certains sur la liste, ça embarque un Zynq comme la Parallella) J'aurai nommé ça Networks ASICs@home (ok, c'est pas des ASIC mais des FPGA, certes) C'est typiquement le genre de truc que j'aimerais avoir au lab@home (en moitié moins cher cependant) Après quoi, faudra lancer de temps à autre un Attends chérie, je compile un nouveau VHDL pour améliorer ton netflix :-) ton TTM@home ne sera pas immédiat! JaXX./. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Salut Laurent :) Le 08/04/2015 01:34, Laurent GUERBY a écrit : Vu le sujet cela me semble approprié : https://nos-oignons.net/Actualit%C3%A9s/20150205_500_mbits_de_plus_pour_le_reseau_tor/index.fr.html Intel NUC i5-4250U Haswell J'ai commencé à regarder de ce coté, et je suis tombé sur http://www.materiel.net/ordinateur/materiel-net-nucleus-atom-107399.html qui me semble être le moins cher disponible avec support AES-NI. Par contre je n'ai pas encore trouvé de bench de l'Atom E3815 pour ce cas de figure. Seul inconvénient : un seul port gigabit, et donc besoin d'un switch ou d'un adaptateur usb3-gigabit ethernet pour maxer à 600-700Mbps. Le but étant de placer le boitier entre l'ONT et la cretinbox pour chiffrer le trafic IP et le router par un VPN en continuant de relayer le trafic des autres services et avec le moins de baisse de performance possible… Donc la machine devra aussi faire du PPPoE (client et serveur pour les livebox), du bridging et un peu de routage. Reste alors le problème du ou des concentrateurs permettant de ressortir sur des réseaux propres, et qui devraient idéalement tenir 2Gbps+ en AES128CBC + routage. Après c'est peut être l'occasion d'intégrer TOR en standard sur ces configs, chose que je ne pourrais pas faire avec des edgerouter ou ccr. Mais j'ai peur de l'impact que pourrait avoir un trafic domestique FTTH de plusieurs (dizaines ?) de foyers sur le réseau TOR, surtout s'ils ne sont pas eux-mêmes points de sortie :/ @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Le 08/04/2015 09:34, Olivier Cochard-Labbé a écrit : Quelle est la bonne méthodologie Je n'ai pas cherché bien loin : juste iperf de chaque coté. Ce n'est pas une mesure valable pour un trafic normal, mais le trafic domestique sur des liens FTTH de cette capacité est de toute façon très irrégulier. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Je ne suis pas expert sur la question protocolaire mais y'a pas un problème de nombre de cessions TCP simultanées a supporter par le routeur? Du genre prévoir minimum 300 cessions par utilisateur? Et des questions d'IO supportables par les processeurs et de capacités de calculs des co-processeurs etc... Les Clavister que j'utilisais en IPSec avec certif X509 chez mes clients chiffraient a 80meg en AES256 avec une MTU a 1500 et 12000 cessions TCP et ça c'était il y a 5 ans. On doit pouvoir trouver de quoi faire aujourd'hui pour pas cher et mieux. Juste une remarque sur les Mikrotik 1036, pour l'instant il n'y a qu'un proc utilise pour le Chiffrement, les 35 autres sont utilisés par les autres services (Nat et autres). Et des la V7 de l'os la gestion multi proc sera opérationnelle. Seb Le 8 avr. 2015 à 09:34, Olivier Cochard-Labbé oliv...@cochard.me a écrit : 2015-04-07 21:08 GMT+02:00 Jérôme Nicolle jer...@ceriz.fr: J'ai benchmarké mes CCR1016 et ERLite (à respectivement 400 et 100Mbps en AES128CBC), et il semble que le CCR1036 monte à 800Mbps. Ces débits sont sans routage complexe, NAT ou firewalling, donc à diviser par deux avec un setup à peu près complet pour un réseau d'une dizaine de sites (la famille, c'est important) avec un quasi-full-mesh de tunnels et du BGP dedans. Bonjour, Quelle est la bonne méthodologie pour réaliser des benchs de performance d'une passerelle IPSec/SSL ? Pour bencher un routeur, les tests a effectuer sont détaillés dans les RFC 2544 et RFC 3222. Personnellement, je me contente de mesurer le nombre maximum de petits paquets routé (le pire des cas) et d'estimer des performances réalistes en utilisant une distribution IMIX. Pour un firewall, il y a la RFC 3511. Mais pour mesurer les performances d'une passerelle IPsec/SSL, quelle est la bonne méthode ? = Devons-nous nous contenter de générer un maximum de gros paquet (MTU max) pour mesurer uniquement la performance du module de chiffrement (mais pas du routage) ? = Ou simplement continuer à générer des petits paquets (MTU min) en activant le chiffrement, et donc mesurer l'impact au niveau du module de routage seulement ? La seule étude sur la méthodologie pour bencher des passerelles IPSec que j'ai trouvée est ici: http://www.mecs-press.org/ijcnis/ijcnis-v4-n9/IJCNIS-V4-N9-1.pdf Est-ce cette méthode que vous utilisez ? Il y en a-t-il d'autre ? Merci, Olivier http://bsdrp.net --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Salut, Un ensemble soekris/pcengines + une carte 'vpn' [0] peut peut-être faire l'affaire ? Si quelqu'un a testé quelque chose dans ce genre, je veux bien un retour. J'avais fait quelques tests avec une NET4801 et une VPN1411. Ca accélerait la crypto mais le proc anémique croulait sous les INT donc côté routage ça ne suivait pas. Je n'ai pas testé avec les modèles plus récents mais ça ne doit pas être beaucoup mieux. Denis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Le 08/04/2015 14:44, Frédéric Perrod a écrit : As-tu regardé du côté de Banana Pi R1: Un dualcore ARM à 1GHz, sans support crypto hardware ? Ca sait déjà pas router 200Mbps avec un peu de statefull, une fois chiffré il a à peine de quoi tenir une ADSL :-( -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Reste alors le problème du ou des concentrateurs permettant de ressortir sur des réseaux propres, et qui devraient idéalement tenir 2Gbps+ en AES128CBC + routage. pour les agrégations, regardez le Turbo IPsec de 6WIND, c'est overkill pour 500Mbps (Linux peut le faire), mais pour 2Gbps, 10Gbps, 100Gbps, etc... , ça peut être intéressant: http://www.prnewswire.com/news-releases/6wind-launches-turbo-router-and-turbo-ipsec-software-appliances-with-record-setting-industry-performance-300026798.html My 2 cents, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Jérôme Nicolle jer...@ceriz.fr a écrit : Seul inconvénient : un seul port gigabit, et donc besoin d'un switch ou d'un adaptateur usb3-gigabit ethernet pour maxer à 600-700Mbps. Salut Jérôme, As-tu regardé du côté de Banana Pi R1: http://www.bananapi.com/index.php/component/content/article?layout=editid=59 Fred --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Le 08/04/2015 14:44, Frédéric Perrod a écrit : Jérôme Nicolle jer...@ceriz.fr a écrit : Seul inconvénient : un seul port gigabit, et donc besoin d'un switch ou d'un adaptateur usb3-gigabit ethernet pour maxer à 600-700Mbps. Salut Jérôme, As-tu regardé du côté de Banana Pi R1: http://www.bananapi.com/index.php/component/content/article?layout=editid=59 Par contre niveau chiffrement... Alors, à priori, y'aurait de la crypto dans l'A20, mais c'est ça n'a pas l'air encore implémenté ( http://linux-sunxi.org/Security_System ) Quand bien même, je doute que les perfs soient au rdv. JaXX./. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Hi, Sinon dans ta gamme de prix tu peux te permettre d'investir sur une board à base d'avoton type C2758. SuperMicro en fait une très intéressante à vil prix (compte environ 400€ en import only): http://www.supermicro.com/products/motherboard/Atom/X10/A1SRi-2758F.cfm Mini Itx, refroidissement passif, AES-NI, quad Gbe, IPMI, et surtout QuickAssist... Bref, tu devrais facilement pouvoir sortir les 500Mbps chiffrés. Br, Thomas Le 8 avr. 2015 17:50, Jérôme Nicolle jer...@ceriz.fr a écrit : Le 08/04/2015 14:44, Frédéric Perrod a écrit : As-tu regardé du côté de Banana Pi R1: Un dualcore ARM à 1GHz, sans support crypto hardware ? Ca sait déjà pas router 200Mbps avec un peu de statefull, une fois chiffré il a à peine de quoi tenir une ADSL :-( -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Plop, TL;DR : cherche routeur chiffrant pas cher 500mbps 500€ Avec la PJL renseignement qui pointe son nez, il va être temps de chiffrer tout le trafic perso pour le ressortir par des réseaux propres. Manque de pot, ce qui était trivial à faire pour 10Mbps de DSL est un peu plus complexe pour 1Gbps en FTTH. J'ai benchmarké mes CCR1016 et ERLite (à respectivement 400 et 100Mbps en AES128CBC), et il semble que le CCR1036 monte à 800Mbps. Ces débits sont sans routage complexe, NAT ou firewalling, donc à diviser par deux avec un setup à peu près complet pour un réseau d'une dizaine de sites (la famille, c'est important) avec un quasi-full-mesh de tunnels et du BGP dedans. Le WAF d'une solution à 300-500€ par site fibré est déjà relativement faible, si en plus ça ralenti la VOD, je vais avoir du mal à le faire passer. Est ce que vous avez connaissance de petites perles qui savent router à peu près décemment, chiffrer en 256bits ou plus à 500mbps ou plus, qui ne fasse pas le bruit d'un hélico de combat (on attendra celui de la cellule anti terroristes des Internets), et qui ne coute pas plus de 500 balles ? Merci ! -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
On Tue, 2015-04-07 at 21:08 +0200, Jérôme Nicolle wrote: Plop, TL;DR : cherche routeur chiffrant pas cher 500mbps 500€ Avec la PJL renseignement qui pointe son nez, il va être temps de chiffrer tout le trafic perso pour le ressortir par des réseaux propres. Manque de pot, ce qui était trivial à faire pour 10Mbps de DSL est un peu plus complexe pour 1Gbps en FTTH. J'ai benchmarké mes CCR1016 et ERLite (à respectivement 400 et 100Mbps en AES128CBC), et il semble que le CCR1036 monte à 800Mbps. Ces débits sont sans routage complexe, NAT ou firewalling, donc à diviser par deux avec un setup à peu près complet pour un réseau d'une dizaine de sites (la famille, c'est important) avec un quasi-full-mesh de tunnels et du BGP dedans. Le WAF d'une solution à 300-500€ par site fibré est déjà relativement faible, si en plus ça ralenti la VOD, je vais avoir du mal à le faire passer. Est ce que vous avez connaissance de petites perles qui savent router à peu près décemment, chiffrer en 256bits ou plus à 500mbps ou plus, qui ne fasse pas le bruit d'un hélico de combat (on attendra celui de la cellule anti terroristes des Internets), et qui ne coute pas plus de 500 balles ? Merci ! Salut Jérôme, Vu le sujet cela me semble approprié : https://nos-oignons.net/Actualit%C3%A9s/20150205_500_mbits_de_plus_pour_le_reseau_tor/index.fr.html Intel NUC i5-4250U Haswell https://nos-oignons.net/Services/index.fr.html A l'instant 2.34% de probabilité de sortie. Le record de marylou (1+2) en moyenne 5 minutes in/out est de 404.8/412.9 Mbit/s sur les deux dernieres semaines, limité je pense par le consensus weight plus que par le CPU. Le processeur supporte AES-NI qui doit aider au moins certains types de chiffrement utilisés par tor, peut etre dans ton use case aussi. Consommation 9 a 22 Watt suivant la charge : http://www.pcper.com/reviews/Processors/Intel-NUC-D54250WYK-SFF-System-Review-Haswell-Update/Storage-Power-Consumption-an https://www.linux.com/learn/tutorials/761431-install-fedora-on-intel-nuc-a-low-power-x86-ready-mini-pc-with-grunt While running openssl speed power usage was around 11-12 W. Running three instances of openssl speed at once resulted in over 14 W used. http://browser.primatelabs.com/geekbench3/367355 AES 3.34 GB/s Les NUCs broadwell sont sortis, pas cherché/testé encore. Au passage si d'autres opérateurs veulent eduquer nos chers législateurs c'est par ici : https://nos-oignons.net/Participez/ Sincèrement, Laurent AS197422 http://tetaneutral.net --- Liste de diffusion du FRnOG http://www.frnog.org/