7100+ IKEv2 AES-GCM

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
blackeagle2002de
Beiträge: 142
Registriert: 23 Jan 2005, 13:47

7100+ IKEv2 AES-GCM

Beitrag von blackeagle2002de »

Hallo,

ich wollte nunmehr gemäß Anregung von GrandDixence unsere IKEv2 VPN Tunnel auf AES-GCM umstellen. In unseren Filial-Routern (1781EF+, 1781EW+ und 1900EF) wäre dies auch problemlos möglich, nur in unsere Zentrale wird bei dem von uns verwendeten 7100+ kein AES-GCM zur Auswahl angeboten (vgl. anliegenden Screenshot). Ist mit dem 7100+ kein AES-GCM möglich?

Viele Grüße
blackeagle2002de
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: 7100+ IKEv2 AES-GCM

Beitrag von GrandDixence »

AES-GCM wird erst ab LCOS v10.12 unterstützt. Siehe Seite 2 der "Feature Notes LCOS v10.12":
https://www.lancom-systems.de/produkte/ ... lcos-1012/

Grundsätzliche sollten nur Verschlüsselungsmethoden eingesetzt werden, die hardwaremässig beschleunigt werden:
viewtopic.php?f=23&t=16942&p=96101&hili ... box#p96101

viewtopic.php?f=41&t=17189&p=97517&hili ... vpn#p97517

Vielleicht unterstützt die CPU vom 7100+ keine Hardwarebeschleunigung der Verschlüsselung und Entschlüsselung von AES-GCM. Falls diese Unterstützung fehlt, macht es auch keinen Sinn, in der LCOS-Konfiguration für den 7100+ AES-GCM anzubieten.
blackeagle2002de
Beiträge: 142
Registriert: 23 Jan 2005, 13:47

Re: 7100+ IKEv2 AES-GCM

Beitrag von blackeagle2002de »

Danke für die Antwort! Auf dem 7100+ läuft die aktuelle 10.20.0355RU3, insofern wird es dann wohl an der Hardware liegen
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: 7100+ IKEv2 AES-GCM

Beitrag von Jirka »

Hallo,

auf alle Fälle geht das bei der Gerätereihe nicht. Ob das nun an der Hardware liegt oder daran, dass LANCOM das für diese Hardware nicht implementiert hat, entzieht sich meiner Kenntnis. Ist schon blöd, wenn gerade die Zentralen oder die teuren Geräte das nicht können, da ergibt eine Umstellung in vielen Fällen dann keinen Sinn.

Viele Grüße,
Jirka
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: 7100+ IKEv2 AES-GCM

Beitrag von MariusP »

Hi,
Die CPU bietet in der Hardware Engine kein GCM für AES. Daher kann es nicht angeboten werden.
Auf dem Datenpfad ist eine Anbindung an eine Softwareimplementierung nicht praktikabel. Das würde den Durchsatz massiv einschränken.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Antworten