FunkFeuer Wiki - Benutzerbeiträge [de]

Hardware/Router/EdgeRouter X-SFP

2022-11-10T17:16:32Z

Kwinz: /* Bezugsquellen */

{{Router
|name=EdgeRouter X-SFP
|manufacturer=Ubiquiti
|Picture=Edgerouter-x-sfp.jpg
|deprecated=Nein
|v642=Ja
|outdoor=Nein
|cpu=MediaTek MT7621AT, 880 MHz
|ram=256 MB
|flash=256 MB NAND
|poe=passiv, 5 Ports, Gbit, schaltbar
|ethernetports=5
|modulport=1
|switch=Ja
|wifi=Nein
|firmware=Original, OpenWrt 21.02.1]
|flashmethod=Web
|flashguide=[https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf Beschreibung Original-FW]
|configguide=[https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF-Wizard], [[:Datei:Funkfeuer_-_EdgeRouter_Setup_Konfiguration.pdf|manuelle Konfiguration]]
|antenna=Nein
|OlsrCapable=v1&v2
}}

== Allgemeines zum Gerät ==

Die [https://de.wikipedia.org/wiki/Small_Form-factor_Pluggable SFP]-Version des [[Hardware/EdgeRouter_X|EdgeRouter X]] bietet auf allen fünf Gigabit-Ethernet-Ports [[Hardware/PoE#passive_PoE|passive PoE]]. Das ermöglicht den Betrieb aktiver Antennen ohne zusätzliche Spannungsversorgung. Das mitgelieferte Netzteil mit Hohlstecker liefert 24V 2,5A, der Router benötigt etwa. 80mA. Entgegen der Produktbeschreibung kann er auch über passive PoE am ersten Ethernet-Port versorgt werden.
Für Einsatz im Freien gibt es die [[Hardware/EdgePoint_R6|EdgePoint R6]] Variante. Achtung: Der Router akzeptiert auch wirklich '''NUR 24V passiv''' über PoE-In ([https://dl.ubnt.com/datasheets/edgemax/EdgeRouter_X_DS.pdf Quelle1] bzw. [https://dl.ubnt.com/qsg/ER-X-SFP/ER-X-SFP_DE.html Quelle2])

== Betrieb mit Original-Firmware==

Hier eine [https://docs.google.com/document/d/16ov0fOTm4ywXzTE8AOxJxf7HefD2qgliZGxBJmtjw5A Übersicht], des derzeit üblichen Setups.
Mit diesem Gerät können ein/mehrere Antennen mittels am Router laufenden OLSR daemon (Wizard ermöglicht eine simple Installation und Verwaltung per GUI) im Bridgemodus laufend verwendet werden. Hierbei muss keine Custom Firmware aufgespielt werden, und es kann weiterhin das gewohnte Upgrade vom Hersteller aufgespielt werden.

=== Initiales Konfigurieren ===
; Schritte zur Konfiguration der Original-Firmware
* Aktuellstes [https://help.ubnt.com/hc/en-us/articles/205146110-EdgeRouter-How-to-Upgrade-the-EdgeOS-Firmware Firmware Upgrade einspielen] und danach auf Werkseinstellungen reseten ([https://help.ubnt.com/hc/en-us/articles/205202620-EdgeRouter-Reset-to-Factory-Defaults Hardware Reset] mit Reset-Taster am Router! Bei Software Reset per CLI/GUI wird nur die Startup-Config zurück gesetzt. Ab EdgeOS 2.0.6 mit aktuellem Bootloader muss man den Reset Knopf rechtzeitig (nachdem eth4 nach schnellem und dann langsamen Blinken aus geht) loslassen, damit der Reset durchgeführt wird, ansonsten geht der Router in den TFTP flash Modus.)
* [https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-X-X-SFP-bootloader-update/ba-p/1472216 Bootloaderupdate] [https://community.ubnt.com/t5/EdgeMAX/EdgeRouter-X-X-SFP-check-bootloader-version/td-p/1617287 prüfen]. Nur auf ER-X / ER-X-SFP aktualisieren (NICHT EdgePoint EP-R6!!!) - könnte in einer aktuellen Firmware-Version bereits enthalten sein. Nach dem ersten Reboot mit der neuen Firmware-Version ggf. noch ein zweites Mal rebooten, um das Bootloader-Update wirksam zu machen. Der CLI-Command "show system boot-image" gibt Auskunft über den Zustand.
* Firmwareupdate auf [https://www.ubnt.com/download/edgemax/edgerouter-x aktuelle EdgeOS-Version]
* Einfache Methode - (falls es Probleme gibt, bitte bei @pocki melden)
** [https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF] - Wizard installieren
** Notwendige Daten eintragen, Apply klicken & warten bis alles automatisch konfiguriert ist.
* ...oder manueller Methode - [[:Datei:Funkfeuer_-_EdgeRouter_Setup_Konfiguration.pdf|Schritte zur Konfiguration]] der Original-Firmware (bzw. [https://docs.google.com/document/d/1y7KcfKrEYzSZuzNBfZSpbTo9SWL0msXNPH45qkIlsfo Google Docs])
** Anlegen Bridge-Interface mit public 0xFF-IPv4-Adresse
** Anlegen Management-VLAN 1100 mit interner 10-er IP, NAT/masquerade (evtl. Portforwarding)
** Installation OLSRd-Wizard (v1 für IPV4, v2 für IPv6)

=== Links zu Wizards (OLSR,...) ===
* [https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF] - Oneclick-Erstkonfiguration/Installation
* [https://github.com/vchrizz/ER-wizard-OLSRd_V1/releases OLSRd_V1]
* [https://github.com/pocki80/ER-wizard-OLSRd_V2/releases OLSRd_V2]
* [https://github.com/pocki80/ER-wizard-0xFF-WSLE/releases LetsEncrypt, BMK-Webstatus]
* [[Benutzer:Pocki#EdgeRouter-Wizards_und_Code|Übersicht & weitere Wizards]]'''

=== Known Issues ===

* In der VLAN-Config scheinen die ID des Eintrags und die VLAN-ID übereinstimmen zu müssen. Außerdem scheint es einen Reboot für das Übernehmen der VLAN zu brauchen.
* Manchmal "verschwinden" Interfaces, ersichtlich an schwarzem Symbol oben in der Mitte auf der Weboberfläche, dies kann behoben werden, indem bei der Config das Interface manuell wieder hinzugefügt wird. VLANs und Bridges müssen ebenso wieder konfiguriert werden.

== Betrieb mit OpenWrt ==

Der Router kann alternativ zur Original-(Ubiquiti-)-Firmware mit [https://openwrt.org/toh/ubiquiti/ubiquiti_edgerouter_x_er-x_ka OpenWrt] betrieben werden. Ein paar Unterschiede, die die Entscheidung erleichtern können:

* Die Original-FW hat einen Wizard für OLSR, das fehlt in OpenWrt bisher
* Man kann mit der Original-FW PoE ein- und ausschalten, das funktioniert in OpenWrt bisher nur über die Kommandozeile
* Mit OpenWrt sind sämliche OpenWrt-Pakete nutzbar
* OpenWrt ist im Gegensatz zur Original-FW open source, das heißt, die Community kann laufend Verbesserungen vornehmen (und tut das auch)
* Der EdgeRouter X(-SFP) wird offiziell von OpenWrt unterstützt, das heißt, es gibt laufend fertige Firmware zum Download
* [[Projekte/v642/IPv4_Support|4-in-6]] funktioniert momentan mit der Original-FW nicht brauchbar, das Kernel-Modul verpackt die IPv4-Pakete doppelt und fehlerhaft. Wer 4-in-6 nutzen möchte, ist mit OpenWrt besser beraten, oder verwendet zusätzlich OLSRv1 für IPv4 mit der Original-FW.

=== Initiales Flashen von OpenWrt ===

Damit es möglich ist bei Problemen mit der Firmware ein [https://help.ubnt.com/hc/en-us/articles/360019289113 TFTP Recovery] durchführen zu können, ist es Empfehlenswert EdgeOS 2.0.6 zu flashen und dann den Bootloader zu aktualisieren, siehe [https://help.ui.com/hc/en-us/articles/360009932554-EdgeRouter-How-to-Update-the-Bootloader How to Update the Bootloader]

Anschließend kann ganz normal z.B. folgende Firmware installiert werden, die klein genug ist, dass es mit EdgeOS funktioniert: [http://openwrt.jaru.eu.org/openwrt-18.06/targets/ramips/mt7621/openwrt-18.06-snapshot-r7911-f65330d27d-ramips-mt7621-ubnt-erx-sfp-initramfs-factory.tar OpenWrt 18.06 initramfs-factory]

Unter Linux kann das automatisiert mit einem bash Skript erledigt werden: https://github.com/damadmai/edgemax_openwrt

=== Upgrade von OpenWrt (bei bereist installiertem OpenWrt) ===

Einfach über CLI oder Web-Interface (LuCI) das neue Sysupgrade-Image flashen.

=== Recovery ===

Der Weg zurück zu EdgeOS kann über TFTP Recovery gegangen werden, alternativ ist es auch möglich die serielle Konsole dafür zu verwenden.

Siehe https://an.undulating.space/post/181228-erx_install_openwrt_recover_edgeos/ bzw. https://community.ubnt.com/t5/EdgeMAX/ERX-ERX-SFP-System-Recovery/td-p/2056921 bzw. [https://help.ui.com/hc/en-us/articles/360018189493 Manual TFTP Recovery]

# Gummi-Stöpsel aus dem SFP-Port entfernen
# Die zwei Schräubchen auf der Rückseite rausdrehen, Gerät öffnen
# TFTP-Server mit OpenWrt-Image (initramfs) vorbereiten. Das Initramfs entweder selbst kompilieren oder mich (David) anschreiben. Werde ich in Zukunft irgendwo raufladen.
# Serial-Header identifizieren, das ist der mit den vier Pins, die nach oben wegstehen. Von der Vorderseite (mit den Ports) aus gezählt, sind das +3,3 V, TX, RX, GND.
# USB-TTY-Konverter verbinden (die +3,3 V werden '''nicht''' verbunden), gibt's auch im Automaten im MetaLab. Serielle Konsole öffnen.
# ER-X booten und beim Erscheinen des Boot-Menüs die entsprechende Option wählen und IP-Konfig eingeben
# Sobald OpenWrt gestartet ist, kann man sich via 192.168.1.1 (nicht über die IP, die oben eingegeben wurde!) einloggen. Anschliessend das Sysupgrade-Image wie gewohnt flashen (CLI oder Web-Interface (Luci)).

== NAT performance benchmark der unterschiedlichen Betriebssyteme ==

https://an.undulating.space/post/180927-er_alternate_firmware_benchmarks/

== Experimental /dev/crypto Support unter OpenWRT ==

OpenWrt SNAPSHOT r18523-8c501bf9fe + https://github.com/vschagen/mtk-eip93

Neue sha1.h und sha2.h Headers aus der Kernel Version 5.14+ nötig. Ein einfaches kopieren der Headerfiles ist aber ausreichend. Build Anleitung / Fertige Images folgen.

root@OpenWrt:~# openssl engine -t -c
(dynamic) Dynamic engine loading support
[ unavailable ]
(devcrypto) /dev/crypto engine
[DES-CBC, DES-EDE3-CBC, AES-128-CBC, AES-192-CBC, AES-256-CBC, AES-128-CTR, AES-192-CTR, AES-256-CTR, AES-128-ECB, AES-192-ECB, AES-256-ECB]
[ available ]

root@OpenWrt:~# openssl engine -pre DUMP_INFO devcrypto
(devcrypto) /dev/crypto engine
Information about ciphers supported by the /dev/crypto engine:
Cipher DES-CBC, NID=31, /dev/crypto info: id=1, driver=cbc(des-eip93) (hw accelerated)
Cipher DES-EDE3-CBC, NID=44, /dev/crypto info: id=2, driver=cbc(des3_ede-eip93) (hw accelerated)
Cipher BF-CBC, NID=91, /dev/crypto info: id=3, CIOCGSESSION (session open call) failed
Cipher CAST5-CBC, NID=108, /dev/crypto info: id=4, CIOCGSESSION (session open call) failed
Cipher AES-128-CBC, NID=419, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher AES-192-CBC, NID=423, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher AES-256-CBC, NID=427, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher RC4, NID=5, /dev/crypto info: id=12, CIOCGSESSION (session open call) failed
Cipher AES-128-CTR, NID=904, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-192-CTR, NID=905, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-256-CTR, NID=906, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-128-ECB, NID=418, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)
Cipher AES-192-ECB, NID=422, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)
Cipher AES-256-ECB, NID=426, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)

Information about digests supported by the /dev/crypto engine:
Digest MD5, NID=4, /dev/crypto info: id=13, driver=md5-generic (software), CIOCCPHASH capable
Digest SHA1, NID=64, /dev/crypto info: id=14, driver=sha1-generic (software), CIOCCPHASH capable
Digest RIPEMD160, NID=117, /dev/crypto info: id=102, driver=unknown. CIOCGSESSION (session open) failed
Digest SHA224, NID=675, /dev/crypto info: id=103, driver=sha224-generic (software), CIOCCPHASH capable
Digest SHA256, NID=672, /dev/crypto info: id=104, driver=sha256-generic (software), CIOCCPHASH capable
Digest SHA384, NID=673, /dev/crypto info: id=105, driver=sha384-generic (software), CIOCCPHASH capable
Digest SHA512, NID=674, /dev/crypto info: id=106, driver=sha512-generic (software), CIOCCPHASH capable

Hier das Snippet für /etc/ssl/openssl.cnf :

[default]
openssl_conf=openssl_def

[openssl_def]
# this is the main library configuration section
engines=engine_section

[engine_section]
# this is the engine configuration section, where the engines are listed
devcrypto=devcrypto_section

[devcrypto_section]
# this is the section where the devcrypto engine commands are used
CIPHERS=ALL
DIGESTS=ALL

Außerdem muss man die Files /etc/strongswan.d/charon/aes.conf & /etc/strongswan.d/charon/sha* entfernen um das OpenSSL Plugin zu forcen.

IPSec Performance :

MSS 1398 (max MTU, 1438)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.02 sec 6.61 GBytes 189 Mbits/sec 13342 sender
[ 5] 0.00-300.00 sec 6.60 GBytes 189 Mbits/sec receiver
=> ~17000 packets/sec

MSS 536 (eq. MTU 576)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.01 sec 3.01 GBytes 86.2 Mbits/sec 24328 sender
[ 5] 0.00-300.00 sec 3.01 GBytes 86.1 Mbits/sec receiver
=> ~19500 packets/sec

MSS 90 (eq. MTU 130)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.02 sec 576 MBytes 16.1 Mbits/sec 115389 sender
[ 5] 0.00-300.00 sec 573 MBytes 16.0 Mbits/sec receiver
=> ~16100 packets/sec

Testgerät Gegenseite : Fortigate 100D (via Innonet FTTH)

IPSec Parameter :

Auth : Shared PSK

Phase 1 : AES128-SHA256 DH14

Phase 2 : AES128-SHA256 (ohne PFS)

Strongswan forced auf OpenSSL Plugin

Routed VPN via xfrm Interface

Vielleicht als Alternative zu OpenVPN brauchbar, und ab der Version 2.6/3 von OpenVPN auch für Data Channel Offload verwendbar.

== Bezugsquellen ==

* Vereinsmitglied Alexander B (alexander@biringer.eu) / wenn ihr lieb fragt, wird dieser vermutlich auch gleich vorkonfiguriert? :)
* [https://www.amazon.de/s/&field-keywords=edgerouter+x-sfp Amazon]
* [https://geizhals.at/ubiquiti-edgerouter-er-x-sfp-a1271802.html Geizhals]

Und hier noch zwei "Geheimtipp"-Shops, die nicht zwangsweise über Geizhals auffindbar sind, aber wo der momentan (Stand 2022) schlecht verfügbare Router kurzfristig verfügbar sein kann:
* [https://www.senetic.at/product/ER-X-SFP Senetic]
* [https://www.varia-store.com/de/produkt/395822-er-x-sfp-eu-edgerouter-6-ports.html Varia]

Hardware/Router/EdgeRouter X-SFP

2022-11-10T17:05:29Z

Kwinz: /* Allgemeines zum Gerät */

{{Router
|name=EdgeRouter X-SFP
|manufacturer=Ubiquiti
|Picture=Edgerouter-x-sfp.jpg
|deprecated=Nein
|v642=Ja
|outdoor=Nein
|cpu=MediaTek MT7621AT, 880 MHz
|ram=256 MB
|flash=256 MB NAND
|poe=passiv, 5 Ports, Gbit, schaltbar
|ethernetports=5
|modulport=1
|switch=Ja
|wifi=Nein
|firmware=Original, OpenWrt 21.02.1]
|flashmethod=Web
|flashguide=[https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf Beschreibung Original-FW]
|configguide=[https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF-Wizard], [[:Datei:Funkfeuer_-_EdgeRouter_Setup_Konfiguration.pdf|manuelle Konfiguration]]
|antenna=Nein
|OlsrCapable=v1&v2
}}

== Allgemeines zum Gerät ==

Die [https://de.wikipedia.org/wiki/Small_Form-factor_Pluggable SFP]-Version des [[Hardware/EdgeRouter_X|EdgeRouter X]] bietet auf allen fünf Gigabit-Ethernet-Ports [[Hardware/PoE#passive_PoE|passive PoE]]. Das ermöglicht den Betrieb aktiver Antennen ohne zusätzliche Spannungsversorgung. Das mitgelieferte Netzteil mit Hohlstecker liefert 24V 2,5A, der Router benötigt etwa. 80mA. Entgegen der Produktbeschreibung kann er auch über passive PoE am ersten Ethernet-Port versorgt werden.
Für Einsatz im Freien gibt es die [[Hardware/EdgePoint_R6|EdgePoint R6]] Variante. Achtung: Der Router akzeptiert auch wirklich '''NUR 24V passiv''' über PoE-In ([https://dl.ubnt.com/datasheets/edgemax/EdgeRouter_X_DS.pdf Quelle1] bzw. [https://dl.ubnt.com/qsg/ER-X-SFP/ER-X-SFP_DE.html Quelle2])

== Betrieb mit Original-Firmware==

Hier eine [https://docs.google.com/document/d/16ov0fOTm4ywXzTE8AOxJxf7HefD2qgliZGxBJmtjw5A Übersicht], des derzeit üblichen Setups.
Mit diesem Gerät können ein/mehrere Antennen mittels am Router laufenden OLSR daemon (Wizard ermöglicht eine simple Installation und Verwaltung per GUI) im Bridgemodus laufend verwendet werden. Hierbei muss keine Custom Firmware aufgespielt werden, und es kann weiterhin das gewohnte Upgrade vom Hersteller aufgespielt werden.

=== Initiales Konfigurieren ===
; Schritte zur Konfiguration der Original-Firmware
* Aktuellstes [https://help.ubnt.com/hc/en-us/articles/205146110-EdgeRouter-How-to-Upgrade-the-EdgeOS-Firmware Firmware Upgrade einspielen] und danach auf Werkseinstellungen reseten ([https://help.ubnt.com/hc/en-us/articles/205202620-EdgeRouter-Reset-to-Factory-Defaults Hardware Reset] mit Reset-Taster am Router! Bei Software Reset per CLI/GUI wird nur die Startup-Config zurück gesetzt. Ab EdgeOS 2.0.6 mit aktuellem Bootloader muss man den Reset Knopf rechtzeitig (nachdem eth4 nach schnellem und dann langsamen Blinken aus geht) loslassen, damit der Reset durchgeführt wird, ansonsten geht der Router in den TFTP flash Modus.)
* [https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-X-X-SFP-bootloader-update/ba-p/1472216 Bootloaderupdate] [https://community.ubnt.com/t5/EdgeMAX/EdgeRouter-X-X-SFP-check-bootloader-version/td-p/1617287 prüfen]. Nur auf ER-X / ER-X-SFP aktualisieren (NICHT EdgePoint EP-R6!!!) - könnte in einer aktuellen Firmware-Version bereits enthalten sein. Nach dem ersten Reboot mit der neuen Firmware-Version ggf. noch ein zweites Mal rebooten, um das Bootloader-Update wirksam zu machen. Der CLI-Command "show system boot-image" gibt Auskunft über den Zustand.
* Firmwareupdate auf [https://www.ubnt.com/download/edgemax/edgerouter-x aktuelle EdgeOS-Version]
* Einfache Methode - (falls es Probleme gibt, bitte bei @pocki melden)
** [https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF] - Wizard installieren
** Notwendige Daten eintragen, Apply klicken & warten bis alles automatisch konfiguriert ist.
* ...oder manueller Methode - [[:Datei:Funkfeuer_-_EdgeRouter_Setup_Konfiguration.pdf|Schritte zur Konfiguration]] der Original-Firmware (bzw. [https://docs.google.com/document/d/1y7KcfKrEYzSZuzNBfZSpbTo9SWL0msXNPH45qkIlsfo Google Docs])
** Anlegen Bridge-Interface mit public 0xFF-IPv4-Adresse
** Anlegen Management-VLAN 1100 mit interner 10-er IP, NAT/masquerade (evtl. Portforwarding)
** Installation OLSRd-Wizard (v1 für IPV4, v2 für IPv6)

=== Links zu Wizards (OLSR,...) ===
* [https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF] - Oneclick-Erstkonfiguration/Installation
* [https://github.com/vchrizz/ER-wizard-OLSRd_V1/releases OLSRd_V1]
* [https://github.com/pocki80/ER-wizard-OLSRd_V2/releases OLSRd_V2]
* [https://github.com/pocki80/ER-wizard-0xFF-WSLE/releases LetsEncrypt, BMK-Webstatus]
* [[Benutzer:Pocki#EdgeRouter-Wizards_und_Code|Übersicht & weitere Wizards]]'''

=== Known Issues ===

* In der VLAN-Config scheinen die ID des Eintrags und die VLAN-ID übereinstimmen zu müssen. Außerdem scheint es einen Reboot für das Übernehmen der VLAN zu brauchen.
* Manchmal "verschwinden" Interfaces, ersichtlich an schwarzem Symbol oben in der Mitte auf der Weboberfläche, dies kann behoben werden, indem bei der Config das Interface manuell wieder hinzugefügt wird. VLANs und Bridges müssen ebenso wieder konfiguriert werden.

== Betrieb mit OpenWrt ==

Der Router kann alternativ zur Original-(Ubiquiti-)-Firmware mit [https://openwrt.org/toh/ubiquiti/ubiquiti_edgerouter_x_er-x_ka OpenWrt] betrieben werden. Ein paar Unterschiede, die die Entscheidung erleichtern können:

* Die Original-FW hat einen Wizard für OLSR, das fehlt in OpenWrt bisher
* Man kann mit der Original-FW PoE ein- und ausschalten, das funktioniert in OpenWrt bisher nur über die Kommandozeile
* Mit OpenWrt sind sämliche OpenWrt-Pakete nutzbar
* OpenWrt ist im Gegensatz zur Original-FW open source, das heißt, die Community kann laufend Verbesserungen vornehmen (und tut das auch)
* Der EdgeRouter X(-SFP) wird offiziell von OpenWrt unterstützt, das heißt, es gibt laufend fertige Firmware zum Download
* [[Projekte/v642/IPv4_Support|4-in-6]] funktioniert momentan mit der Original-FW nicht brauchbar, das Kernel-Modul verpackt die IPv4-Pakete doppelt und fehlerhaft. Wer 4-in-6 nutzen möchte, ist mit OpenWrt besser beraten, oder verwendet zusätzlich OLSRv1 für IPv4 mit der Original-FW.

=== Initiales Flashen von OpenWrt ===

Damit es möglich ist bei Problemen mit der Firmware ein [https://help.ubnt.com/hc/en-us/articles/360019289113 TFTP Recovery] durchführen zu können, ist es Empfehlenswert EdgeOS 2.0.6 zu flashen und dann den Bootloader zu aktualisieren, siehe [https://help.ui.com/hc/en-us/articles/360009932554-EdgeRouter-How-to-Update-the-Bootloader How to Update the Bootloader]

Anschließend kann ganz normal z.B. folgende Firmware installiert werden, die klein genug ist, dass es mit EdgeOS funktioniert: [http://openwrt.jaru.eu.org/openwrt-18.06/targets/ramips/mt7621/openwrt-18.06-snapshot-r7911-f65330d27d-ramips-mt7621-ubnt-erx-sfp-initramfs-factory.tar OpenWrt 18.06 initramfs-factory]

Unter Linux kann das automatisiert mit einem bash Skript erledigt werden: https://github.com/damadmai/edgemax_openwrt

=== Upgrade von OpenWrt (bei bereist installiertem OpenWrt) ===

Einfach über CLI oder Web-Interface (LuCI) das neue Sysupgrade-Image flashen.

=== Recovery ===

Der Weg zurück zu EdgeOS kann über TFTP Recovery gegangen werden, alternativ ist es auch möglich die serielle Konsole dafür zu verwenden.

Siehe https://an.undulating.space/post/181228-erx_install_openwrt_recover_edgeos/ bzw. https://community.ubnt.com/t5/EdgeMAX/ERX-ERX-SFP-System-Recovery/td-p/2056921 bzw. [https://help.ui.com/hc/en-us/articles/360018189493 Manual TFTP Recovery]

# Gummi-Stöpsel aus dem SFP-Port entfernen
# Die zwei Schräubchen auf der Rückseite rausdrehen, Gerät öffnen
# TFTP-Server mit OpenWrt-Image (initramfs) vorbereiten. Das Initramfs entweder selbst kompilieren oder mich (David) anschreiben. Werde ich in Zukunft irgendwo raufladen.
# Serial-Header identifizieren, das ist der mit den vier Pins, die nach oben wegstehen. Von der Vorderseite (mit den Ports) aus gezählt, sind das +3,3 V, TX, RX, GND.
# USB-TTY-Konverter verbinden (die +3,3 V werden '''nicht''' verbunden), gibt's auch im Automaten im MetaLab. Serielle Konsole öffnen.
# ER-X booten und beim Erscheinen des Boot-Menüs die entsprechende Option wählen und IP-Konfig eingeben
# Sobald OpenWrt gestartet ist, kann man sich via 192.168.1.1 (nicht über die IP, die oben eingegeben wurde!) einloggen. Anschliessend das Sysupgrade-Image wie gewohnt flashen (CLI oder Web-Interface (Luci)).

== NAT performance benchmark der unterschiedlichen Betriebssyteme ==

https://an.undulating.space/post/180927-er_alternate_firmware_benchmarks/

== Experimental /dev/crypto Support unter OpenWRT ==

OpenWrt SNAPSHOT r18523-8c501bf9fe + https://github.com/vschagen/mtk-eip93

Neue sha1.h und sha2.h Headers aus der Kernel Version 5.14+ nötig. Ein einfaches kopieren der Headerfiles ist aber ausreichend. Build Anleitung / Fertige Images folgen.

root@OpenWrt:~# openssl engine -t -c
(dynamic) Dynamic engine loading support
[ unavailable ]
(devcrypto) /dev/crypto engine
[DES-CBC, DES-EDE3-CBC, AES-128-CBC, AES-192-CBC, AES-256-CBC, AES-128-CTR, AES-192-CTR, AES-256-CTR, AES-128-ECB, AES-192-ECB, AES-256-ECB]
[ available ]

root@OpenWrt:~# openssl engine -pre DUMP_INFO devcrypto
(devcrypto) /dev/crypto engine
Information about ciphers supported by the /dev/crypto engine:
Cipher DES-CBC, NID=31, /dev/crypto info: id=1, driver=cbc(des-eip93) (hw accelerated)
Cipher DES-EDE3-CBC, NID=44, /dev/crypto info: id=2, driver=cbc(des3_ede-eip93) (hw accelerated)
Cipher BF-CBC, NID=91, /dev/crypto info: id=3, CIOCGSESSION (session open call) failed
Cipher CAST5-CBC, NID=108, /dev/crypto info: id=4, CIOCGSESSION (session open call) failed
Cipher AES-128-CBC, NID=419, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher AES-192-CBC, NID=423, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher AES-256-CBC, NID=427, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher RC4, NID=5, /dev/crypto info: id=12, CIOCGSESSION (session open call) failed
Cipher AES-128-CTR, NID=904, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-192-CTR, NID=905, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-256-CTR, NID=906, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-128-ECB, NID=418, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)
Cipher AES-192-ECB, NID=422, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)
Cipher AES-256-ECB, NID=426, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)

Information about digests supported by the /dev/crypto engine:
Digest MD5, NID=4, /dev/crypto info: id=13, driver=md5-generic (software), CIOCCPHASH capable
Digest SHA1, NID=64, /dev/crypto info: id=14, driver=sha1-generic (software), CIOCCPHASH capable
Digest RIPEMD160, NID=117, /dev/crypto info: id=102, driver=unknown. CIOCGSESSION (session open) failed
Digest SHA224, NID=675, /dev/crypto info: id=103, driver=sha224-generic (software), CIOCCPHASH capable
Digest SHA256, NID=672, /dev/crypto info: id=104, driver=sha256-generic (software), CIOCCPHASH capable
Digest SHA384, NID=673, /dev/crypto info: id=105, driver=sha384-generic (software), CIOCCPHASH capable
Digest SHA512, NID=674, /dev/crypto info: id=106, driver=sha512-generic (software), CIOCCPHASH capable

Hier das Snippet für /etc/ssl/openssl.cnf :

[default]
openssl_conf=openssl_def

[openssl_def]
# this is the main library configuration section
engines=engine_section

[engine_section]
# this is the engine configuration section, where the engines are listed
devcrypto=devcrypto_section

[devcrypto_section]
# this is the section where the devcrypto engine commands are used
CIPHERS=ALL
DIGESTS=ALL

Außerdem muss man die Files /etc/strongswan.d/charon/aes.conf & /etc/strongswan.d/charon/sha* entfernen um das OpenSSL Plugin zu forcen.

IPSec Performance :

MSS 1398 (max MTU, 1438)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.02 sec 6.61 GBytes 189 Mbits/sec 13342 sender
[ 5] 0.00-300.00 sec 6.60 GBytes 189 Mbits/sec receiver
=> ~17000 packets/sec

MSS 536 (eq. MTU 576)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.01 sec 3.01 GBytes 86.2 Mbits/sec 24328 sender
[ 5] 0.00-300.00 sec 3.01 GBytes 86.1 Mbits/sec receiver
=> ~19500 packets/sec

MSS 90 (eq. MTU 130)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.02 sec 576 MBytes 16.1 Mbits/sec 115389 sender
[ 5] 0.00-300.00 sec 573 MBytes 16.0 Mbits/sec receiver
=> ~16100 packets/sec

Testgerät Gegenseite : Fortigate 100D (via Innonet FTTH)

IPSec Parameter :

Auth : Shared PSK

Phase 1 : AES128-SHA256 DH14

Phase 2 : AES128-SHA256 (ohne PFS)

Strongswan forced auf OpenSSL Plugin

Routed VPN via xfrm Interface

Vielleicht als Alternative zu OpenVPN brauchbar, und ab der Version 2.6/3 von OpenVPN auch für Data Channel Offload verwendbar.

== Bezugsquellen ==

* Vereinsmitglied Alexander B (alexander@biringer.eu) / wenn ihr lieb fragt, wird dieser vermutlich auch gleich vorkonfiguriert? :)
* [https://www.amazon.de/s/&field-keywords=edgerouter+x-sfp Amazon]
* [https://geizhals.at/ubiquiti-edgerouter-er-x-sfp-a1271802.html Geizhals]

Und hier noch zwei "Geheimtipp"-Shops, die nicht zwangsweise über Geizhals auffindbar sind, aber wo der momentan schlecht verfügbare Router kurzfristig verfügbar sein kann:
* [https://www.senetic.at/product/ER-X-SFP Senetic]
* [https://www.varia-store.com/de/produkt/395822-er-x-sfp-eu-edgerouter-6-ports.html Varia]

Hardware/Router/EdgeRouter X-SFP

2022-11-10T17:04:50Z

Kwinz: /* Allgemeines zum Gerät */ Warnung zu PoE

{{Router
|name=EdgeRouter X-SFP
|manufacturer=Ubiquiti
|Picture=Edgerouter-x-sfp.jpg
|deprecated=Nein
|v642=Ja
|outdoor=Nein
|cpu=MediaTek MT7621AT, 880 MHz
|ram=256 MB
|flash=256 MB NAND
|poe=passiv, 5 Ports, Gbit, schaltbar
|ethernetports=5
|modulport=1
|switch=Ja
|wifi=Nein
|firmware=Original, OpenWrt 21.02.1]
|flashmethod=Web
|flashguide=[https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf Beschreibung Original-FW]
|configguide=[https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF-Wizard], [[:Datei:Funkfeuer_-_EdgeRouter_Setup_Konfiguration.pdf|manuelle Konfiguration]]
|antenna=Nein
|OlsrCapable=v1&v2
}}

== Allgemeines zum Gerät ==

Die [https://de.wikipedia.org/wiki/Small_Form-factor_Pluggable SFP]-Version des [[Hardware/EdgeRouter_X|EdgeRouter X]] bietet auf allen fünf Gigabit-Ethernet-Ports [[Hardware/PoE#passive_PoE|passive PoE]]. Das ermöglicht den Betrieb aktiver Antennen ohne zusätzliche Spannungsversorgung. Das mitgelieferte Netzteil mit Hohlstecker liefert 24V 2,5A, der Router benötigt etwa. 80mA. Entgegen der Produktbeschreibung kann er auch über passive PoE am ersten Ethernet-Port versorgt werden.
Für Einsatz im Freien gibt es die [[Hardware/EdgePoint_R6|EdgePoint R6]] Variante. Achtung: Der Router akzeptiert auch wirklich '''NUR 24V passiv''' über PoE-In [[https://dl.ubnt.com/datasheets/edgemax/EdgeRouter_X_DS.pdf Quelle1]] bzw. [[https://dl.ubnt.com/qsg/ER-X-SFP/ER-X-SFP_DE.html Quelle2]]

== Betrieb mit Original-Firmware==

Hier eine [https://docs.google.com/document/d/16ov0fOTm4ywXzTE8AOxJxf7HefD2qgliZGxBJmtjw5A Übersicht], des derzeit üblichen Setups.
Mit diesem Gerät können ein/mehrere Antennen mittels am Router laufenden OLSR daemon (Wizard ermöglicht eine simple Installation und Verwaltung per GUI) im Bridgemodus laufend verwendet werden. Hierbei muss keine Custom Firmware aufgespielt werden, und es kann weiterhin das gewohnte Upgrade vom Hersteller aufgespielt werden.

=== Initiales Konfigurieren ===
; Schritte zur Konfiguration der Original-Firmware
* Aktuellstes [https://help.ubnt.com/hc/en-us/articles/205146110-EdgeRouter-How-to-Upgrade-the-EdgeOS-Firmware Firmware Upgrade einspielen] und danach auf Werkseinstellungen reseten ([https://help.ubnt.com/hc/en-us/articles/205202620-EdgeRouter-Reset-to-Factory-Defaults Hardware Reset] mit Reset-Taster am Router! Bei Software Reset per CLI/GUI wird nur die Startup-Config zurück gesetzt. Ab EdgeOS 2.0.6 mit aktuellem Bootloader muss man den Reset Knopf rechtzeitig (nachdem eth4 nach schnellem und dann langsamen Blinken aus geht) loslassen, damit der Reset durchgeführt wird, ansonsten geht der Router in den TFTP flash Modus.)
* [https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-X-X-SFP-bootloader-update/ba-p/1472216 Bootloaderupdate] [https://community.ubnt.com/t5/EdgeMAX/EdgeRouter-X-X-SFP-check-bootloader-version/td-p/1617287 prüfen]. Nur auf ER-X / ER-X-SFP aktualisieren (NICHT EdgePoint EP-R6!!!) - könnte in einer aktuellen Firmware-Version bereits enthalten sein. Nach dem ersten Reboot mit der neuen Firmware-Version ggf. noch ein zweites Mal rebooten, um das Bootloader-Update wirksam zu machen. Der CLI-Command "show system boot-image" gibt Auskunft über den Zustand.
* Firmwareupdate auf [https://www.ubnt.com/download/edgemax/edgerouter-x aktuelle EdgeOS-Version]
* Einfache Methode - (falls es Probleme gibt, bitte bei @pocki melden)
** [https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF] - Wizard installieren
** Notwendige Daten eintragen, Apply klicken & warten bis alles automatisch konfiguriert ist.
* ...oder manueller Methode - [[:Datei:Funkfeuer_-_EdgeRouter_Setup_Konfiguration.pdf|Schritte zur Konfiguration]] der Original-Firmware (bzw. [https://docs.google.com/document/d/1y7KcfKrEYzSZuzNBfZSpbTo9SWL0msXNPH45qkIlsfo Google Docs])
** Anlegen Bridge-Interface mit public 0xFF-IPv4-Adresse
** Anlegen Management-VLAN 1100 mit interner 10-er IP, NAT/masquerade (evtl. Portforwarding)
** Installation OLSRd-Wizard (v1 für IPV4, v2 für IPv6)

=== Links zu Wizards (OLSR,...) ===
* [https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF] - Oneclick-Erstkonfiguration/Installation
* [https://github.com/vchrizz/ER-wizard-OLSRd_V1/releases OLSRd_V1]
* [https://github.com/pocki80/ER-wizard-OLSRd_V2/releases OLSRd_V2]
* [https://github.com/pocki80/ER-wizard-0xFF-WSLE/releases LetsEncrypt, BMK-Webstatus]
* [[Benutzer:Pocki#EdgeRouter-Wizards_und_Code|Übersicht & weitere Wizards]]'''

=== Known Issues ===

* In der VLAN-Config scheinen die ID des Eintrags und die VLAN-ID übereinstimmen zu müssen. Außerdem scheint es einen Reboot für das Übernehmen der VLAN zu brauchen.
* Manchmal "verschwinden" Interfaces, ersichtlich an schwarzem Symbol oben in der Mitte auf der Weboberfläche, dies kann behoben werden, indem bei der Config das Interface manuell wieder hinzugefügt wird. VLANs und Bridges müssen ebenso wieder konfiguriert werden.

== Betrieb mit OpenWrt ==

Der Router kann alternativ zur Original-(Ubiquiti-)-Firmware mit [https://openwrt.org/toh/ubiquiti/ubiquiti_edgerouter_x_er-x_ka OpenWrt] betrieben werden. Ein paar Unterschiede, die die Entscheidung erleichtern können:

* Die Original-FW hat einen Wizard für OLSR, das fehlt in OpenWrt bisher
* Man kann mit der Original-FW PoE ein- und ausschalten, das funktioniert in OpenWrt bisher nur über die Kommandozeile
* Mit OpenWrt sind sämliche OpenWrt-Pakete nutzbar
* OpenWrt ist im Gegensatz zur Original-FW open source, das heißt, die Community kann laufend Verbesserungen vornehmen (und tut das auch)
* Der EdgeRouter X(-SFP) wird offiziell von OpenWrt unterstützt, das heißt, es gibt laufend fertige Firmware zum Download
* [[Projekte/v642/IPv4_Support|4-in-6]] funktioniert momentan mit der Original-FW nicht brauchbar, das Kernel-Modul verpackt die IPv4-Pakete doppelt und fehlerhaft. Wer 4-in-6 nutzen möchte, ist mit OpenWrt besser beraten, oder verwendet zusätzlich OLSRv1 für IPv4 mit der Original-FW.

=== Initiales Flashen von OpenWrt ===

Damit es möglich ist bei Problemen mit der Firmware ein [https://help.ubnt.com/hc/en-us/articles/360019289113 TFTP Recovery] durchführen zu können, ist es Empfehlenswert EdgeOS 2.0.6 zu flashen und dann den Bootloader zu aktualisieren, siehe [https://help.ui.com/hc/en-us/articles/360009932554-EdgeRouter-How-to-Update-the-Bootloader How to Update the Bootloader]

Anschließend kann ganz normal z.B. folgende Firmware installiert werden, die klein genug ist, dass es mit EdgeOS funktioniert: [http://openwrt.jaru.eu.org/openwrt-18.06/targets/ramips/mt7621/openwrt-18.06-snapshot-r7911-f65330d27d-ramips-mt7621-ubnt-erx-sfp-initramfs-factory.tar OpenWrt 18.06 initramfs-factory]

Unter Linux kann das automatisiert mit einem bash Skript erledigt werden: https://github.com/damadmai/edgemax_openwrt

=== Upgrade von OpenWrt (bei bereist installiertem OpenWrt) ===

Einfach über CLI oder Web-Interface (LuCI) das neue Sysupgrade-Image flashen.

=== Recovery ===

Der Weg zurück zu EdgeOS kann über TFTP Recovery gegangen werden, alternativ ist es auch möglich die serielle Konsole dafür zu verwenden.

Siehe https://an.undulating.space/post/181228-erx_install_openwrt_recover_edgeos/ bzw. https://community.ubnt.com/t5/EdgeMAX/ERX-ERX-SFP-System-Recovery/td-p/2056921 bzw. [https://help.ui.com/hc/en-us/articles/360018189493 Manual TFTP Recovery]

# Gummi-Stöpsel aus dem SFP-Port entfernen
# Die zwei Schräubchen auf der Rückseite rausdrehen, Gerät öffnen
# TFTP-Server mit OpenWrt-Image (initramfs) vorbereiten. Das Initramfs entweder selbst kompilieren oder mich (David) anschreiben. Werde ich in Zukunft irgendwo raufladen.
# Serial-Header identifizieren, das ist der mit den vier Pins, die nach oben wegstehen. Von der Vorderseite (mit den Ports) aus gezählt, sind das +3,3 V, TX, RX, GND.
# USB-TTY-Konverter verbinden (die +3,3 V werden '''nicht''' verbunden), gibt's auch im Automaten im MetaLab. Serielle Konsole öffnen.
# ER-X booten und beim Erscheinen des Boot-Menüs die entsprechende Option wählen und IP-Konfig eingeben
# Sobald OpenWrt gestartet ist, kann man sich via 192.168.1.1 (nicht über die IP, die oben eingegeben wurde!) einloggen. Anschliessend das Sysupgrade-Image wie gewohnt flashen (CLI oder Web-Interface (Luci)).

== NAT performance benchmark der unterschiedlichen Betriebssyteme ==

https://an.undulating.space/post/180927-er_alternate_firmware_benchmarks/

== Experimental /dev/crypto Support unter OpenWRT ==

OpenWrt SNAPSHOT r18523-8c501bf9fe + https://github.com/vschagen/mtk-eip93

Neue sha1.h und sha2.h Headers aus der Kernel Version 5.14+ nötig. Ein einfaches kopieren der Headerfiles ist aber ausreichend. Build Anleitung / Fertige Images folgen.

root@OpenWrt:~# openssl engine -t -c
(dynamic) Dynamic engine loading support
[ unavailable ]
(devcrypto) /dev/crypto engine
[DES-CBC, DES-EDE3-CBC, AES-128-CBC, AES-192-CBC, AES-256-CBC, AES-128-CTR, AES-192-CTR, AES-256-CTR, AES-128-ECB, AES-192-ECB, AES-256-ECB]
[ available ]

root@OpenWrt:~# openssl engine -pre DUMP_INFO devcrypto
(devcrypto) /dev/crypto engine
Information about ciphers supported by the /dev/crypto engine:
Cipher DES-CBC, NID=31, /dev/crypto info: id=1, driver=cbc(des-eip93) (hw accelerated)
Cipher DES-EDE3-CBC, NID=44, /dev/crypto info: id=2, driver=cbc(des3_ede-eip93) (hw accelerated)
Cipher BF-CBC, NID=91, /dev/crypto info: id=3, CIOCGSESSION (session open call) failed
Cipher CAST5-CBC, NID=108, /dev/crypto info: id=4, CIOCGSESSION (session open call) failed
Cipher AES-128-CBC, NID=419, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher AES-192-CBC, NID=423, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher AES-256-CBC, NID=427, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher RC4, NID=5, /dev/crypto info: id=12, CIOCGSESSION (session open call) failed
Cipher AES-128-CTR, NID=904, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-192-CTR, NID=905, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-256-CTR, NID=906, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-128-ECB, NID=418, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)
Cipher AES-192-ECB, NID=422, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)
Cipher AES-256-ECB, NID=426, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)

Information about digests supported by the /dev/crypto engine:
Digest MD5, NID=4, /dev/crypto info: id=13, driver=md5-generic (software), CIOCCPHASH capable
Digest SHA1, NID=64, /dev/crypto info: id=14, driver=sha1-generic (software), CIOCCPHASH capable
Digest RIPEMD160, NID=117, /dev/crypto info: id=102, driver=unknown. CIOCGSESSION (session open) failed
Digest SHA224, NID=675, /dev/crypto info: id=103, driver=sha224-generic (software), CIOCCPHASH capable
Digest SHA256, NID=672, /dev/crypto info: id=104, driver=sha256-generic (software), CIOCCPHASH capable
Digest SHA384, NID=673, /dev/crypto info: id=105, driver=sha384-generic (software), CIOCCPHASH capable
Digest SHA512, NID=674, /dev/crypto info: id=106, driver=sha512-generic (software), CIOCCPHASH capable

Hier das Snippet für /etc/ssl/openssl.cnf :

[default]
openssl_conf=openssl_def

[openssl_def]
# this is the main library configuration section
engines=engine_section

[engine_section]
# this is the engine configuration section, where the engines are listed
devcrypto=devcrypto_section

[devcrypto_section]
# this is the section where the devcrypto engine commands are used
CIPHERS=ALL
DIGESTS=ALL

Außerdem muss man die Files /etc/strongswan.d/charon/aes.conf & /etc/strongswan.d/charon/sha* entfernen um das OpenSSL Plugin zu forcen.

IPSec Performance :

MSS 1398 (max MTU, 1438)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.02 sec 6.61 GBytes 189 Mbits/sec 13342 sender
[ 5] 0.00-300.00 sec 6.60 GBytes 189 Mbits/sec receiver
=> ~17000 packets/sec

MSS 536 (eq. MTU 576)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.01 sec 3.01 GBytes 86.2 Mbits/sec 24328 sender
[ 5] 0.00-300.00 sec 3.01 GBytes 86.1 Mbits/sec receiver
=> ~19500 packets/sec

MSS 90 (eq. MTU 130)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.02 sec 576 MBytes 16.1 Mbits/sec 115389 sender
[ 5] 0.00-300.00 sec 573 MBytes 16.0 Mbits/sec receiver
=> ~16100 packets/sec

Testgerät Gegenseite : Fortigate 100D (via Innonet FTTH)

IPSec Parameter :

Auth : Shared PSK

Phase 1 : AES128-SHA256 DH14

Phase 2 : AES128-SHA256 (ohne PFS)

Strongswan forced auf OpenSSL Plugin

Routed VPN via xfrm Interface

Vielleicht als Alternative zu OpenVPN brauchbar, und ab der Version 2.6/3 von OpenVPN auch für Data Channel Offload verwendbar.

== Bezugsquellen ==

* Vereinsmitglied Alexander B (alexander@biringer.eu) / wenn ihr lieb fragt, wird dieser vermutlich auch gleich vorkonfiguriert? :)
* [https://www.amazon.de/s/&field-keywords=edgerouter+x-sfp Amazon]
* [https://geizhals.at/ubiquiti-edgerouter-er-x-sfp-a1271802.html Geizhals]

Und hier noch zwei "Geheimtipp"-Shops, die nicht zwangsweise über Geizhals auffindbar sind, aber wo der momentan schlecht verfügbare Router kurzfristig verfügbar sein kann:
* [https://www.senetic.at/product/ER-X-SFP Senetic]
* [https://www.varia-store.com/de/produkt/395822-er-x-sfp-eu-edgerouter-6-ports.html Varia]

Hardware/Komponenten

2022-11-10T16:53:45Z

Kwinz: /* UV beständige (outdoor) Kabel */ Fix Typo

[[Datei:Komponenten.jpg|miniatur]]

== UV beständige (outdoor) Kabel ==
[https://www.pollin.de/p/cat-6a-netzwerkkabel-s-ftp-outdoor-ip66-schwarz-75-m-740673 PE Außen, PVC Innenmantel, paarweiser sowie gesamt Folienschirm und Geflecht], aber Querschnitt nur [https://de.wikipedia.org/wiki/American_Wire_Gauge AWG27]

Überspannungsschutz für Ethernetkabel Ubiquiti ETH-SP-G2 1GBE [https://www.getic.de/product/ethernet-surge-protector-gen-2 Getic]

== Maststange ==
Steckmast Ø 42mm x 1m z.B. von [https://www.obi.at/video-zubehoer/stahl-steckmast-1-m-ams1000-001/p/1348317 OBI], [https://www.bauhaus.at/antennen-receiver/schwaiger-steckmast-ams1000-001/p/20273138 Bauhaus] oder [https://www.hornbach.at/shop/Stahl-Antennenmast-steckbar-Laenge-1-m-42-mm/5106599/artikel.html Hornbach]

Steckmast Ø 42mm x 2m z.B. von [https://www.obi.at/video-zubehoer/stahl-steckmast-2-m-ams2000-001/p/1348325 OBI], [https://www.bauhaus.at/antennen-receiver/schwaiger-steckmast-ams2000-001/p/20273147 Bauhaus] oder [https://www.hornbach.at/shop/Stahl-Antennenmast-steckbar-Laenge-2-m-42-mm/5106603/artikel.html Hornbach]

[https://www.bauhaus.at/rohrleitungen/rohrnippel/p/13366590 Rohrdoppelnippel] sind nicht geeignet, weil sie nach einiger Zeit rosten und nicht verdrehsicher montiert werden können.

Zum Anschrauben (mit Dübel z.B. in eine Betondecke): Metall-Antennenstativ Ø48mm L1000 [https://www.getic.de/product/antenna-stand-48mm-l1000 Getic]

== Mastverbinder ==
[https://www.amazon.de/HD-LINE-Doppelschelle-Schelle-Zahnschelle-verzinkt-silber/dp/B006RTLPV6 Doppelschelle]

== Abspannschelle ==
[https://www.antennenland.net/3H-AS-3860-Abspann-Schelle Abspann-Schelle]

== Kamineinfassung ==
[https://www.conrad.at/de/p/a-s-sat-38910-masthalterung-passend-fuer-mast-max-50-mm-942803.html ohne Anbohren eines Kamins]
[https://www.amazon.de/Stahlband-OK-43-OK-50-L%C3%A4nge-Gewicht/dp/B00FAPBGEY/ 10m Band falls Kamin größer ist]

== Flachdach-Mastständer ==
[https://www.amazon.de/-/en/gp/product/B00I58XNCQ/ Waschbeton-Plattenständer für Flachdächer]

Hardware/Komponenten

2022-11-10T16:53:01Z

Kwinz: /* UV beständige (outdoor) Kabel */ Überspannungssutz für Ethernetkabel Ubiquiti ETH-SP-G2 1GBE

[[Datei:Komponenten.jpg|miniatur]]

== UV beständige (outdoor) Kabel ==
[https://www.pollin.de/p/cat-6a-netzwerkkabel-s-ftp-outdoor-ip66-schwarz-75-m-740673 PE Außen, PVC Innenmantel, paarweiser sowie gesamt Folienschirm und Geflecht], aber Querschnitt nur [https://de.wikipedia.org/wiki/American_Wire_Gauge AWG27]

Überspannungssutz für Ethernetkabel Ubiquiti ETH-SP-G2 1GBE [https://www.getic.de/product/ethernet-surge-protector-gen-2 Getic]

== Maststange ==
Steckmast Ø 42mm x 1m z.B. von [https://www.obi.at/video-zubehoer/stahl-steckmast-1-m-ams1000-001/p/1348317 OBI], [https://www.bauhaus.at/antennen-receiver/schwaiger-steckmast-ams1000-001/p/20273138 Bauhaus] oder [https://www.hornbach.at/shop/Stahl-Antennenmast-steckbar-Laenge-1-m-42-mm/5106599/artikel.html Hornbach]

Steckmast Ø 42mm x 2m z.B. von [https://www.obi.at/video-zubehoer/stahl-steckmast-2-m-ams2000-001/p/1348325 OBI], [https://www.bauhaus.at/antennen-receiver/schwaiger-steckmast-ams2000-001/p/20273147 Bauhaus] oder [https://www.hornbach.at/shop/Stahl-Antennenmast-steckbar-Laenge-2-m-42-mm/5106603/artikel.html Hornbach]

[https://www.bauhaus.at/rohrleitungen/rohrnippel/p/13366590 Rohrdoppelnippel] sind nicht geeignet, weil sie nach einiger Zeit rosten und nicht verdrehsicher montiert werden können.

Zum Anschrauben (mit Dübel z.B. in eine Betondecke): Metall-Antennenstativ Ø48mm L1000 [https://www.getic.de/product/antenna-stand-48mm-l1000 Getic]

== Mastverbinder ==
[https://www.amazon.de/HD-LINE-Doppelschelle-Schelle-Zahnschelle-verzinkt-silber/dp/B006RTLPV6 Doppelschelle]

== Abspannschelle ==
[https://www.antennenland.net/3H-AS-3860-Abspann-Schelle Abspann-Schelle]

== Kamineinfassung ==
[https://www.conrad.at/de/p/a-s-sat-38910-masthalterung-passend-fuer-mast-max-50-mm-942803.html ohne Anbohren eines Kamins]
[https://www.amazon.de/Stahlband-OK-43-OK-50-L%C3%A4nge-Gewicht/dp/B00FAPBGEY/ 10m Band falls Kamin größer ist]

== Flachdach-Mastständer ==
[https://www.amazon.de/-/en/gp/product/B00I58XNCQ/ Waschbeton-Plattenständer für Flachdächer]

Hardware/Komponenten

2022-11-10T16:49:36Z

Kwinz: /* Maststange */ Metall-Antennenstativ Ø48mm L1000 zum Anschrauben

[[Datei:Komponenten.jpg|miniatur]]

== UV beständige (outdoor) Kabel ==
[https://www.pollin.de/p/cat-6a-netzwerkkabel-s-ftp-outdoor-ip66-schwarz-75-m-740673 PE Außen, PVC Innenmantel, paarweiser sowie gesamt Folienschirm und Geflecht], aber Querschnitt nur [https://de.wikipedia.org/wiki/American_Wire_Gauge AWG27]

== Maststange ==
Steckmast Ø 42mm x 1m z.B. von [https://www.obi.at/video-zubehoer/stahl-steckmast-1-m-ams1000-001/p/1348317 OBI], [https://www.bauhaus.at/antennen-receiver/schwaiger-steckmast-ams1000-001/p/20273138 Bauhaus] oder [https://www.hornbach.at/shop/Stahl-Antennenmast-steckbar-Laenge-1-m-42-mm/5106599/artikel.html Hornbach]

Steckmast Ø 42mm x 2m z.B. von [https://www.obi.at/video-zubehoer/stahl-steckmast-2-m-ams2000-001/p/1348325 OBI], [https://www.bauhaus.at/antennen-receiver/schwaiger-steckmast-ams2000-001/p/20273147 Bauhaus] oder [https://www.hornbach.at/shop/Stahl-Antennenmast-steckbar-Laenge-2-m-42-mm/5106603/artikel.html Hornbach]

[https://www.bauhaus.at/rohrleitungen/rohrnippel/p/13366590 Rohrdoppelnippel] sind nicht geeignet, weil sie nach einiger Zeit rosten und nicht verdrehsicher montiert werden können.

Zum Anschrauben (mit Dübel z.B. in eine Betondecke): Metall-Antennenstativ Ø48mm L1000 [https://www.getic.de/product/antenna-stand-48mm-l1000 Getic]

== Mastverbinder ==
[https://www.amazon.de/HD-LINE-Doppelschelle-Schelle-Zahnschelle-verzinkt-silber/dp/B006RTLPV6 Doppelschelle]

== Abspannschelle ==
[https://www.antennenland.net/3H-AS-3860-Abspann-Schelle Abspann-Schelle]

== Kamineinfassung ==
[https://www.conrad.at/de/p/a-s-sat-38910-masthalterung-passend-fuer-mast-max-50-mm-942803.html ohne Anbohren eines Kamins]
[https://www.amazon.de/Stahlband-OK-43-OK-50-L%C3%A4nge-Gewicht/dp/B00FAPBGEY/ 10m Band falls Kamin größer ist]

== Flachdach-Mastständer ==
[https://www.amazon.de/-/en/gp/product/B00I58XNCQ/ Waschbeton-Plattenständer für Flachdächer]

Hardware/Router/EdgeRouter X-SFP

2022-11-10T16:29:17Z

Kwinz: /* Bezugsquellen */ füge zwei Onlineshops hinzu, die nicht zwangsweise über Geizhals auffindbar sind, aber wo die momentan schlecht verfügbaren Router kurzfristig verfügbar sein können

{{Router
|name=EdgeRouter X-SFP
|manufacturer=Ubiquiti
|Picture=Edgerouter-x-sfp.jpg
|deprecated=Nein
|v642=Ja
|outdoor=Nein
|cpu=MediaTek MT7621AT, 880 MHz
|ram=256 MB
|flash=256 MB NAND
|poe=passiv, 5 Ports, Gbit, schaltbar
|ethernetports=5
|modulport=1
|switch=Ja
|wifi=Nein
|firmware=Original, OpenWrt 21.02.1]
|flashmethod=Web
|flashguide=[https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf Beschreibung Original-FW]
|configguide=[https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF-Wizard], [[:Datei:Funkfeuer_-_EdgeRouter_Setup_Konfiguration.pdf|manuelle Konfiguration]]
|antenna=Nein
|OlsrCapable=v1&v2
}}

== Allgemeines zum Gerät ==

Die [https://de.wikipedia.org/wiki/Small_Form-factor_Pluggable SFP]-Version des [[Hardware/EdgeRouter_X|EdgeRouter X]] bietet auf allen fünf Gigabit-Ethernet-Ports [[Hardware/PoE#passive_PoE|passive PoE]]. Das ermöglicht den Betrieb aktiver Antennen ohne zusätzliche Spannungsversorgung. Das mitgelieferte Netzteil mit Hohlstecker liefert 24V 2,5A, der Router benötigt etwa. 80mA. Entgegen der Produktbeschreibung kann er auch über passive PoE am ersten Ethernet-Port versorgt werden.
Für Einsatz im Freien gibt es die [[Hardware/EdgePoint_R6|EdgePoint R6]] Variante.

== Betrieb mit Original-Firmware==

Hier eine [https://docs.google.com/document/d/16ov0fOTm4ywXzTE8AOxJxf7HefD2qgliZGxBJmtjw5A Übersicht], des derzeit üblichen Setups.
Mit diesem Gerät können ein/mehrere Antennen mittels am Router laufenden OLSR daemon (Wizard ermöglicht eine simple Installation und Verwaltung per GUI) im Bridgemodus laufend verwendet werden. Hierbei muss keine Custom Firmware aufgespielt werden, und es kann weiterhin das gewohnte Upgrade vom Hersteller aufgespielt werden.

=== Initiales Konfigurieren ===
; Schritte zur Konfiguration der Original-Firmware
* Aktuellstes [https://help.ubnt.com/hc/en-us/articles/205146110-EdgeRouter-How-to-Upgrade-the-EdgeOS-Firmware Firmware Upgrade einspielen] und danach auf Werkseinstellungen reseten ([https://help.ubnt.com/hc/en-us/articles/205202620-EdgeRouter-Reset-to-Factory-Defaults Hardware Reset] mit Reset-Taster am Router! Bei Software Reset per CLI/GUI wird nur die Startup-Config zurück gesetzt. Ab EdgeOS 2.0.6 mit aktuellem Bootloader muss man den Reset Knopf rechtzeitig (nachdem eth4 nach schnellem und dann langsamen Blinken aus geht) loslassen, damit der Reset durchgeführt wird, ansonsten geht der Router in den TFTP flash Modus.)
* [https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-X-X-SFP-bootloader-update/ba-p/1472216 Bootloaderupdate] [https://community.ubnt.com/t5/EdgeMAX/EdgeRouter-X-X-SFP-check-bootloader-version/td-p/1617287 prüfen]. Nur auf ER-X / ER-X-SFP aktualisieren (NICHT EdgePoint EP-R6!!!) - könnte in einer aktuellen Firmware-Version bereits enthalten sein. Nach dem ersten Reboot mit der neuen Firmware-Version ggf. noch ein zweites Mal rebooten, um das Bootloader-Update wirksam zu machen. Der CLI-Command "show system boot-image" gibt Auskunft über den Zustand.
* Firmwareupdate auf [https://www.ubnt.com/download/edgemax/edgerouter-x aktuelle EdgeOS-Version]
* Einfache Methode - (falls es Probleme gibt, bitte bei @pocki melden)
** [https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF] - Wizard installieren
** Notwendige Daten eintragen, Apply klicken & warten bis alles automatisch konfiguriert ist.
* ...oder manueller Methode - [[:Datei:Funkfeuer_-_EdgeRouter_Setup_Konfiguration.pdf|Schritte zur Konfiguration]] der Original-Firmware (bzw. [https://docs.google.com/document/d/1y7KcfKrEYzSZuzNBfZSpbTo9SWL0msXNPH45qkIlsfo Google Docs])
** Anlegen Bridge-Interface mit public 0xFF-IPv4-Adresse
** Anlegen Management-VLAN 1100 mit interner 10-er IP, NAT/masquerade (evtl. Portforwarding)
** Installation OLSRd-Wizard (v1 für IPV4, v2 für IPv6)

=== Links zu Wizards (OLSR,...) ===
* [https://github.com/pocki80/ER-wizard-Setup0xFF/releases Setup0xFF] - Oneclick-Erstkonfiguration/Installation
* [https://github.com/vchrizz/ER-wizard-OLSRd_V1/releases OLSRd_V1]
* [https://github.com/pocki80/ER-wizard-OLSRd_V2/releases OLSRd_V2]
* [https://github.com/pocki80/ER-wizard-0xFF-WSLE/releases LetsEncrypt, BMK-Webstatus]
* [[Benutzer:Pocki#EdgeRouter-Wizards_und_Code|Übersicht & weitere Wizards]]'''

=== Known Issues ===

* In der VLAN-Config scheinen die ID des Eintrags und die VLAN-ID übereinstimmen zu müssen. Außerdem scheint es einen Reboot für das Übernehmen der VLAN zu brauchen.
* Manchmal "verschwinden" Interfaces, ersichtlich an schwarzem Symbol oben in der Mitte auf der Weboberfläche, dies kann behoben werden, indem bei der Config das Interface manuell wieder hinzugefügt wird. VLANs und Bridges müssen ebenso wieder konfiguriert werden.

== Betrieb mit OpenWrt ==

Der Router kann alternativ zur Original-(Ubiquiti-)-Firmware mit [https://openwrt.org/toh/ubiquiti/ubiquiti_edgerouter_x_er-x_ka OpenWrt] betrieben werden. Ein paar Unterschiede, die die Entscheidung erleichtern können:

* Die Original-FW hat einen Wizard für OLSR, das fehlt in OpenWrt bisher
* Man kann mit der Original-FW PoE ein- und ausschalten, das funktioniert in OpenWrt bisher nur über die Kommandozeile
* Mit OpenWrt sind sämliche OpenWrt-Pakete nutzbar
* OpenWrt ist im Gegensatz zur Original-FW open source, das heißt, die Community kann laufend Verbesserungen vornehmen (und tut das auch)
* Der EdgeRouter X(-SFP) wird offiziell von OpenWrt unterstützt, das heißt, es gibt laufend fertige Firmware zum Download
* [[Projekte/v642/IPv4_Support|4-in-6]] funktioniert momentan mit der Original-FW nicht brauchbar, das Kernel-Modul verpackt die IPv4-Pakete doppelt und fehlerhaft. Wer 4-in-6 nutzen möchte, ist mit OpenWrt besser beraten, oder verwendet zusätzlich OLSRv1 für IPv4 mit der Original-FW.

=== Initiales Flashen von OpenWrt ===

Damit es möglich ist bei Problemen mit der Firmware ein [https://help.ubnt.com/hc/en-us/articles/360019289113 TFTP Recovery] durchführen zu können, ist es Empfehlenswert EdgeOS 2.0.6 zu flashen und dann den Bootloader zu aktualisieren, siehe [https://help.ui.com/hc/en-us/articles/360009932554-EdgeRouter-How-to-Update-the-Bootloader How to Update the Bootloader]

Anschließend kann ganz normal z.B. folgende Firmware installiert werden, die klein genug ist, dass es mit EdgeOS funktioniert: [http://openwrt.jaru.eu.org/openwrt-18.06/targets/ramips/mt7621/openwrt-18.06-snapshot-r7911-f65330d27d-ramips-mt7621-ubnt-erx-sfp-initramfs-factory.tar OpenWrt 18.06 initramfs-factory]

Unter Linux kann das automatisiert mit einem bash Skript erledigt werden: https://github.com/damadmai/edgemax_openwrt

=== Upgrade von OpenWrt (bei bereist installiertem OpenWrt) ===

Einfach über CLI oder Web-Interface (LuCI) das neue Sysupgrade-Image flashen.

=== Recovery ===

Der Weg zurück zu EdgeOS kann über TFTP Recovery gegangen werden, alternativ ist es auch möglich die serielle Konsole dafür zu verwenden.

Siehe https://an.undulating.space/post/181228-erx_install_openwrt_recover_edgeos/ bzw. https://community.ubnt.com/t5/EdgeMAX/ERX-ERX-SFP-System-Recovery/td-p/2056921 bzw. [https://help.ui.com/hc/en-us/articles/360018189493 Manual TFTP Recovery]

# Gummi-Stöpsel aus dem SFP-Port entfernen
# Die zwei Schräubchen auf der Rückseite rausdrehen, Gerät öffnen
# TFTP-Server mit OpenWrt-Image (initramfs) vorbereiten. Das Initramfs entweder selbst kompilieren oder mich (David) anschreiben. Werde ich in Zukunft irgendwo raufladen.
# Serial-Header identifizieren, das ist der mit den vier Pins, die nach oben wegstehen. Von der Vorderseite (mit den Ports) aus gezählt, sind das +3,3 V, TX, RX, GND.
# USB-TTY-Konverter verbinden (die +3,3 V werden '''nicht''' verbunden), gibt's auch im Automaten im MetaLab. Serielle Konsole öffnen.
# ER-X booten und beim Erscheinen des Boot-Menüs die entsprechende Option wählen und IP-Konfig eingeben
# Sobald OpenWrt gestartet ist, kann man sich via 192.168.1.1 (nicht über die IP, die oben eingegeben wurde!) einloggen. Anschliessend das Sysupgrade-Image wie gewohnt flashen (CLI oder Web-Interface (Luci)).

== NAT performance benchmark der unterschiedlichen Betriebssyteme ==

https://an.undulating.space/post/180927-er_alternate_firmware_benchmarks/

== Experimental /dev/crypto Support unter OpenWRT ==

OpenWrt SNAPSHOT r18523-8c501bf9fe + https://github.com/vschagen/mtk-eip93

Neue sha1.h und sha2.h Headers aus der Kernel Version 5.14+ nötig. Ein einfaches kopieren der Headerfiles ist aber ausreichend. Build Anleitung / Fertige Images folgen.

root@OpenWrt:~# openssl engine -t -c
(dynamic) Dynamic engine loading support
[ unavailable ]
(devcrypto) /dev/crypto engine
[DES-CBC, DES-EDE3-CBC, AES-128-CBC, AES-192-CBC, AES-256-CBC, AES-128-CTR, AES-192-CTR, AES-256-CTR, AES-128-ECB, AES-192-ECB, AES-256-ECB]
[ available ]

root@OpenWrt:~# openssl engine -pre DUMP_INFO devcrypto
(devcrypto) /dev/crypto engine
Information about ciphers supported by the /dev/crypto engine:
Cipher DES-CBC, NID=31, /dev/crypto info: id=1, driver=cbc(des-eip93) (hw accelerated)
Cipher DES-EDE3-CBC, NID=44, /dev/crypto info: id=2, driver=cbc(des3_ede-eip93) (hw accelerated)
Cipher BF-CBC, NID=91, /dev/crypto info: id=3, CIOCGSESSION (session open call) failed
Cipher CAST5-CBC, NID=108, /dev/crypto info: id=4, CIOCGSESSION (session open call) failed
Cipher AES-128-CBC, NID=419, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher AES-192-CBC, NID=423, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher AES-256-CBC, NID=427, /dev/crypto info: id=11, driver=cbc(aes-eip93) (hw accelerated)
Cipher RC4, NID=5, /dev/crypto info: id=12, CIOCGSESSION (session open call) failed
Cipher AES-128-CTR, NID=904, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-192-CTR, NID=905, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-256-CTR, NID=906, /dev/crypto info: id=21, driver=ctr(aes-eip93) (hw accelerated)
Cipher AES-128-ECB, NID=418, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)
Cipher AES-192-ECB, NID=422, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)
Cipher AES-256-ECB, NID=426, /dev/crypto info: id=23, driver=ecb(aes-eip93) (hw accelerated)

Information about digests supported by the /dev/crypto engine:
Digest MD5, NID=4, /dev/crypto info: id=13, driver=md5-generic (software), CIOCCPHASH capable
Digest SHA1, NID=64, /dev/crypto info: id=14, driver=sha1-generic (software), CIOCCPHASH capable
Digest RIPEMD160, NID=117, /dev/crypto info: id=102, driver=unknown. CIOCGSESSION (session open) failed
Digest SHA224, NID=675, /dev/crypto info: id=103, driver=sha224-generic (software), CIOCCPHASH capable
Digest SHA256, NID=672, /dev/crypto info: id=104, driver=sha256-generic (software), CIOCCPHASH capable
Digest SHA384, NID=673, /dev/crypto info: id=105, driver=sha384-generic (software), CIOCCPHASH capable
Digest SHA512, NID=674, /dev/crypto info: id=106, driver=sha512-generic (software), CIOCCPHASH capable

Hier das Snippet für /etc/ssl/openssl.cnf :

[default]
openssl_conf=openssl_def

[openssl_def]
# this is the main library configuration section
engines=engine_section

[engine_section]
# this is the engine configuration section, where the engines are listed
devcrypto=devcrypto_section

[devcrypto_section]
# this is the section where the devcrypto engine commands are used
CIPHERS=ALL
DIGESTS=ALL

Außerdem muss man die Files /etc/strongswan.d/charon/aes.conf & /etc/strongswan.d/charon/sha* entfernen um das OpenSSL Plugin zu forcen.

IPSec Performance :

MSS 1398 (max MTU, 1438)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.02 sec 6.61 GBytes 189 Mbits/sec 13342 sender
[ 5] 0.00-300.00 sec 6.60 GBytes 189 Mbits/sec receiver
=> ~17000 packets/sec

MSS 536 (eq. MTU 576)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.01 sec 3.01 GBytes 86.2 Mbits/sec 24328 sender
[ 5] 0.00-300.00 sec 3.01 GBytes 86.1 Mbits/sec receiver
=> ~19500 packets/sec

MSS 90 (eq. MTU 130)

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-300.02 sec 576 MBytes 16.1 Mbits/sec 115389 sender
[ 5] 0.00-300.00 sec 573 MBytes 16.0 Mbits/sec receiver
=> ~16100 packets/sec

Testgerät Gegenseite : Fortigate 100D (via Innonet FTTH)

IPSec Parameter :

Auth : Shared PSK

Phase 1 : AES128-SHA256 DH14

Phase 2 : AES128-SHA256 (ohne PFS)

Strongswan forced auf OpenSSL Plugin

Routed VPN via xfrm Interface

Vielleicht als Alternative zu OpenVPN brauchbar, und ab der Version 2.6/3 von OpenVPN auch für Data Channel Offload verwendbar.

== Bezugsquellen ==

* Vereinsmitglied Alexander B (alexander@biringer.eu) / wenn ihr lieb fragt, wird dieser vermutlich auch gleich vorkonfiguriert? :)
* [https://www.amazon.de/s/&field-keywords=edgerouter+x-sfp Amazon]
* [https://geizhals.at/ubiquiti-edgerouter-er-x-sfp-a1271802.html Geizhals]

Und hier noch zwei "Geheimtipp"-Shops, die nicht zwangsweise über Geizhals auffindbar sind, aber wo der momentan schlecht verfügbare Router kurzfristig verfügbar sein kann:
* [https://www.senetic.at/product/ER-X-SFP Senetic]
* [https://www.varia-store.com/de/produkt/395822-er-x-sfp-eu-edgerouter-6-ports.html Varia]

Services/Organisation/Roof Nodes

2022-11-10T09:39:20Z

Kwinz: /* Definition "Roof Nodes" */ Der ehemalige Node in der Landesgerichtsstraße 18 ist aufgelassen und existiert nicht mehr.

== Definition "Roof Nodes" ==

Roof Nodes werden zu solchen explizit erklärt. D.h. die Kriterien zu erfüllen alleine reicht nicht.

Roof Nodes sind Standorte, welche eine direkte (Layer2-)Verbindung zum [[Services/Organisation/Backbone_Network|Backbone Network]] haben und dem Verein langfristig zur Verfügung gestellt werden. Genauer gesagt Knoten an Standorten, die eine direkte Glasfaserverbindung zu einem der offiziellen Uplinks von FunkFeuer (AS35492) haben. Das Funknetz muss über diese Standorte direkt von den Uplinks geroutet sein (bzw. auch umgekehrt).

Der Betrieb folgender Roof Nodes erfolgt durch den Verein FunkFeuer:
* 1010 Wien, Universitätsstraße 7 - [[Services/Organisation/Roof_Nodes/NIXRoof|NIXRoof]] ([https://www.univie.ac.at/ueber-uns/standorte-plaene/alle-standorte/ Neues Institutsgebäude (NIG)] / [https://www.vix.at/vix_locations.html VIX1])
* 1100 Wien, Fernkorngasse 10 - [[Services/Organisation/Roof_Nodes/NessusRoof|NessusRoof]] ([https://www.nessus.at/ NESSUS GmbH])
* 1060 Wien, Hofmühlgasse 3 - [[Services/Organisation/Roof_Nodes/AnexiaRoof|AnexiaRoof]] ([https://www.anexia-it.com/de/ ANEXIA Internetdienstleistungs GmbH])

Ehemalige Roof Nodes:
* 1010 Wien, Landesgerichtsstraße 18 - [[Services/Organisation/Roof_Nodes/KryptaRoof|KryptaRoof]] ([https://www.oebv.com Österreichische Beamtenversicherung])

== Allgemeines ==

Roof Nodes sind ähnlich wie der Backbone ein zentraler Teil der Infrastruktur des Vereins und stehen ''nicht'' für Experimente zur Verfügung, da dadurch zu viel Netzteilnehmer beeinträchtigt werden könnten.

== Linkplanung ==

Neue Links und Veränderungen müssen für die Roof Nodes gut geplant werden um Frequenzprobleme zu vermeiden, standortspezifische Anfordernisse und Auflagen berücksichtigen zu können sowie die Beeinträchtigung anderer/bestehender Links zu vermeiden.

Die Links sind bewusst nicht offen zum Anbinden für Mitglieder. Eine geplante Anbindung nach Rücksprache mit den Maintainern und deren Prüfung sowie deren Zustimmung kann ermöglicht werden.

== Auf-/Umbau/Anbindung ==

* Rechtzeitige Planung und Einbeziehung der Maintainer des Standortes.
* Maintainer des Standortes organisieren den Zutritt und sind bei den Arbeiten anwesend und achten darauf, dass die Dokumentation aktuell und möglichst vollständig ist.
* Beachten der standortspezifischen Anfordernisse und Auflagen.
* Zuerst überlegen ob eine Anbindung an einen anderen Knoten möglich ist - Dezentralisierung, Vermeidung von Sternstruktur im Freenet.
* Dokumentation im Backbone Wiki bzw. in der Config der Devices.

== Abhängigkeiten ==

* [[Services/Organisation/Backbone_Network|Backbone Network]]

== Maintainer ==

Jeder Roof Node sollte zumindest zwei Maintainer haben

=== Krypta ===
* Markus Kittenberger

=== Nig ===
* Markus Kittenberger

=== Nessus ===
* [[Benutzer:vchrizz|Christoph Loesch]]

=== Anexia ===
* [[Benutzer:vchrizz|Christoph Loesch]]

=== Falke ===
* ?