Feinfeinfein, das funktioniert nämlich 🙂
vpn { ipsec { auto-firewall-nat-exclude enable esp-group FOO0 { compression disable lifetime 3600 mode tunnel pfs enable proposal 1 { encryption aes256 hash sha1 } } ike-group FOO0 { ikev2-reauth no key-exchange ikev1 lifetime 28800 proposal 1 { dh-group 14 encryption aes256 hash sha1 } } site-to-site { peer vpngw.example.com { authentication { mode pre-shared-secret pre-shared-secret einsicherespasswortbitte } connection-type initiate description Work ike-group FOO0 ikev2-reauth inherit local-address any tunnel 1 { allow-nat-networks disable allow-public-networks disable esp-group FOO0 local { prefix a.a.a.0/24 } remote { prefix b.b.0.0/16 } } } } } }
Das muß natürlich zur Checkpoint passen.
Erstaunlicherweise hat iperf3
den Eindruck, daß der Durchsatz OHNE ipsec offloading deutlich besser ist.
Und ich sollte mal sehen, ob die Parameter nicht doch noch zu verbessern sind (SHA‑1 vs. SHA-256 zum Beispiel).
Aber soweit: 👍